Vie privée et sécurité de nos données : comment mieux soutenir, informer et protéger ?

De nombreux outils qui assurent le fonctionnement du web et la sécurité de nos échanges, ou même la protection de notre vie privée, dépendent d'un mode de financement assez particulier : le don. Mais voilà, les efforts en la matière sont assez éclatés, ce qui mène parfois à une efficacité limitée. Et si l'on pensait les choses autrement ?

Il y a quelques semaines, nous évoquions dans nos colonnes la campagne de financement de GnuPG. Un outil utilisé au quotidien par de nombreux développeurs (qu'ils en aient conscience ou non) pour chiffrer, signer ou vérifier des fichiers et échanges. Les journalistes, leurs sources et autres professionnels ayant besoin de préserver le secret de leurs correspondances s'en servent également. Pourtant, il a failli disparaître en 2013, faute de soutien et de financement.

La sécurité du web ne tient parfois qu'à un fil

Il y a quelques années, le monde découvrait avec effroi la faille HeartBleed. Avec elle, on découvrait aussi qu'OpenSSL, un logiciel libre essentiel à la sécurité des échanges en ligne, était maintenu par une équipe réduite, peu soutenue par les grands noms du web qui exploitent pourtant au quotidien cet outil.

Que dire du cas de TrueCrypt, disparu du jour au lendemain alors qu'il était massivement utilisé pour le chiffrement et la protection de données sensibles, là aussi tant au niveau personnel que professionnel ? Puisqu'il s'agissait d'un logiciel libre, il a heureusement donné naissance à des projets dérivés. C'est notamment le cas de VeraCrypt, développé majoritairement par le développeur français Mounir Idrassi, qui aurait lui aussi sans doute besoin de plus de soutien.

Et il en va de même pour Tails ou encore le projet Tor, qui permettent d'assurer un certain niveau d'anonymat, mais aussi de disposer d'une sécurité accrue lorsqu'il s'agit d'effectuer des tâches sensibles en ligne ou non. Tous ont un point commun : ils sont utilisés au quotidien, parfois assez massivement, sont utiles à la démocratie et à la préservation de la vie privée des citoyens, sont recommandés par des organismes officiels pour le niveau de sécurité qu'ils apportent, mais ne sont pas toujours correctement financés ou soutenus.

Faut-il pour autant attendre que la fin soit proche, que l'on découvre des failles massives ou de larges scandales comme les révélation d'Edward Snowden pour réflechir à une solution ? Non.

Un financement aléatoire, mais nécessaire à l'évolution des outils

Ces différents projets ont d'ailleurs en général trouvé comment résoudre leurs problèmes : faire des appels aux dons de manière récurrente. Certains dépendent aussi de sponsors, qui sont parfois des organismes publics, des structures telles que la fondation Mozilla ou encore Google. Il peut s'agir aussi d'acteurs plus proches de nous, tels que Mediapart qui a financé Tails à hauteur de 2 000 euros l'année dernière. 

Ces soutiens permettent de faire évoluer les choses, parfois assez vite. Suite à l'appel aux dons effectué en 2013 par GnuPG, alors que son développeur principal était sur le point d'abandonner, Facebook a fini par appuyer le projet, qu'il utilise désormais pour chiffrer certains échanges avec ses membres. Il en a été de même pour la Fondation Linux ou encore Stripe, pour un total de 160 000 dollars.

De quoi permettre d'améliorer l'outil, de revoir son système de partage des clefs via les Web Key Directories ou TOFU ainsi que le support des smartcards. Des objectifs que l'équipe veut dépasser avec sa nouvelle campagne, plus ouverte, et gérée à travers une solution maison.

Une disparité dans la façon de récolter les dons

Car de fait, aucun outil ne permet de centraliser les dons à de tels projets comme cela peut être le cas de la presse en France avec J'aime l'info, Presse et Pluralisme ou même La Presse Libre pour les abonnements.

Certains passent par des dons directs par virement, carte bancaire, PayPal, Bitcoin ou encore Flattr. Tails passe par l'intermédiaire de RiseUp Labs, une structure à but non lucratif qui permet de bénéficier d'une défiscalisation outre-Atlantique. Tor a de son côté directement ce statut lui permettant de se passer d'intermédiaire.

Mais si l'on veut soutenir tout ce petit monde, il faut en passer par plusieurs paiements et autant d'interfaces... et recommencer chaque année, ou dès que notre carte bancaire expire.

Fédérer, informer, soutenir, protéger

Ainsi, ne serait-il pas plus intéressant de disposer d'une structure qui permettrait de centraliser et de répartir la récolte de ces dons, éventuellement avec une reconnaissance d'intérêt public ? Car au-delà de la question du financement, c'est aussi celle de l'information et de l'accès à ces outils qui semble essentielle, alors que la protection des données des citoyens est au cœur des préoccupations européennes avec RGPD et ePrivacy.

L'éducation et l'information sur la protection des données, le respect de la vie privée, les dispositifs de sécurité comme le chiffrement peuvent aisément rentrer dans le cadre de ce que permet la loi au niveau français (et européen ?). Il en va de même pour la défense d'un internet qui veut évoluer hors d'une invasion publicitaire à outrance et d'un tracking généralisé opéré par les géants du net et autres adeptes de l'achat programmatique et autres solutions big data.

Le but ne serait pas ici de mener des combats politiques, mais de permettre au citoyen qui doit protégrer sa vie numérique de disposer de meilleurs outils et d'une meilleure information les concernant. « Il va falloir faire de la pédagogie et développer notre culture de la cybersécurité chez les citoyens pour que chacun apprenne à protéger son espace personnel et ses données numériques. Et cette prise de conscience numérique, c'est elle qui va nous protéger » déclarait hier Mounir Majoubi, secrétaire d'État au numérique, à nos confrères de BFM TV. Banco ! Mais qui pour s'en charger ?

Il existe déjà de nombreux mouvements allant dans ce sens, des chiffro-fêtes et autre cafés vie-privée aux efforts que font des associations et des organismes comme le CECIL, Framasoft ou La quadrature du net qui militent déjà à leur niveau pour la défense de la vie privée et de ces solutions.

Mais ne serait-il pas temps de fédérer une partie des efforts afin de leur donner une autre ampleur, et de mettre en place des outils pour faciliter les dons, les soutiens, organiser des évènements, informer et porter la voix des internautes dans ce débat ? Car dans le même temps, ceux qui veulent s'attaquer à la sécurité pour tous et vantent une société ou nos données ne sont qu'un pétrole comme les autres, disposent de moyens sans commune mesure, et d'une écoute parfois très attentive de nos dirigeants.

Une solution à court terme : le soutien de Next INpact à différents projets

En attendant que ces discussions puissent avoir lieu et que la situation évolue, nous voulions trouver une solution à court terme. Ainsi, nous avons décidé de reverser chaque année l'équivalent du montant de 33 % des dons effectués à Next INpact à des projets qui correspondent à nos valeurs.

Comme expliqué dans le billet de blog publié ce matin, nous avons dans un premier temps sélectionné GnuPG, Tails, Tor et VeraCrypt. Une manière de vous permettre de soutenir en un seul paiement cinq projets qui peuvent vous tenir à cœur. Cette liste pourra être étendue à travers une sélection dont les modalités seront précisées dans un second temps.  

Pour rappel, les dons effectués à Next INpact par des entreprises ou des particuliers peuvent faire l'objet d'une défiscalisation. Toutes les informations sont données au sein de notre collecte opérée par J'aime l'info et Okpal. Bien entendu, les montants récoltés et reversés seront détaillés chaque année lors de la publication de nos comptes annuels.

Nous serons présents à l'édition 2017 de Pas Sage en Seine jusqu'à dimanche. Tous ceux qui veulent discuter de ces questions et nous aider à trouver des solutions ensembles sont les bienvenus. 

• Effectuer un don à Next INpact