Interview d'Aeris et Genma, animateurs des cafés vie privée lors du salon geekopolis

L’interview de deux des animateurs des Cafés Vie Privée a été mise à disposition sur audio.april.org.

Également connus sous le nom de Chiffrofête ou de Cryptoparty, les cafés vie privée sont des événements visant à initier tout type de public aux méthodes et outils permettant de sécuriser leurs données et d'améliorer le contrôle de leur vie privée.

Ils présentent en 8 minutes les enjeux de la vie privée et leurs interventions dans le cadre des Cafés Vie Privée.

Café Vie Privée, .ogg, 8mn

Transcription

Luc Fievet : Nous sommes à Geekopolis, le 17 mai, dans une ambiance bruyante et je suis donc avec Genma et Aeris. Ce sont vos vrais noms ?

Aeris : Non, ce sont des pseudos.

Luc Fievet : OK. Donc tous les deux vous animez ce qu'on appelle les Chiffrofêtes, les Cryptoparties, les cafés vie privée. C'est trois événements différents ? Non c'est la même chose ? En quoi ça consiste ?

Aeris : En fait non, c'est le même nom, c'est juste qu'il y en a qui font plus ou moins peur aux gens en fonction du contexte. Le but c'est de réunir des personnes dans une salle et de discuter de tout ce qui est vie privée sur Internet, chiffrement des disques durs, GPG, comment se comporter bien quand on surfe sur Internet pour ne pas laisser beaucoup de données, et tout ça en ayant le contexte NSA, PRISM et autres joyeusetés des services de renseignements dans la tête pour savoir comment bien se comporter par rapport à ça.

Luc Fievet : Genma, le truc qu'on entend souvent dire, c'est, quand on est un personne honnête on n'a rien à se reprocher. On s'en fout si la NSA récupère la liste de mes courses, qu'est-ce que ça change ?

Genma : Oui effectivement. Il y a les choses à cacher, mais quand on creuse un petit peu, on voit qu'il y a forcément quelque chose à cacher. Des exemples qu'on peut prendre, c'est on a de plus en plus d'ordinateurs portables. Je viens, je prends l'ordinateur, quelles sont les informations auxquelles je peux avoir accès facilement et que la personne ne veut pas, comment dire, qu'on voit. Ça peut être une fiche de paye, ça peut être des mots de passe, ça peut être tout un tas d'informations. Donc ça c'est pour le côté matériel. Ça peut être aussi sur Facebook, les gens sont sur Facebook, mais ils ont cette notion de, ah, je n'ai pas envie que n’importe qui ait accès à mes données. Je cloisonne, il y a un de mes amis, il y a mon employeur, je ne veux pas forcément qu’il le voit, donc c'est quelque chose à cacher. Au premier abord on pense que non, mais, si on creuse un petit peu, on voit que, effectivement, si.

Luc Fievet : On n'a pas nécessairement envie que son patron connaisse notre humour de mauvais goût. Il y a évidemment le risque d'usurpation d'identité avec les arnaques qui vont derrière et puis après ça voila, on parle assez librement dans certains contextes, moins dans d'autres, effectivement.

Aeris : Après, il y a aussi la notion de je n'ai rien à cacher va dépendre du contexte. Aujourd'hui vous n’avez peut-être rien à cacher. Demain quel sera le régime politique français, ou qu'est-ce que vont devenir nos données ou comment le gouvernement va s'en servir. On ne sait pas. Le meilleur exemple c'est le fichier STIC qui est le fichier français d'identification criminelle. Il y a 87 % d’erreurs dedans, ça peut être des problèmes d'homonymie, de noms, d'autres choses. Donc on peut avoir notre nom qui apparaît dans des dossiers où on n'avait rien à voir. On va vraiment avoir des choses à cacher parce qu'on va être mis sous le feu de la rampe et accusé de tous les maux.

Luc Fievet : Donc même si on n'a rien à cacher on peut avoir des problèmes par le fichage.

Genma : Il y a une vidéo très intéressante que je recommanderais. C'est une caméra cachée qui a été faite par des journalistes pour montrer justement ce que les informations Facebook pouvaient dévoiler. C'était dans le cadre d'un entretien d'embauche. Ils ont sorti la fiche Facebook aux candidats potentiels en leur montrant, voila, vous avez cliqué sur j'aime telle actrice porno. Pour vous c'est ça l'image de la femme ? Et les personnes étaient totalement gênées en disant oui mais j'ai le droit d'aimer ce que je veux, etc, en quoi ça gène ? Ils font oui mais bon, c'est une information publique, on y a accès, donc ça nous donne des informations sur votre personnalité. On voit là tout de suite qu'il y a un certain malaise qui s'instaure parce que la personne a cliqué, ou ça peut être la personne a assumé oui j'ai le droit ou non je n'ai jamais cliqué dessus ou je ne sais pas trop. On voit que, quand on met les gens face au fait accompli, ils sont déstabilisés et qu'effectivement ils réalisent que là ils ont peut-être des choses à cacher ou des choses qu'ils n'ont pas envie que n'importe qui puisse voir.

Luc Fievet : J'avais vu passer une affaire qui ne touche pas l’informatique. C'était aux États-Unis, c'est juste sur du fichier publicitaire. C'est un américain qui a eu un drame dans sa vie. Sa fille est morte dans un accident de voiture et il a reçu un courrier, c'est juste un courrier de pub par une boîte qui fait de la fourniture de matériel de bureau et en fait le commentaire lié à sa fiche avait été mis dans le même champ que son nom et donc le courrier lui était adressé : « monsieur Machin qui a perdu sa fille dans un accident de voiture ». Et c'est vrai qu'on imagine, si on a le malheur de se retrouver dans cette situation-là, on n'a pas envie que ce soit crié sur tous les toits et que tous ses fournisseurs prennent des notes là-dessus pour exploiter ça et profiter de la situation de faiblesse. Concrètement qu'est-ce qu'on peut faire quand on est un utilisateur pas nécessairement très doué, pas très technique, pour protéger sa vie privée ?

Aeris : Aujourd'hui la crypto a quand même fait pas mal de progrès. L'exemple qu'on peut donner c'est le chiffrement des disques durs. Chiffrer un disque dur c'est proposé dès l'installation d'un OS, d'un logiciel d'exploitation.

Luc Fievet : Ça ne ralentit pas le système ?

Aeris : Ça ne ralentit pas énormément le système. Ça le ralentit forcément un peu, mais pas plus que ça. Ça reste largement utilisable pour une utilisation classique. Ça peut être le chiffrement des mails aussi avec GPG, il y a un peu l'installation, la configuration à faire.

Luc Fievet : Ça, faut que tout le monde soit équipé.

Aeris : Il faut que tout le monde soit équipé et c'est ce qu'on cherche à faire, justement, parce que ce n'est pas compliqué et ça peut sauver la vie et faciliter énormément la confidentialité. On voit par exemple l'affaire Sarkozy avec les données de avocats qui ont fuitées. Ils auraient utilisé du GPG dans les mails ou dans les conversations audio, ils n'auraient pas eu ce genre de problèmes. C'est valable. Ça va être faire du chiffrement, tout ce qu'on peut, donc consulter des sites en https. Quand vous avez des sites, éviter les versions en clair et préférer le https. Il y a des extensions de Firefox qui automatisent ça et au final c'est relativement simple à faire. On ne va pas non plus tomber dans la paranoïa et demander d'installer des usines à gaz pour se protéger. Ça ne concerne pas le grand public, mais la crypto est aujourd'hui complètement accessible, en trois clics on fait des choses.

Luc Fievet : Et vous formez les gens en combien de temps ? Quand vous faites un événement les gens sont au point en combien de temps ?

Genma : En fait, ce qu'on fait, c'est au départ on fait un petit tour de table pour voir un petit peu les attentes des personnes, comment dire, leur niveau éventuellement, et on propose différents ateliers thématiques et en une heure, une heure et demie, on peut sensibiliser les gens à quelques extensions Firefox qui leurs permettent d'améliorer leur quotidien en ce sens, ou éviter le tracking publicitaire ou le tracking Facebook.

Le chiffrement des mails c'est un petit peu plus compliqué. Mais chiffrer une clef USB en utilisant [http://fr.wikipedia.org/wiki/TrueCrypt TrueCrypt], c'est une heure et demie et la personne sait utiliser le logiciel, sachant que ce sont des tutoriaux qu'on trouve assez facilement sur Internet, mais c'est peut-être plus facile de l'avoir vu en démonstration en live, en vrai. Ça rassure. Si on le voit on fait bon eh bien on fait suivant, on tape un mot de passe et puis après, d'avoir vu, ça rassure. La personne manipule ; elle est là avec quelqu’un qui peut l'aider à le faire et cet encadrement rassure. Ce sont des choses que nous on a appris par nous-même par ce que ça nous intéressait, mais quelqu'un qui n'est pas forcément qui n'est pas forcément technophile va avoir besoin de quelqu'un pour l'épauler là-dessus.

Pour revenir à ce qu'on disait par rapport à la cryptographie, il y a Crypto4, qui est une petite extension Firefox, qui propose maintenant le tchat Facebook chiffré. Ça veut dire que si la personne en face a Facebook et a également cette extension-là, on doit pouvoir la voir dans le tchat Facebook et toute la conversation va se faire de manière chiffrée entre moi et la personne en face.

Luc Fievet : Il faut savoir que Facebook enregistre absolument tout, y compris les messages non envoyés.

Genma : Facebook enregistrera effectivement tout, mais enregistrera du bruit chiffré. Il verra qu'on a discuté avec telle personne, de telle heure à telle heure, mais n'aura plus du tout accès au contenu en question. Et ça, ça se fait en quelques clics et une fois que c'est installé, on est connecté en permanence. On regarde. Tiens j'ai untel qui s'est connecté sur Facebook, hop, je peux lui parler et Facebook n'a plus accès à ces données-là. Donc en fait on contourne le système de façon très simple.

Luc Fievet : Et donc vous travaillez également avec des journalistes qui sont des gens qui peuvent être effectivement directement intéressés par le problème.

Aeris : Dans notre groupe on a déjà quelques journalistes, même des plutôt assez connus. On travaille aussi avec RSF quand ils envoient des journalistes là-bas, eh bien on les forme à la sécurité numérique, pour que quand ils sont en contact avec des dissidents ou quand ils font des reportages, qu'ils pensent à anonymiser les photos, les données, qu'ils évitent d'échanger avec des correspondants en passant par Skype, par exemple. On les forme et comme ça ils peuvent partir sur le terrain à peu près en sécurité et ne pas balancer leurs données aux quatre vents.

Luc Fievet : Si on est intéressé par une Chiffrofête et qu'on veut participer, comment on fait ? Qu’est-ce qu'il faut faire ?

Genma : On va sur le site café vie privée point fr, donc c’est café tiret vie tiret privée point fr. Il y a les dates des différents événements qui sont annoncés. On vient à l’événement également avec son ordinateur portable, avec un bon après-midi devant soi, de la motivation, de la bonne humeur, quelques questions et après donc nous on est là pour y répondre, pour être à l'écoute du public. Les maîtres mots sont donc pédagogie, être à l'écoute, répondre aux attentes. On n'est pas là pour apprendre des tas de choses qui ne servent à rien, on est là pour répondre aux attentes des gens. Nous, on connaît plein de choses, on a des niveaux hétérogènes. Il y a des choses qui nous intéressent. Les gens viennent avec leurs questions, on essaye d'y répondre, de leur proposer des solutions adaptées à leurs besoins. Ce n'est pas apprendre pour apprendre. Ce n'est pas chiffrer pour chiffrer. C'est vraiment j'ai une problématique, c'est, j'ai ma clef USB que je transporte tous les jours avec moi je veux la protéger, eh bien on va proposer une solution. C'est, je suis sur Facebook, je veux un peu plus cloisonner, on va proposer une solution. Je suis journaliste, je travaille avec des avocats et j'échange des données confidentielles, on va proposer une autre solution.

Luc Fievet : Très bien. Genma et Aeris, merci beaucoup et bravo.

Genma : Merci à toi.