Publicité, confidentialité : les opérateurs et les services web sur un même pied d'égalité ?

Mickaël Bazoge |

Les opérateurs télécoms européens sont depuis des années en colère. Ils se font manger la laine sur le dos par les éditeurs de logiciels VoIP et autres messageries instantanées, et en plus ces derniers ne sont pas soumis aux mêmes réglementations de l’UE. La Commission européenne a fini par entendre ces récriminations : Bruxelles prévoit en effet une extension des règles qui régissent le secteur des télécoms à ces nouveaux acteurs, raconte Reuters.

Orange a expliqué à l’UE qu’« au contraire des telcos, les services en ligne sont des acteurs mondiaux à qui l’on permet d’exploiter commercialement les données de trafic et de localisation qu’ils collectent ». Facebook (WhatsApp, Messenger), Microsoft (Skype) et Google (Hangouts, et plus tard Allo) ont aussi eu voix au chapitre, évidemment dans le camp opposé aux opérateurs télécoms.

Parmi les objectifs de la directive « vie privée et communications électroniques » (ePrivacy), publiée en 2002 et qui lient les opérateurs télécoms, on trouve l’interdiction de conserver les données de trafic et de localisation, ainsi que l’obligation de protection des communications des utilisateurs.

On voit bien les difficultés que rencontreraient certains éditeurs comme Facebook ou Google, qui font de l’exploitation des données le cœur de leur modèle économique. Si demain ces éditeurs devaient respecter les mêmes contraintes que les telcos, il leur serait bien difficile de générer des revenus publicitaires.

L’autre volet concernant la sécurité des données risque cette fois d’embarrasser Apple. Car si la directive demande aux opérateurs de protéger les communications de leurs clients, ils doivent aussi s’arranger pour permettre aux agences de sécurité, à la police et à la justice d’accéder à ces communications. Or, avec le chiffrement bout à bout dans Messages, Apple est dans l’impossibilité technique de se plier aux demandes des autorités – à moins de créer une porte dérobée, ce que le constructeur refuse pour éviter les risques de piratage à grande échelle des données de ses utilisateurs. Avec WhatsApp, dont les communications sont elles aussi chiffrées, Facebook est dans la même situation.

Les entreprises estiment donc qu’il n’est pas utile d’étendre à leurs logiciels et services les règles qui s’imposent aux telcos. Facebook a déclaré qu’il ne serait plus en mesure de « garantir la sécurité et la confidentialité des communications avec le chiffrement ». Le débat va se poursuivre et sans doute s’amplifier : la Commission proposera un aménagement de la directive d’ici la fin de l’année. Petit espoir pour les éditeurs : une des porte-parole de l’exécutif européen a indiqué qu’il n’était pas forcément nécessaire de traiter tous les services de communication de la même manière.

Ce débat européen intervient en tout cas à un moment opportun, alors que Bernard Cazeneuve, le ministre de l’Intérieur, veut pousser une initiative franco-allemande contre les messageries chiffrées.

avatar madaniso | 

Oui une interdiction des messagerie chiffrés en disant qu'elles sont utiliser par des terroristes...

"l'État, c'est le plus froid de tous les monstres froids".

Les gens descendent dans la rue pour des conneries mais tout le monde se laisse faire sur les questions numériques qui sont aussi importantes.

avatar ofabriceo | 

@madaniso :
Tu as très bien résumé le sujet.

avatar RyDroid | 

Le projet néo-libéral, qui donne toujours plus de pouvoir au "grand capital" dans le rapport de force, est quelque chose de significatif puisqu'il permet la mise dans la précarité facilité et donne toujours plus de pouvoir (notamment d'investissement et de corruption) à un petit nombre (les principaux détenteurs de capitaux) qui n'est ni élu ni régulièrement renouvelé (comme ce serait le cas avec du tirage au sort). Donc quand des gens sont descendus dans les rues contre le projet de loi El Khomri, ce n'était pas pour un petit truc.
Tout le monde ne se laisse pas faire sur les questions numériques, LQDN (La Quadrature Du Net) et la FSF (Free Software Foundation) en sont des preuves, même si je pense que nous ne sommes pas suffisamment nombreux à prendre en compte l'importance de ces problématiques.

avatar Liena | 

Pour whatsapp, ce sont les conversations qui sont cryptées. J'ai cru comprendre qu'il est possible pour Facebook de les lire. C'est ce sui m'a fait mettre whatsapp à la poubelle d'ailleurs.

avatar Paquito06 | 

@Liena :
Tu as desinstallé Whatsapp parce que l'app offrait de l'intimité?

avatar Liena | 

@Paquito06 :
Je me suis passablement mal exprimé -_-"
C'est surtout le fait que malgré ce cryptage facebook y a accès...

avatar C1rc3@0rc | 

Patriot Act: toute information non locale ( donc passant dans un datacenter ) impliquant une entreprise soumise au droit américain doit être directement accessible (non chiffré) aux services de securité fédéraux.

Cela veut dire qu'aucune sociétés occidentale ne peut légalement garantir le chiffrement des données qui sortent d'un appareil a destination du Net et utilisent un systeme centralisé (cloud, serveur relai, ligne spécialisée,...) - meme temporairement!
Donc un service de messagerie ne peut garantir - sans mentir - qu'il est chiffré parce que la societe n'est pas presente aux USA et que ses serveurs sont basés en Europe ,disons par exemple en Allemagne!

Dans les faits la regle c'est, a part pour les reseaux P2P, que des qu'une donnée sort d'un appareil, elle devient lisible et indexable pour les services de securité americains (et de l'OTAN si les americains jugent que c'est pertinent). Evidemment si la donnée est lisible par d'autres que l'emeteur et le destinataire, alors elle est lisible (et alterable) par n'importe qui (a commencer les cybercriminels).

Donc aucune messagerie commerciale n'est chiffrée, aucun cloud n'est chiffré, aucun systeme de VOIP n'est chiffré,...
Le seul cas ou il est possible que le chiffrement soit effectif c'est dans le cas d'une messagerie basée sur le P2P: c'était le cas de Skype, avant son rachat par Microsoft et c'est fini depuis.

avatar Shralldam | 

@C1rc3@0rc

Sauf que de nos jours, le business a bien plus de pouvoir qu'une loi ou même un état. Même un gouvernement soi-disant de gauche se retrouve "forcé" à prendre des mesures plus favorables envers le marché (suivez mon regard).

Dans les faits, je ne vois pas comment appliquer le PA dans sa totalité. Il s'agit d'ailleurs d'une loi qui, à mon humble avis, a été mise au point en urgence après les attentats du 11 septembre. Elle est passée comme une lettre à la poste car elle semblait légitime à l'époque.

Le poids économique de sociétés telles qu'Apple ou Google me laisse penser qu'il serait en réalité très compliqué d'appliquer la loi. Ce n'est pas une bonne chose fondamentalement, car aucune entreprise ne devrait être au-dessus des lois... Mais quand cette loi est liberticide, est-ce une "bonne" loi ? Des dispositions qui devraient être temporaires deviennent permanentes, comme l'état d'urgence... Il se trouve qu'ici la lutte qui est menée contre le dispositif est rendue possible par le gabarit de ses opposants : dur de se pointer chez les GAFA et leur dire la bouche en coeur "Maintenant vous vous pliez à la loi et all your data belong to us". On est d'accord, il s'agit plus d'une question d'argent que d'honneur ou de vertu.

Mais en conclusion, dire que le chiffrement n'existe pas dans les produits que vous citez ne reste qu'une présomption. On peut le supposer mais pas le prouver, et mon avis (purement subjectif) est qu'il existe bel et bien (le chiffrement), ne serait-ce parce que le monde des affaires n'a jamais trop aimé que l'état ait un regard sur ses... affaires.

avatar C1rc3@0rc | 

La premiere qualité d'une loi c'est d'etre applicable.

Le gouvernement précédent s'était fait le champion de la ponte a la chaine de lois inapplicables qui avaient en plus l'inconvénient de rendre inapplicables les lois précédentes (d'ou la paralysie de la Justice qui n'a fait qu'empirer le risque sécuritaire du le territoire nationale et l'émergence de zones de non droit).

Le gouvernement actuel, un ramassis de repris de justice et de ploutocrates hereditaire, poursuit dans cette voie de la complication et la paralysie de l'Etat alors que les menaces sont de pire en pire (et le terrorismes n'est pas le pire des problemes). Il n'y a qu'a regarder la loi El Komhri, passé au forceps anti-democratique, qui est inapplicable et déstructurante.

Le Patriot Act lui est applicable pleinement car les moyens d'applications sont preexistants a la loi, qui elle a ete elle forgée lentement et avec des milliers de juristes engagés pour cela. Cheney et surtout Rumsfeld sont des stratèges qui servent depuis longtemps des intérêts industriels et financiers stratégiques.
Et Echelon était a l'oeuvre bien avant le PA (prémisses élaborés en 1943), et la surveillance généralisée (mais illégale) des civils a été déployé au début 2000, mais conçu bien avant.

Faut aussi comprendre que si les Etats se sont impliqués dans la strategies totalitaires de l'industrie du divertissement derriere le fallacieux pretexte de la gestion des droits d'auteurs c'est parce que cela permettait de legiferer sur la surveillance de masse en contournant la Constitution.
Aucun Etat n'a interet a se charger de la gestion des interets privés surtout en sachant que les bénéfices leurs échapperont en totalité…
Il n'y a qu'a voir Hadopi: un gouffre a fric, inefficace, impopulaire mais qui a permis de legaliser la surveillance de masse et la responsabilisation de l'operateur et de son client (l'utilisateur est responsable de la securite de son Wifi...)

Bref, Le PA est appliqué partout dans l'OTAN.

avatar C1rc3@0rc | 

«Mais en conclusion, dire que le chiffrement n'existe pas dans les produits que vous citez ne reste qu'une présomption.»

Non c'est une conséquence inéluctable.
Le chiffrement repose sur le principe d'une clé de chiffrage/déchiffrage unique. Sans cette cle personne ne peut accéder aux données chiffrées mais surtout ne peut pas chiffrer des données!

Car un des points qui est rarement mis en avant dans les media, c'est la capacité de chiffrement plus que la capacité de déchiffrement. En effet, une donnée chiffrée est reputée fiable et non manipulée.
Et si le premier travail des services d'espionnage( militaire / politique / economique / industriel / ...) c'est de collecter et dechiffrer des données, le second c'est de fabriquer des données malicieuses, comme contre mesure ou comme preuves a charge...

Il est par exemple tres simple de faire entrer un virus sur une machines par l'intermédiaire d'un soft officiel certifié par une cle reputée fiable...

Si un systeme de chiffrement accepte plus d'1 cle, alors il n'y a pas de chiffrement valide.
Une societe peut bien dire que les donnees des utilisateurs sont chiffrées, si le systeme dispose d'une backdoor ou d'une cle maitresse, il n'y a alors pas de chiffrement. Et justement le Patriot Act implique que les donnees dans le cloud soient en clair ou chiffrées avec un systeme offrant des backdoor ou cles maitresses.

En gros un systeme de chiffrement disposant de plus d'une cle, protège la données uniquement des script kiddies et encore.

avatar Paquito06 | 

@Liena :
Je comprends mieux. Si le fonctionnement est le meme que celui d'Apple, (imessage), alors "potentiellement" Facebook n'y a pas acces, cependant. Pour connaitre le vrai dans tout ça...
Si on pense que Apple et Facebook peuvent nous lire on est naïf et si on oense le contraire on est complotiste. Anyway

avatar Paquito06 | 

@Paquito06 :
Inversement. Je me comprends :-D

avatar iGeek07 | 

@Liena :
Ce qui n'est pas un secret c'est quand et à qui tu envoie des messages. Mais là c'est pareil pour tous les services quasiment. Masquer ce genre d'informations demande beaucoup plus de travail pour un gain pas évident…

avatar Liena | 

@iGeek07 :
Merci pour la précision !
C'est pas pour ce que j'utilisais whatsapp... Je ne l'ai plus et je vis bien sans par ailleurs...

avatar frankm | 

Facebook peut les lire c'est leur fond de commerce

avatar RyDroid | 

WhatsApp ne met aucune conservation dans une crypte, ou j'attends au moins une source. http://www.bortzmeyer.org/cryptage-n-existe-pas.html

avatar simK | 

Bien sûr que WhatsApp est transparent pour les autorités, ce n'est pas un secret

avatar iGeek07 | 

@Liena :
"J'ai cru comprendre qu'il était possible pour Facebook de les lire"
Et bien tu as mal compris. Personne à part toi et ton correspondant ne peux lire ce message sans le déchiffrer à la force brute (ce qui prends BEAUCOUP de temps).

avatar RyDroid | 

Ça c'est la communication de Facebook, sans le code source et la possibilité de vérifier les builds, ce n'est pas si sur. WhatsApp utilise peut être un RNG (Random Number Generator) pas si aléatoire comme cela a été fait par RSA pour le programme BULLRUN.

avatar C1rc3@0rc | 

«les opérateurs télécoms européens sont depuis des années en colère. Ils se font manger la laine sur le dos par les éditeurs de logiciels VoIP et autres messageries instantanées, et en plus ces derniers ne sont pas soumis aux mêmes réglementations de l’UE. »

A noter que les banquiers ont les meme récriminations a faire sur les opérateurs telecom, vu que ces derniers vendent des crédits déguisés sous le terme commercial de "ventes subventionnées".

Le problème c'est que les activités bancaires sont soumises a une reglementation particuliere, avec des garanties et des taxes, auxquelles les operateurs telecom echappent totalement. Bref les operateurs telecom se font de l'argent sur le dos des organismes bancaires, des consommateur et de l'Etat.

Apres le fait de se plaindre des logiciel de VoIP c'est une mauvaise foi exemplaire: la donnée est une donnée numerique qui est encodée puis decodée a chaque extremite de la chaine, et l'operateur ne fait que faire son metier, acheminer de la donnée numerique. Pas de raison de se plaindre donc..

avatar LittleBigFrancois | 

Les opérateurs ont peur de devenir de simples tuyaux et de ne plus avoir à nous vendre leurs prétendus services, rien de plus.

Déjà que ça embête beaucoup Stéphane Richard de pas pouvoir préinstaller ses applications sur nos iPhone au nom de "l'expérience utilisateur", maintenant on lui retire doucement les appels et les SMS. Impossible de facturer un iMessage ou un appel FaceTime via wifi à l'étranger !

avatar patrick86 | 

"Les opérateurs ont peur de devenir de simples tuyaux et de ne plus avoir à nous vendre leurs prétendus services, rien de plus."

Il y a peut-être bien de ça, oui. C'est là l'ironie de l'histoire, que des opérateurs aient peur de redevenir ce qu'ils étaient à l'origine : des FAI auxquels on ne demande rien d'autre que de transporter des données sur un réseau.

avatar zoubi2 | 

En effet. Pour preuve : Combien de FAI proposent un abonnement "Internet seul" sans leur box dont je n'ai rien à cirer ?

avatar patrick86 | 

@zoubi2 :
Beaucoup ! :-)

Il y a, en France, plus de 1000 FAI déclarés à l'ARCEP et seule une poignée propose des offres multi-services avec bidule-box.

La majorité d'entre eux sont des FAI "purs et durs", ou, à la rigueur, proposent aussi du service de téléphonie.

On se rend peu compte de ça parce que ces nombreux FAI sont chacun beaucoup moins gros que les 4-5 gros commerciaux grand public. Il y a notamment beaucoup d'associatifs et d'autres essentiellement tournés vers les entreprises.

avatar zoubi2 | 

@patrick

Exact, au temps pour moi. J'aurais dû préciser "FAI grand public"

avatar Mike Mac | 

@madaniso

"Oui une interdiction des messagerie chiffrés en disant qu'elles sont utiliser par des terroristes...

"l'État, c'est le plus froid de tous les monstres froids".

Les gens descendent dans la rue pour des conneries mais tout le monde se laisse faire sur les questions numériques qui sont aussi importantes."

Précises ta pensée !

Tu veux dire que les gens descendent dans la rue pour des conneries comme traquer des gifs animés sur leur téléphone en mode zombie technophile alors qu'ils sont incapables de se révolter et d'aller manifester dans la rue pour leurs droits essentiels.

Alors, vivement l'appli "Revolution, Go !"

Et "Pique à têtes" pour remplacer Pikachu !

avatar harisson | 

Orange n'a qu'à concevoir des services web mondiaux et/ou que l'UE favorise l'émergence de "pure players" fournisseurs de services web… ^_^

CONNEXION UTILISATEUR