[Actu] Quokkas, arnaques, verrous et Fédiverse

[Gaël] Bonjour, vous écoutez RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Gaël] Bienvenue dans cette nouvelle revue de l'actu numérique. Aujourd'hui je suis accompagné de Benjamin et en duplex avec Aeris. Bonjour Benjamin !

[Benjamin] Bonjour à toutes et à tous, aujourd'hui on a pas mal de sujets à vous parler, pas mal de sujets d'actualité et d'actualité numérique.

[Benjamin] Le premier, c'était, c'était...

[Benjamin] Ubuntu, eh bien oui, moi je voulais vous parler de Ubuntu qui vient de sortir la version 25.10 Ubuntu il sort deux versions par an, une en avril, une en octobre et j'ai fait la migration de mon laptop ce week-end

[Benjamin] et je suis très content, voilà, c'est tout.

[Gaël] Ça s'est bien passé.

[Benjamin] c'est super bien ça a pris moins d'une demi heure chrono alors moi j'ai mes petites habitudes en fait quand je fais une mise à jour avant je faisais une je fais pas de mise à jour je faisais des mises à jour et puis une fois il y a quelques années j'ai eu un gros crash pendant la mise à jour

[Benjamin] la machine ne s'allumait plus et j'ai dû réinstaller de zéro et reprendre un backup. Et là je me suis dit mais en fait c'est génial parce que quand tu réinstales de zéro, et ben t'as une machine qui est vierge, qui est toute propre.

[Benjamin] tous les trucs que tu as installé au fil des ans, ils ont été nettoyés, tu ne réinstales que ce dont tu as besoin, tu récupères tes données, les paramètres des logiciels, etc. et ça fait une machine qui a l'air toute neuve.

[Benjamin] tu vois bien les nouveautés parce que souvent elles sont masquées par tes anciens paramètres, là c'est pas le cas, et du coup maintenant je fais ça tous les six mois, je reformate le disque dur, je réinstalle From Scratch,

[Benjamin] je récupère mon backup et j'ai l'impression d'avoir une machine neuve. En plus j'ai passé un petit coup de pschip-schit pour nettoyer le clavier et l'écran.

[Benjamin] voilà je suis super content

[Gaël] Je suis un peu mauvais élève, je fais les mises à jour quand c'est nécessaire, mais je suis pas aussi strict que toi.

[Benjamin] En fait c'est un plaisir maintenant, j'aime bien avoir une machine neuve.

[Aeris] Oui, puis après Ubuntu était connu pour avoir quelques petits problèmes sur des mises à jour des upgrades de machines. C'est vrai que si tu peux rien faire à la réinstallation...

[Aeris] À chaque fois, ça peut être pas mal de signer.

[Benjamin] En fait, il y a des mises à jour qui sont quand même sacrément mal passées, et là je suis vraiment super content.

[Gaël] Je vous rattrape parce que là je suis sûr qu'on va partir dans des débats de Linuxien infini. Je vous propose qu'on passe au deuxième sujet. Ah !

[Benjamin] Non par contre, je voulais quand même commenter le carnel 6.17 qui vient... Non je déconne, allez, deuxième sujet.

[Gaël] Donc, la Corée du Sud et ses archives gouvernementales qui sont parties en fumée.

[Benjamin] archistes gouvernementales, le mot était difficile.

[Benjamin] Et bien oui, il n'y a pas que chez OVH que les données partent en fumée, ça arrive aussi en Corée, sauf que là, et bien ils ont perdu beaucoup.

[Gaël] Ouais, surtout que...

[Aeris] Oui, ils ont perdu 585 teras octet donnés parce qu'ils n'avaient pas de backup. Comme d'habitude, ils lisent pas leur petit con de CGU et qu'ils prévoient pas de backup. Et donc ils ont tout perdu.

[Gaël] Ils avaient des backups mais elles étaient sur les mêmes machines qui sont parties en fumée.

[Benjamin] Ils avaient posé la disquette sur le serveur.

[Gaël] Mais surtout je comprends pas comment ça arrive. En France on a quand même pas mal de normes, notamment au niveau bancaire, on a les NIS, NIS 2, Dora, etc. Mais en fait on a tout un tas de normes pour les sauvegardes, les PRA, PSCA.

[Gaël] Je pense qu'ils ont exactement les mêmes en Corée ou en tout cas ils ont des choses très similaires.

[Gaël] plan de reprise d'activité et plan de continuité d'activité.

[Gaël] Et ça me semble vraiment bizarre en fait qu'il n'y ait pas ça en place. Est-ce qu'il y a eu quelque part...

[Gaël] quelque chose qui a été mal fait par le gouvernement ou en tout cas les prestataires.

[Gaël] ça me semble fou que ça arrive et qu'ils perdent des données.

[Gaël] qu'ils aient une interruption de service, oui, mais qu'il y ait une perte de données, ça me paraît bizarre.

[Aeris] Après, leur système est un peu bizarre parce qu'en fait, c'est les disques de leurs agents qui étaient stockés là-dessus, et ça avait l'air d'être un espace de stockage des agents.

[Aeris] où tous leurs disques locaux avaient été digitalisés dans le cloud et du coup c'est parti en fumée. Je ne sais pas du tout comment ils géraient ce côté-là.

[Aeris] Je ne sais pas si c'était vraiment des espaces supposés être pérennes et fiables, ou est-ce que c'était juste du stockage couvenant comme on a tendance à mettre sur nos disques durs ?

[Aeris] Donc après, la suite nous le dira, on verra bien. Mais effectivement, là, je crois qu'ils ont prévu quatre mois d'arrêt global des infrastructures gouvernementales là-bas.

[Benjamin] Ouais, puis y a des données qui sont perdues à tout jamais visiblement.

[Aeris] et des données qui sont perdues, ils sont en train de repiocher dans tous les documents papiers pour essayer de retrouver tout ça, mais effectivement ça risque de leur prendre un peu de temps.

[Benjamin] Alors juste, je vais me permettre de faire une remarque totalement gratuite, inutile et pénible, mais je ne peux pas m'en empêcher, je suis désolé. On ne dit pas digitaliser, on dit numériser. Digitaliser, ça voudrait dire qu'ils ont tout tapé avec leurs doigts.

[Gaël] C'est le cas sur des machines à écrire.

[Benjamin] Ouais, ouais, ouais, ouais. Voilà, numérisez, s'il vous plaît, s'il vous plaît.

[Gaël] Non bah du coup, à surveiller en fait aussi chez nous, il faut pas que ça nous arrive, donc j'espère que nos données françaises et européennes sont bien en sécurité sur plusieurs sites redondés.

[Benjamin] On voulait vous reparler de ChatControl.

[Gaël] Parce qu'on adore parler de chat-control.

[Benjamin] Ben je pense qu'on en aura tant que ce truc là existera on en parlera.

[Aeris] Je pense que ça va revenir. Donc on a quand même eu des bonnes nouvelles, puisque l'Allemagne a changé d'avis après avoir été... des campagnes de communication auprès des députés là-bas. Donc ont changé d'avis et donc l'Allemagne a rejeté le TchatControl. Et donc le projet est re-re-mort et re-re-enterré. Mais jusqu'à combien de temps ? Pour le coup, on ne sait pas.

[Benjamin] Donc c'était à l'ordre du jour de la réunion du mardi 14 octobre. Donc nous on enregistre un tout petit peu avant.

[Benjamin] D'ailleurs on salue notre nouveau gouvernement, on ne sait pas si à l'heure où vous écouterez ça sera toujours le même.

[Benjamin] Parce que la déléguée numérique dont on parlait la dernière fois, elle a changé.

[Gaël] Elle est partie finalement ou...

[Benjamin] On ne donnera pas son nom parce qu'on ne veut pas prendre de risque, on voudrait que cet épisode de podcast soit pérenne.

[Gaël] Soit pérenne. Mais oui effectivement elle a déjà changé, elle a pris un autre poste. Exactement.

[Benjamin] elle pourrait rechanger d'ici la publication.

[Gaël] Et donc du coup le tchat control, donc le 14 octobre il devait y avoir donc au conseil européen, c'était à l'ordre du jour

[Gaël] Ça a été retiré.

[Gaël] Et l' dernière fois Benjamin tu nous disais qu'il ne fallait surtout pas aller sur la pétitionchange.org parce que tu penses qu'il ne faut absolument pas aller sur change.org mais...

[Benjamin] Alors, il y a un site, stopchatcontrol.fr qui regroupe pas mal d'infos intéressantes

[Benjamin] qui pointent vers une pétition qui va sur change.org. Moi je recommande à tout le monde de ne jamais signer de pétition sur change.org parce que on sait pas, on connaît pas le business model de cette société et on...

[Benjamin] une pétition en général on y laisse ses opinions politiques donc

[Benjamin] ça me paraît assez dangereux et en termes d'hygiène numérique assez mauvais. En revanche, il y a une pétition à l'Assemblée nationale.

[Benjamin] présente plus de garanties et ne serait-ce que sur le compte du nombre de votants, puisqu'on ne peut pas signer deux fois une pétition quand elle est hébergée sur le site de l'Assemblée nationale. Par contre, il faut être...

[Benjamin] il faut être citoyen français. Merci.

[Gaël] Bon, moi je suis plutôt pour les pétitions sur l'assemblée, jusqu'à les dernières pétitions sur les pesticides, les nicotinit... Oh, c'est beaucoup trop dur à dire. Mais merci beaucoup. Ouh, globalement, la pétition avait atteint 1 million de signataires très très vite.

[Benjamin] Oui mais, si elle avait été sur change.org on aurait dit qu'en plus les signatures étaient fausses.

[Gaël] Oui oui bien sûr mais bon...

[Benjamin] C'est le principe de la pétition que tu remets en cause.

[Benjamin] C'est pas le site de l'Assemblée nationale.

[Gaël] C'est ce qu'on fait des pétitions.

[Aeris] Non, c'est surtout que c'est pas utilisé. On a vu aussi avec la Bravem, la Bravem avait dépassé largement les statuts, le nombre de signatures et le parlement avait juste dit...

[Aeris] C'est pas grave.

[Gaël] Ouais alors je crois que c'était pas le parlement directement mais oui.

[Benjamin] On mettra le lien vers la pétition dans les show notes de cet épisode.

[Benjamin] Spotify

[Benjamin] des podcasters pour censurer des podcasts dès qu'il y a de la musique. Il y a pas mal de podcasters qui se plaignent parce que l'intégralité de leurs podcasts disparaît. Spotify c'est une plateforme d'écoute mais c'est aussi une plateforme d'hébergement depuis qu'ils ont racheté Anchor il y a quelques années donc c'est un hébergeur gratuit de podcasts.

[Benjamin] Et comme ils dépendent aussi beaucoup de l'industrie musicale, dès qu'il y a de la musique dans un podcast, ils ont tendance tout simplement à le supprimer, même si le podcaster ou la podcasteuse a des accords avec les ayants droits, même si c'est de la musique libre de droits d'ailleurs, ils s'en kick in pas, ils ont la main un peu lourde.

[Benjamin] Là, la raison du courroux est un peu différente, c'est que…

[Benjamin] Si vous écoutez Spotify avec un compte gratuit, vous avez de la publicité.

[Benjamin] Et la publicité elle est insérée entre les musiques et entre les épisodes de podcasts, si vous utilisez Spotify pour écouter les podcasts.

[Benjamin] et ben ils ont fait de la pub pour la police de l'immigration américaine, l'ICE.

[Benjamin] et ça a déclenché le courroux de pas mal d'auditeuristes et de podcasteristes qui ont décidé de quitter Spotify. Donc il y a pas mal de podcasteurs qui ont retiré leurs podcasts de la diffusion de la plateforme d'écoute de Spotify.

[Benjamin] Et puis il y a des gens qui écoutaient de la musique sur Spotify qui ont décidé d'aller voir ailleurs

[Benjamin] parce qu'ils n'avaient pas super envie...

[Benjamin] ils étaient en désaccord avec avec ces publicités.

[Gaël] Pour moi c'est la suite en fait puisque Spotify avait largement financé la campagne de Trump. Il y avait déjà eu une grande vague de départ en fait à ce moment là.

[Gaël] Moi même j'étais un utilisateur de Spotify pendant très longtemps.

[Benjamin] une vague de départ des salariés ou des auditeurs.

[Gaël] Non, des auditeurs. Euh... Donc moi-même j'ai... J'ai été grand consommateur de Spotify encore il y a quelques temps. J'ai quitté là il y a quelques mois maintenant. Je gère un peu pour trouver une plateforme...

[Gaël] qui fassent vraiment bien le boulot.

[Benjamin] Tu m'as demandé ?

[Gaël] Je t'ai demandé !

[Benjamin] Et que t'as-je répondu ?

[Gaël] Alors je me souviens plus mais je n'ai pas pris ta solution.

[Benjamin] Je t'ai répondu Qobuz.

[Gaël] Ah oui voilà tu m'as répondu comme besoin.

[Benjamin] avec de la musique de haute qualité de l'éditoriale.

[Benjamin] Moi j'aime bien parce qu'en plus ils reprennent les notes...

[Benjamin] de téléramas, de pleins de journaux, de diapason.

[Gaël] Je ne t'ai pas écouté, aujourd'hui je suis chez Deezer.

[Benjamin] Ouais, 10 heures c'est très bien.

[Gaël] Ouais alors bon euh...

[Gaël] Pour l'instant j'ai pas mieux en tout cas donc si t'as mieux que Qobuz, mieux que Deezer à me proposer, je prends Volontier.

[Benjamin] Alors moi j'écoute beaucoup de musique, pour moi il n'y a pas mieux que Cobuz, mais...

[Benjamin] mais 10 heures c'est très bien aussi.

[Gaël] parentesses très personnelles sur Spotify.

[Benjamin] On voulait parler de la police de l'immigration à nouveau, puisque l'ICE va acheter un outil qui permet de suivre la localisation de centaines de millions de téléphones.

[Benjamin] quotidiennement.

[Benjamin] Et on voit que, aujourd'hui, nos téléphones de Vizien des mouchards...

[Benjamin] Bon, la police de l'immigration en Europe, on ne se sent pas trop trop impacté.

[Aeris] certains citoyens européens qui ont quand même eu des problèmes déjà en essayant d'aller aux États-Unis.

[Benjamin] Alors déjà, ouais, on en a déjà parlé.

[Aeris] Et on a vu aussi, et inversement aujourd'hui, on a aussi les États-Unis qui commencent à prendre des sanctions envers des citoyens européens, avec par exemple les avocats de la Cour pénale internationale, dont un Français qui se retrouve aujourd'hui interdit, bancaire, partout.

[Aeris] et avec des effets de bord assez violents sur sa vie personnelle. Donc on pourrait avoir le même genre de problèmes.

[Benjamin] Et puis les idées américaines, les innovations américaines, qu'elles soient bonnes ou mauvaises, elles ont toujours tendance à traverser l'Atlantique.

[Gaël] Exactement, et puis en plus le téléphone globalement ça fait longtemps qu'on s'est rendu compte, notre numéro de téléphone il change plus aujourd'hui donc...

[Gaël] Le numéro de téléphone c'est un identifiant unique au même titre que le numéro de sécurité sociale.

[Benjamin] Ah oui, ça me fait penser à une anecdote, ça me fait penser à un truc qui n'était pas du tout à l'ordre du jour, donc... mais je vais en parler quand même. J'ai reçu un spam récemment, un phishing...

[Benjamin] d'un nouveau genre, j'avais jamais vu ça.

[Benjamin] où ils se font passer pour ma banque. Alors ils n'ont pas eu de chance parce qu'il se trouve que je n'étais pas client de cette banque-là, donc la ficelle était assez grosse.

[Benjamin] Mais le mail était très bien fait, très bien rédigé, il n'y avait pas de faute d'orthographe, et il me disait que pour des mesures de sécurité, pour vérifier mon identité et être sûr que je suis bien celui qu'il prétend être...

[Benjamin] et en particulier vérifier que je suis bien le titulaire de ma ligne téléphonique, et bien il me demandait mon R.I.O.

[Benjamin] Alors, un RIO c'est... c'est...

[Aeris] C'est pour transférer ta ligne téléphonique.

[Benjamin] récupérer ma ligne. Le RIO c'est le relevé interopérateur.

[Benjamin] qui te permet de changer d'opérateur quand tu es chez un des opérateurs téléphoniques et que tu veux en changer, tu prends ton RIO, je crois qu'il faut faire le 3079 ou un truc comme ça pour l'obtenir, et c'est une chaîne alphanumérique, et quand tu ouvres une nouvelle ligne, tu dis je veux récupérer mon ancien numéro, tu fais un copier-coller de ton RIO et du coup ta ligne est transférée automatiquement. Et donc là...

[Gaël] Ah il voulait récupérer ton numéro !

[Benjamin] il est utilisé dans de très nombreux cas pour t'authentifier.

[Benjamin] pour des paiements 3D secure, pour tout un tas de trucs.

[Benjamin] voire même t'as perdu ton adresse mail, ben ça se finit souvent par un sms en définitive.

[Benjamin] Et donc j'ai trouvé ça assez malin et assez flippant parce que je me dis combien de personnes vont réaliser qu'il n'y a aucune chance que ta banque te demande ton RIO. C'est impossible, ta banque ne peut pas avoir de bonnes raisons de te demander ton RIO. Quelqu'un qui te demande ton RIO, c'est forcément un arnaqueur.

[Gaël] Je pense que les gens ne se rendent pas compte à quel point on a des...

[Aeris] ils vont pas s'en rendre compte et puis du coup ils sont abonnés, ils vont avoir un changement d'opérateur derrière. Il faudrait surtout trouver pourquoi ils veulent en faire derrière. Qu'est-ce qu'ils veulent en faire ?

[Gaël] numéros comme ça qui sont hyper importants, qui t'identifient très fortement et du coup c'est des données très techniques donc franchement avant de comprendre que tu te fais arnaquer moi ça me fait penser tout de suite aux arnaqueurs CPF de façon qui récupéraient l'argent parce que...

[Gaël] techniquement, personne ne comprenait très très bien comment ça fonctionnait.

[Benjamin] Et puis c'était pas vraiment ton argent, enfin tu avais l'impression que c'était pas ton argent, donc tu avais pas l'impression de te faire ennaquer. Et parfois t'étais complice parce que tu récupérais un iPad.

[Benjamin] Bon, sujet suivant qui en fait est dans la continuité du précédent.

[Benjamin] Google Play Store et Apple Play Store.

[Benjamin] Donc c'est magasin d'applications.

[Benjamin] pas... l'avenir s'annonce un peu compliqué puisqu'ils ont retiré des applications qui permettaient de signaler la police de l'immigration américaine donc toujours la fameuse ICE.

[Benjamin] parce que ces applications permettaient aux bons samaritains de dire attention, restez pas dans le coin parce que l'ICI est en train de faire une rafle.

[Benjamin] Je pense qu'on peut parler de rafles dans la mesure où il y a...

[Aeris] Raffler des portations, oui ça marche très bien.

[Benjamin] il y a des citoyens qui ont disparu et dont on n'a plus aucune trace.

[Benjamin] Et dans le même temps, Google a annoncé que ils allaient tuer les magasins d'application alternatifs. Alors pour ceux qui ont des téléphones Android, vous le savez peut-être pas, mais on peut installer d'autres magasins que celui de Google. Bah déjà sur les téléphones Samsung par exemple, il y a également le magasin Samsung.

[Benjamin] Mais on peut aussi en installer d'autres. Moi à titre personnel j'utilise énormément F-Droid, qui a la particularité d'héberger exclusivement des applications open source.

[Benjamin] et en fait ils veulent obliger en gros les développeurs à signer les applications et à rentrer dans tout un processus qui en fait concrètement ne va avoir pour autre effet que de tuer ces magasins d'applications alternatifs.

[Aeris] Après il y a des bonnes raisons aussi, on en parlera d'ailleurs un peu dans la suite de l'émission sur d'autres sujets, mais il y a des bonnes raisons aussi à essayer de verrouiller les applications, mais il y a un vrai compromis à trouver en fait aujourd'hui entre...

[Aeris] l'enfermement technologique plutôt commercial des GAFAM en particulier avec Google, Amazon et Apple qui laisseraient personne installer quoi que ce soit dans le téléphone et inversement des applications malveillantes qui sont installées trop facilement quand on est dans le monde Android.

[Benjamin] Ouais, alors les bonnes raisons, on peut l'y dire, c'est la sécurité, c'est garantir qu'on ne peut pas installer n'importe quelle application.

[Benjamin] n'importe comment.

[Aeris] Il y a la sécurité, que ce soit les applications malveillantes et aussi les mises à jour de sécurité, parce qu'aujourd'hui des applications qui sont plus maintenues et qui datent depuis très très longtemps, aujourd'hui effectivement les utilisateurs peuvent encore être sous...

[Aeris] subir ces applications là qui sont des trous de sécurité.

[Aeris] Et donc effectivement, dans l'écosystème libre, on a aussi aujourd'hui ce problème-là, avec l'affaire Ruby qui est apparue il y a justement quelques jours de ça, ce qu'on appelle des attaques par supply chain qui essayent d'infecter toutes les dépendances des applications, etc. Donc va bien falloir que quelqu'un les contrôle. Et aujourd'hui, on a un vrai problème au niveau du libre là-dessus parce qu'il n'y a pas de contrôle en fait, et n'importe qui peut faire n'importe quoi. Et on se retrouve avec des vrais vrais vrais problèmes de sécurité. Et là, récemment avec NPM, des plusieurs milliards de

[Aeris] des dépendances qui ont été chargées plusieurs milliards de fois par semaine ont été infectées et il n'y a aucun contrôle. Donc il y aura un vrai problème de compromis à faire sur ce genre de...

[Aeris] Oui.

[Gaël] Tout le monde peut contribuer, mais tout le monde est aussi garant de regarder le code, de regarder ce qui est déployé.

[Gaël] Les attaques par supply chain, c'est un vrai problème, notamment la dernière attaque sur NPM.

[Gaël] Mais en fait...

[Gaël] C'est souvent dans le monde du libre détecté très très vite, même sur des...

[Gaël] En fait, en seulement quelques heures, c'est détecté, c'est remonté, c'est corrigé, donc c'est aussi là où le libre a son intérêt.

[Aeris] Oui non, parce que XSZ typiquement, la faille existait depuis déjà deux ans et ça a été déjà déployé dans les infrastructures et personne ne l'a vu. Et on a eu la même chose avec Herb Lead sur OpenSSL, personne ne l'a vu. Et aujourd'hui, les dépendances ne sont pas auditées, il n'y a aucun contrôle, le code source n'est pas revu et on a un vrai souci de ce côté-là pour le libre. Et effectivement, il y aura des choses à faire des deux côtés et il y a des abus de chaque côté et il faudra effectivement trouver un truc entre les deux.

[Benjamin] Je pense que sur le constat on est d'accord, en toute façon c'est assez factuel. Après sur l'interprétation et l'analyse, je suis également pas tout à fait d'accord dans le sens où le logiciel libre, ça dit bien ce que ça veut dire, c'est que t'es libre. Donc t'es libre d'avoir des comportements à risque. Et si on revient à FDroid, ben ouais quand t'installes une application sur FDroid, alors moi...

[Benjamin] qui utilise un téléphone Samsung qui n'est pas routé avec un vrai OS Android de Google, j'ai 40 avertissements qui me disent « t'es sûr que tu veux vraiment faire ça ? » Je dis « oui je suis sûr » mais donc c'est la liberté que j'ai de prendre le risque.

[Benjamin] Et puis...

[Aeris] Si on prend l'exemple de F-Droid justement, n'importe qui ne peut pas publier des choses sur F-Droid, c'est F-Droid et exclusivement F-Droid qui fait la signature des paquets, qui recompile les paquets, etc. Et donc il y a une vraie gestion de la supply chain. Et de cette manière-là, n'importe qui ne peut pas aller publier une application sur F-Droid. Il y a un vrai contrôle très violent de F-Droid.

[Aeris] qu'est-ce que fait Google aussi de son côté. Mais voilà, on ne peut pas avoir un système ouvert complètement.

[Benjamin] Et moi j'ai même l'impression, alors ce j'ai pas fait d'étude hein, mais j'ai quand même vraiment l'impression que bah il y a moins de soucis sur Android que sur le Google Play Store. Alors il y a vraisemblablement aussi beaucoup moins d'appliqu... il y a moins d'applications, mais Google il recompile pas les applications.

[Aeris] Et c'est aussi la grosse différence entre...

[Aeris] Non, il ne recomplit pas les applications, mais justement il ne les vérifie pas non plus. Voilà, mais ce qui est... Chez Google, le problème, c'est qu'effectivement, n'importe qui pouvait déployer des applications et que...

[Aeris] c'est compliqué. Et F-Droid, on ne peut pas venir comme ça en disant bonjour je vais mettre mon application dans F-Droid. Il y aura un vrai protocole de qualification des données et donc il y a un système...

[Aeris] entre guillemets fermés pour F-Droid.

[Aeris] ce qui n'est pas le cas chez Google et pour le coup on le retrouve aussi chez Apple. Apple contrôle vraiment très fortement les applications qui rentrent sur son store.

[Aeris] Et on l'a vu avec GrapheneOS, on a exactement le même problème sur les systèmes de boot, etc. C'est bien Graphene, et uniquement Graphene, qui...

[Aeris] qui va certifier que les applications, les téléphones et les applications sont déployées correctement. Donc on a un besoin de centralisation.

[Aeris] pour gérer toute la partie réglementaire et tiers de confiance.

[Gaël] Sur la sécurité, je rajoute un tout dernier point avant de passer à autre chose mais...

[Gaël] Moi il y a une communauté que je suis beaucoup, qui est ses OpenSSF, ils font partie de la Linux Foundation et notamment leur but c'est comment sécuriser tout le monde de l'open source, c'est leur mission au sein de la Linux Foundation.

[Gaël] Et une de leurs vraies préoccupations c'est comment est-ce qu'on sécurise aussi les repositories où parfois il y a un ou deux mainteneurs qui sont un peu tout seuls, comment est-ce qu'on leur apporte de l'aide, comment est-ce qu'on leur apporte des outils...

[Gaël] Et donc c'est une mission.

[Gaël] c'est très très important de sécuriser la supply chain aujourd'hui pour nos applications open source. Je vous propose de passer au sujet suivant.

[Gaël] Parce que je crois que tu avais un sujet sur le Fédivers, Benjamin.

[Benjamin] Le quoi ? Le fait divers, hein, on fait une rubrique chien écrasé, fait divers...

[Benjamin] On la coupera au montage celle-là.

[Gaël] J'ai pas compris la blague.

[Gaël] Est-ce que tu peux nous expliquer, s'il te plait en tout cas moi m'expliquer parce que depuis que je te connais je n'ai toujours pas compris ce que c'était exactement Qu'est-ce que le Fated Verse ?

[Benjamin] Le Fédiverse, le Fédiverse c'est un...

[Benjamin] C'est un réseau social fédéré.

[Benjamin] C'est un univers de réseaux sociaux fédérés.

[Gaël] Donc par exemple comme...

[Benjamin] Et bien comme, pas du tout Facebook, mais comme Thread.

[Benjamin] qui utilise Activity Pub, qui est le principal, en tout cas le plus connu, protocole de réseaux sociaux fédérés.

[Benjamin] Pourquoi est-ce que j'avais envie de parler de ça ? Parce que on voit aujourd'hui qu'il y a de plus en plus de pression.

[Benjamin] de la part des gouvernements.

[Benjamin] et pas toujours celle qu'on apprécie et que...

[Benjamin] si on veut pas se retrouver sans la possibilité de communiquer entre nous.

[Benjamin] il va falloir très probablement...

[Benjamin] prendre les choses en main.

[Benjamin] Je sais pas si t'as un compte Twitter X

[Gaël] Euh... Je me... Je l'utilise pas.

[Benjamin] Moi j'en avais 5, j'ai fermé les 5 il y a plusieurs mois déjà, parce que j'estime que...

[Benjamin] tout à fait inadmissible de faire des saluts nazis, etc. Enfin bon bref, pour moi c'est un...

[Benjamin] Personne ne devrait, en son âme et conscience, être encore sur Twitter et X, comme je ne suis pas sur truth.social

[Benjamin] Je suis pas sur Gabe.com, je suis pas sur tous ces réseaux-là.

[Benjamin] J'ai pas du tout envie d'aller sur des réseaux de nazis.

[Benjamin] on va remettre une pétition dans les show-notes, une pétition pour demander à nos élus d'arrêter d'utiliser Twitter comme moyen de communication principale. Je trouve ça tout à fait scandaleux, inadmissible et crétin.

[Gaël] Ok, moi j'ai vraiment du mal avec les réseaux sociaux, c'est pas une habitude que j'ai, je poste peu, mais même sur tout un tas de réseaux sociaux. Fait divers, parce que...

[Gaël] Tu m'as fait créer un compte sur Mastodon, sur Piaille

[Gaël] Sur blue sky aussi tu m'as fait créer un compte. Est-ce que blue sky sait du fait diverse ou est ce que ça n'est pas ?

[Benjamin] Alors euh... et ben je ne sais pas, c'est... c'est du...

[Aeris] Techniquement, ça n'en est pas... Non, ça n'en est pas... C'est compliqué.

[Benjamin] mais non, c'est pas le même protocole. Quand on parle de fédiverse...

[Benjamin] Ça sous-entend le protocole Activity Pub qui est donc rien d'autre qu'un protocole qui permet d'échanger des messages.

[Benjamin] sur un site d'un réseau social, par exemple

[Benjamin] On va prendre Framapiaf qui est l'instance mastodon de Framasoft.

[Benjamin] Et ce protocole permet également d'avoir des boîtes...

[Benjamin] lettres en entrée et en sortie pour pouvoir envoyer des messages à l'extérieur, les poster ou s'y abonner, recevoir des messages.

[Benjamin] Et donc l'intérêt du Fédivers, du Fediverse...

[Benjamin] c'est que je vais pouvoir...

[Benjamin] mon réseau social à moi, que je vais pouvoir même m'auto héberger si je veux, et donc je vais être responsable.

[Benjamin] techniquement et aux yeux de la loi de ce qui s'y passe.

[Gaël] mais sachant que tu peux recevoir des messages de l'extérieur.

[Benjamin] Pour autant, je ne vais pas être tout seul avec mes trois copains ou mes trois utilisateurs, je vais pouvoir interconnecter mon réseau avec plein d'autres.

[Benjamin] avec d'autres réseaux alors si on parle de mastodon qui aujourd'hui est quand même le réseau fédéré le plus important en terme de millions d'utilisateurs

[Benjamin] mais je vais aussi pouvoir me connecter à d'autres réseaux sociaux qui ont d'autres typologies.

[Benjamin] Par exemple, on a Pixel Fed qui permet de partager des images un peu à la manière d'Instagram.

[Benjamin] On a PeerTube qui est une espèce de YouTube.

[Benjamin] On a Plume qui permet de partager du texte. Évidemment, on a Castopod

[Benjamin] qui permet de partager des épisodes de podcasts.

[Benjamin] Et d'ailleurs si vous écoutez ce podcast et que vous avez un compte mastodon,

[Benjamin] On vous invite ne serait-ce que pour savoir combien vous êtes à...

[Benjamin] à liker, partager ou commenter cet épisode depuis votre réseau social, et donc l'intérêt du fait divers.

[Benjamin] il n'y a pas d'intermédiaire entre...

[Benjamin] entre deux personnes.

[Gaël] Attends, je résume parce que juste...

[Gaël] Moi j'y comprends toujours rien, tu connais mon âge avancé, c'est trop compliqué pour moi

[Gaël] Le Fédiverse, c'est...

[Gaël] un protocole

[Gaël] d'échanges.

[Gaël] entre des logiciels, donc ça veut dire que...

[Gaël] Aujourd'hui, moi, si j'utilise un de ces logiciels qui ont intégré ce protocole...

[Gaël] Et bah en fait c'est trop bien parce que je peux communiquer avec tout le monde et plutôt qu'avoir du Facebook, du Instagram, du Twitter et puis du Mastodon Blue Sky je me mets à un endroit et théoriquement je peux recevoir les messages de partout sans... Ah !

[Benjamin] Oui. Oui.

[Aeris] Seulement du fait divers, du coup pas avec Blue Sky et pas de Facebook, etc.

[Gaël] J'y viens juste après.

[Aeris] C'est uniquement le réseau.

[Gaël] Mais j'y viens juste après justement.

[Aeris] C'est uniquement le réseau de l'activité public.

[Gaël] Je continue mon développement parce que c'est important pour moi de comprendre. Donc il y a ça. Ensuite, au-dessus, il y a des couches logicielles qui intègrent ce protocole.

[Gaël] Voilà, Activity Pub, donc tu les as toutes citées.

[Gaël] Pourquoi est-ce que Twitter, Facebook, etc. n'intègrent pas Activity Pub ?

[Gaël] et ils envoient des messages à tout le monde mais auquel cas, les nazis que tu le veilles ou non, ils iront sur ton réseau.

[Benjamin] les réseaux sociaux des GAFAM en général ne le font pas parce que eux ils ont un business modèle qui repose sur la publicité ou ils ont besoin d'être en vas-clos dans un écosystème fermé où ils vont pouvoir tout gérer donc ils n'ont pas du tout envie d'interconnecter.

[Benjamin] Il y a une exception, c'est Threads.

[Benjamin] qui intégrent Activity Pub, qui implémentent Activity Pub.

[Benjamin] Et ça pose tout un tas de questions, parce que du coup les gens se sont dit mais est-ce qu'on a envie de voir les millions d'abonnés de Thread venir sur Mastodon ?

[Benjamin] Bon, moi j'ai pas de réponse, et d'ailleurs j'ai même pas d'avis sur la question.

[Benjamin] Mais...

[Aeris] Après quand SREDs est arrivé, pour le coup ça a fait un vrai ras de marée sur le fait d'hiver.

[Aeris] parce que tout le monde appelait à l'interopérabilité avec les gros GAFAM, etc. Il y avait même eu des pétitions de lancers demandant l'interopérabilité. Et le jour où ils l'ont fait, ils ont jeté tous les gros qui sont arrivés parce que non, mais on comprenait, on va se faire un rosé par thread, etc. C'est vrai que c'est pas illogique, mais c'était assez bizarre.

[Benjamin] Alors, on peut dire que c'était saugrenu, mais c'est pas du tout illogique, parce que ce qui nous gêne dans les GAFAM, c'est pas qu'ils soient gros, c'est pas qu'ils soient GAFAM, c'est leur business model. Et à partir du moment où ils viennent avec leur business model, bah juste on n'a pas envie. C'est-à-dire qu'ils viennent avec leur publicité ciblée, avec leurs trucs, leurs machins, on dit voilà, on n'a pas envie.

[Aeris] Pour le coup, on ne l'aurait pas subi, mais...

[Benjamin] Oui.

[Aeris] puisqu'ils ne pouvaient pas envoyer de la pub sur le reste du fait divers. La pub, c'est uniquement leurs utilisateurs qui auraient été soumis à leur publicité.

[Benjamin] Le temps passe et je crois que Gael voudrait dire quelque chose et puis surtout on voudrait parler quand même dire deux mots des limites du fait diverse.

[Gaël] Non bah, c'est justement, je comprends un peu mieux comment fonctionne le fait divers.

[Gaël] C'est intéressant, donc un système fédéré. Je pense qu'on parle de tout ça.

[Gaël] Parce que le but c'est de...

[Gaël] récupérer du contrôle par rapport au GAFAM mais aussi pour se protéger au niveau de la liberté d'expression.

[Gaël] puisque si c'est nous qui contrôlons ces nœuds d'échanges...

[Gaël] et bah c'est nous qui gardons en fait un espace de partage.

[Gaël] Oui parce que le point c'est qu'aujourd'hui je pense que la plupart des gens qui hébergent ces instances...

[Gaël] elle l'héberge dans des serveurs, dans des data centers quelque part et en fait elle font toute la gestion pour nous, pour tout le monde quoi.

[Benjamin] Mais tu peux aussi t'auto héberger, par exemple Aeris, toi, ta propre instance sur le Fedivorce.

[Aeris] J'ai ma propre instance, effectivement.

[Gaël] Et en fait mon point c'est, parce qu'en fait il faut toujours prévoir un peu les pires scénarios, mais aujourd'hui la plupart je pense ils sont aussi des hébergeurs des datacenters un peu partout.

[Gaël] demain si on va vraiment dans un scénario catastrophique où l'état est repris par des gouvernements

[Gaël] Oui, plus qu'autoritaire, qui font des deals avec ces data centers, en fait à quel point est-ce que ce sera pas interdit de façon de communiquer ?

[Benjamin] ça résoudra clairement pas ce problème.

[Aeris] Ah bah de toute façon, ça résoudra pas les problèmes, clairement. Si aujourd'hui on a un gouvernement fasciste, et ça pourrait se voir aux États-Unis par exemple, qui voudraient interdire le fait divers, ça se fait très facilement.

[Gaël] Oui, parce qu'en plus on peut prendre le...

[Aeris] Et on n'aurait pas le... C'est ça, ça ne réglera pas le problème de ce côté-là. Ça va surtout être plutôt sur le contrôle des données et sur effectivement éviter les modèles commerciaux problématiques, mais sur un problème de votre pays de toute façon.

[Aeris] De manière générale, si le problème c'est votre État, juste changez d'État.

[Gaël] Donc tant que c'est un problème d'état, ça ne résout pas les problèmes à l'intérieur.

[Benjamin] Non mais on voit bien que ça commence...

[Benjamin] déjà les choses sont jamais noir ou blanche et puis ça vient jamais d'un coup ça vient progressivement et on voit qu'aujourd'hui les grossites ben sont les premiers visés

[Benjamin] Et que pour l'instant Mastodon, clairement tout le monde s'en fout, déjà parce que je pense que personne n'a vraiment bien compris.

[Benjamin] T'es pas tout seul, Gaël ?

[Gaël] Mais maintenant j'ai vachement bien compris.

[Benjamin] faudra qu'on aille sur le Dark Web.

[Gaël] Et donc, les limites du Fediverse.

[Benjamin] Alors moi je vais commencer parce que je pense que je suis celui qui préfère le fait divers parmi nous trois et néanmoins moi j'en ai deux qui sont d'ordre technique. La première c'est que...

[Benjamin] à mon sens le protocole ne définit pas assez bien ce qu'est un message et ce qui fait que quand on veut partager des photos, des textes, des podcasts

[Benjamin] et ben on sait jamais comment est-ce que ça va être affiché de l'autre côté parce qu'on sait pas quel est le réseau qui est utilisé sur le destinataire des messages.

[Benjamin] les destinataires et toute l'audience. Ça c'est le premier, je trouve que c'est trop paramétrable. En fait on doit faire un peu trop ce qu'on veut avec Activity Pop, ça c'est la première chose. Et la deuxième c'est qu'on n'a pas prévu assez bien de pouvoir migrer son identité.

[Benjamin] Donc de la même manière que aujourd'hui si je fais...

[Benjamin] chez Wanadu ou Caramail pour avoir une adresse mail.

[Benjamin] si je change de provider, donc de fournisseur d'adresse mail, je vais changer d'adresse. Il va falloir que je dise à tout le monde, attention, j'ai changé d'adresse.

[Benjamin] ça on le comprenait dans les années 80-90, aujourd'hui on sait faire mieux.

[Benjamin] mais le fait divers ne sait pas faire mieux.

[Aeris] Et surtout le vrai problème, c'est qu'on perd les données en plus.

[Benjamin] On perd alors on perd une grosse partie des données on perd les ses abonnés on perd ses abonnements et puis mais le pour moi le plus grave c'est qu'on perd son identité donc si aujourd'hui par exemple je suis chez Framapiaf et que demain je vais aller chez Piaï et ben je vais changer d'adresse et il va falloir je dis à tout le monde ma nouvelle adresse c'est ça et on peut pas

[Benjamin] Et des solutions, il y en a. Alors il y en a une qui est utilisée par Noster.

[Benjamin] C'est un peu compliqué. Il y en a une qui est plus simple qui est utilisée par Blue Sky. Puisque sur Blue Sky...

[Benjamin] si on a son propre nom de domaine, avec des noms de domaines, il y en a 2 euros par an, et bien on peut dire que mon identité c'est mon nom de domaine et du coup le jour où je change d'instance...

[Benjamin] et bien je vais pouvoir conserver mon identité et donc déménager en vous en suivant courrier en gros voilà

[Gaël] Donc au final t'es pour plus de fermeté, d'autorité et de contrôle.

[Aeris] Pour Blue Sky, c'est même encore plus que ça, parce qu'en fait l'identité qui est affichée, c'est juste un alias, en fait. C'est même pas la vraie identité derrière.

[Benjamin] Oui mais ça, moi en tant qu'utilisateur, je m'en fous.

[Aeris] La vraie identité derrière est incompréhensible, mais effectivement, vous pouvez le changer comme vous voulez, c'est indépendant justement de l'endroit où est votre donnée. Ce qui n'est pas du tout le cas avec Mastodon, on le fait un peu divers en général.

[Aeris] votre identité est liée fortement à votre instance utilisée.

[Benjamin] Aéris, je crois que toi t'avais aussi quelque chose à dire sur le fait divers ?

[Benjamin] En deux mots parce qu'on a déjà dépassé le temps à partie.

[Aeris] Oui, oui, oui, bah en deux mots, ça rejoint aussi un peu ce que je disais avant justement sur la partie, il y a un compromis à faire, c'est qu'aujourd'hui le fait divers c'est aussi développé sans forcément trop réfléchir aux conséquences, en particulier légales, il y a des choses qui peuvent être...

[Aeris] emmerdante pour la part de certains pays, par exemple les États-Unis font n'importe quoi. Il y en a aussi des lois en France comme le RGPD, et les instances... Et pour le coup, cette loi-là, on peut pas la contester, elle est intéressante et elle protège les données des gens. Mais Mastodon s'est pas du tout occupé de cette problématique-là, et donc aujourd'hui ça fait des bugs...

[Aeris] Il y a des gros bugs législatifs en fait qui ne sont pas conformes et donc bon, ça pourrait avoir pas mal de soucis. Il y a des problèmes de fédération justement aussi et de gouvernance en général. C'est que comme chaque instance fait ce qu'elle a envie, vous pouvez vous retrouver du jour au lendemain bloqué parce que votre instance a fait quelque chose que le réseau n'a pas apprécié. Et donc vous n'avez pas vraiment tout le fait divers accessible, mais seulement ce que votre instance vous permet d'accéder et seulement ce que les autres instances aussi vous autorisent ou non d'accéder.

[Aeris] Donc ça donne des fois des choses un peu problématiques.

[Benjamin] Mastodon, ça date de quand ?

[Aeris] C'était 2017, 2016-2017, la première version.

[Benjamin] et le RGPD.

[Aeris] et le RGPD 2016. Donc c'est aussi ça qui est étonnant. En plus, il y avait la préparation du RGPD, la directive 95, qui date de 1995, qui existait déjà avant. Et ils ont globalement pas du tout lu ce texte et pas du tout réfléchi.

[Aeris] à ce texte et c'est moi qui a fallu que j'aille devant la CNIL il y a quatre mois de ça en disant ben voilà j'aimerais appliquer le RGPD sur mon instance qu'est ce que je dois faire et personne ne s'est posé la question et quand on voit la réponse de la CNIL que j'avais déjà anticipé d'une certaine manière

[Aeris] Effectivement, on est quand même assez loin du compte en vrai

[Aeris] et ça m'a posé plein de soucis à droite à gauche de ce côté-là.

[Benjamin] Donc c'est pas clair. Et côté Blue Sky, c'est AT Protocol, AT Proto non ? C'est pas Activity Pub, on l'est.

[Aeris] Et justement, ils ont réfléchi un peu plus en amont, en séparant par exemple aussi beaucoup justement ce qui est stockage des données, ce qu'ils appellent PDS, Personnel Data Server.

[Aeris] et les app view qui sont les applications qui permettent de consulter ces données là. Et on a un vrai découpage au niveau de dataproto entre ces deux mondes là, ce qui n'est pas du tout le cas chez Mastodon. Donc Mastodon, l'instance qui vous héberge est aussi celle qui va afficher et qui va stocker vos données. Et donc quand vous partez, vous partez tout. Vous ne pouvez pas garder l'instance, enfin l'interface de Mastodon en partant vos données chez FireFish par exemple ou MISKI.

[Aeris] Et Blue Sky a justement séparé beaucoup plus cette chose-là. Et ce qui permet justement le transfert d'identité, c'est que vous venez avec vos données et vos données peuvent être placées n'importe où, sans ce qui ait d'impact sur votre identité. Vous partez avec toutes vos données, y compris vos anciens posts, vos anciens contenus, vos anciennes images. Le problème, c'est qu'aujourd'hui, Blue Sky est...

[Aeris] Sur le papier décentralisé.

[Aeris] effédérés et en pratique très centralisés, puisqu'il n'y a quasiment que Blue Sky aujourd'hui qui...

[Benjamin] C'est plus de 90% l'instance BlueSky.

[Aeris] C'est 90%, c'est ça. Il y en a quelques uns qui ont justement, il y a 2700 instances encore un qui existent sur BlueSky, mais c'est essentiellement des petits utilisateurs, voire des monos utilisateurs.

[Aeris] Mais en théorie, ATProtos permettent plus de flexibilité que...

[Aeris] et règlent pas mal des problèmes juridiques justement sur le papier. Après aujourd'hui effectivement c'est géré par des américains, c'est essentiellement centralisé sur Blue Sky.

[Aeris] Mais donc voilà, encore une fois, c'est une histoire de compromis à faire.

[Aeris] Et la solution technique d'AT Proto aura été plus intéressante à implémenter côté fait divers.

[Aeris] pour aussi les raisons de sécurité, pour tout plein de raisons.

[Aeris] Mais malheureusement, ça a mal...

[Aeris] ça a mal été déployé, on va dire, côté blue sky.

[Benjamin] Ok, et ben je pense qu'on va en rester là pour aujourd'hui. Merci Aeris.

[Aeris] Merci à vous.

[Benjamin] Vous avez écouté RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Benjamin] Ce podcast est publié par Castopod, solution open source libre et gratuite d'hébergement de podcast.

[Benjamin] N'oubliez pas que vous pouvez interagir avec ce podcast directement depuis le Fédiverse.

[Benjamin] et en particulier Mastodon.

[Benjamin] Merci à toutes et à tous, et à la semaine prochaine !