17 févr. 2014

Etanchéité entre Web et Vie Privée ? Il faut arrêter de rêver…

Parmi les utilisateurs d’internet ou de smartphones, bien trop nombreux sont ceux qui se croient - à tort - en sécurité quand ils surfent sur le Web ou quand ils fréquentent les réseaux sociaux. Pour des raisons souvent bien différentes :
. Soit ce sont des gens qui ignorent tout des rouages d’internet et des dangers ambiants,
. Soit ils s’en remettent entièrement à leur opérateur, par crédulité, facilité ou manque de temps,
. Soit ils sont avertis du danger, mais ils considèrent qu’il suffit de traiter le problème de la protection une fois pour toutes, sans avoir jamais à y revenir,
. Soit ils sont à la page, mais ils se croient invincibles, ou pensent que ça n’arrive qu’aux autres,
. Soit ils sont suffisamment avertis et vigilants, mais ils se sont fourvoyés ou ont été abusés.
  
Compromission des Données - Etanchéité entre ma vie privée et Internet
L'étanchéité supposée entre ma vie privée et ma navigation sur le Net n'est qu'une illusion
  
Compromission des Données - Etanchéité entre ma vie privée et le Net
l'étanchéité supposée entre ma vie privée et mes réseaux sociaux est un miroir aux alouettes
   
Ils pensent pouvoir surfer sans contrainte sur le Net et jouir d’une totale liberté de mouvements, avec une insouciance parfois déconcertante, sans peur des mauvaises rencontres ni des interférences, sans peur des possibles conséquences pour eux-mêmes et leurs proches, alors qu’en réalité, ils sont faits aux pattes !
    
Pas de liberté totale possible sur le Net : on est fait aux pattes ! Traqués, pistés, espionnés
I believe I can fly ?  Eh bah non, pas sur le Net !...
  

L’origine même du problème, qui est souvent la conséquence directe de leur comportement, c’est que leur système de protection est soit inexistant, soit inopérant (non activé, obsolète, ou compromis). Du coup, leur vie privée se retrouve particulièrement exposée aux atteintes en tous genres, sans étanchéité vis-à-vis des tentatives d’intrusion émanant de tiers : des annonceurs, des sites marchands, souvent des grands opérateurs eux-mêmes, parfois des services de l’Etat, et plus généralement de tout un tas d’individus malveillants, escrocs, farfelus, illuminés ou organisations interlopes qui traînent sur la toile. L’arme favorite de ces gens-là : les logiciels potentiellement indésirables (PUP/LPI ou malwares).
 
Compromission des données - les risques pour ma vie privée
Etanchéité imparfaite entre ma vie privée et ma navigation sur le Net
  
Compromission des données - risques d'atteinte à la vie privée
Etanchéité imparfaite entre ma vie privée et mes réseaux sociaux
  
Peu importe si ces intrus font main basse sur les données de leurs cibles pour les exploiter immédiatement ou ultérieurement, ou si c’est pour les détruire, ou pour assouvir tel ou tel besoin irrépressible. Dès l’instant où il y a intrusion, il y a compromission des données, et par conséquent, il y a un risque que la vie privée en pâtisse, d'une façon ou d'une autre (habitudes ou comportements intimes dévoilés, fréquentations divulguées, codes secrets et n° de comptes bancaires révélés, etc).

Face à ce risque, la première attitude à adopter à titre préventif consiste à s’informer, à comprendre les techniques de base du Web2.0 et les fondements du webmarketing, et à adopter le mode "vigie", en scrutant en permanence l’horizon immédiat pour anticiper les écueils. C’est vrai qu’ils sont plus faciles à éviter lorsqu’ils sont apparents et visibles de loin.
Mais si pour naviguer en sécurité, ça ne tenait qu'à ça, ça serait presque un peu trop facile…Hélas.
    
Il est plus facile d'anticiper les écueils quand ils sont apparents
 
En réalité, la menace est beaucoup plus insidieuse : ce qui se passe là-dessous, en coulisses, n'a rien à voir avec le monde de oui-oui qui s'affiche à l'écran. Car à l’instar d’une mer parsemée d'icebergs, Internet recèle bien des dangers invisibles à l’œil nu. En tout cas, invisibles pour le débutant ou l'amateur non éclairé, ou pour celui qui n'est pas assez vigilant. Si on avait été à la place du capitaine du Titanic, on aurait rêvé de pouvoir jeter un œil en permanence en dessous de la ligne de flottaison, pour voir à l'avance si la coque avait une chance de passer au milieu des blocs de glace. Mais ça, c’est de la science-fiction (ou plutôt de l'uchronie).
Bien pire : sur Internet, ce n’est pas 90% qui est invisible ou incompréhensible aux yeux de la masse des internautes, c’est largement plus. Entre le côté visible, public d'Internet et son côté caché, profond et difficilement accessible, on est plutôt dans une proportion de l'ordre de 1 pour 500.
    
Face apparente d'internet - Face cachée d'internet
Face apparente et face cachée d'un iceberg : il y a un rapport de 10%-90%
    

Pour en savoir plus sur la face cachée d'internet (Deep Web) :
Le Web profond, véritable face cachée du Net (source : txa.fr)
Deep Web, Darknet : incursion dans la face cachée du Web (source : UnderNews.fr)

Pour autant, inutile de se faire peur pour rien. Ce n'est pas ce qui se passe en eaux profondes qui représente une réelle menace pour le navigateur en surface, mais bel et bien ce qui se cache tout près de lui. Peu importe si le Deep Web n'est pas très jojo, il faut juste rester à distance. Il suffit de le laisser là où il est, c'est-à-dire bien au fond : il y trouve son compte, et ce n'est pas lui qui viendra vous chercher. Il faut simplement se rappeler le vieil adage : qui s'y frotte s'y pique !

Revenons donc à ce qui nous intéresse ici, à savoir les menaces qui peuvent peser sur la vie privée de l'internaute : celles qui guettent derrière son écran, à proximité immédiate de son univers (déjà résidentes dans sa machine ou seulement éloignées d'un clic), sans qu'il ne sache les déceler.

Bien sûr, la crédulité et la naïveté seront toujours les premiers angles d'attaque de ceux qui veulent pénétrer dans l'intimité des gens pour mieux les dépouiller. Quand c'est fait avec talent, qui plus est par des professionnels, il n'y a même pas d'effraction : c'est la proie elle-même qui fait rentrer le prédateur chez elle, lui donne ses clés ou ses codes. C'est une pratique qui existe depuis que le monde est monde, bien avant l'avènement d'Internet !

Mais il faut être bien conscient que les atteintes à la vie privée sur Internet ne concernent pas que les plus ignorants, les inconscients ou les gens négligents (hormis les plus fragiles, ceux-là n'ont que ce qu'ils méritent). Non, elles concernent aussi ceux qui ont mis en place (ou pensent avoir mis) une protection, utilisé des outils, ou développé une stratégie de défense.
Eh oui, même lorsqu'elles sont actives, les mesures de protection ne garantissent pas l'étanchéité à 100%.

En effet, toute muraille, même la plus sophistiquée, a son point faible. Nul système de protection ne peut prétendre à la perfection, surtout quand il est conçu par l'homme : il comporte forcément des failles, parfois infimes, que des tiers pas toujours bienveillants sauront détecter et exploiter. Par voie de conséquence, tout le monde est concerné par de possibles compromissions, même si pour les plus vigilants, évidemment, les "attaques" (tentatives d'intrusion) sont forcément moins aisées, et donc moins fréquentes. N'oublions pas qu'un homme averti en vaut deux !   

Une chose est sûre : surfer sur internet ou fréquenter les réseaux sociaux, ça n’est pas et ça ne sera jamais sans risque pour la vie privée. Pour tous ceux qui ont cru le contraire ou le croient encore, il n’y a qu’un message : il est temps de se réveiller et de réagir !...Notamment en changeant de comportement (ne pas mettre tous ses oeufs dans le même panier, ou dans les mains d'un seul opérateur), et en s'orientant vers plus de vigilance, mais aussi en adoptant des mesures radicales et rigoureuses (réglages des paramètres de confidentialité, diversification des mots de passe, cryptographie, usage du VPN, etc).
Les mesures prises n'auront pas d'autre effet que d'être "flame retardant", car de toute façon, rien ne peut résister indéfiniment au feu. Le but, ce n'est pas de trouver la péréquation de l'invincibilité, c'est de retarder le plus possible les effets des intrusions éventuelles et de disposer de suffisamment de temps pour trouver des échappatoires ou bien de faire diversion, afin de s'en sortir indemne.
   
Sur internet, la sécurité parfaite est juste une illusion
La sécurité totale vis-à-vis de la compromission des données n'existe pas, hélas
  
Articles de référence déjà publiés sur eml (éclairer ma lanterne) sur la "Vie Privée" : 

27 janv. 2014

Piratage et espionnage électronique : ça n'arrive pas qu'aux autres ! Et vous, pensez-vous en être protégés ?

Edward Snowden, lanceur d'alerte (source : A. Lefébure)
A la seconde où nous rentrons des informations dans nos smartphones, ordinateurs ou tablettes, et qu’elles sont mises en réseau, nous courrons avec elles trois grands types de risques :
1°) Le risque de panne ou de perte de données pour des raisons techniques, ayant une origine humaine ou physique (erreur de conception ou d’exploitation, négligence, défaillance, accident, concours de circonstances exceptionnelles, catastrophe naturelle, etc).
2°) Le risque de compromission, émanant de tiers.
3°) Le risque de dépendance

Lorsqu'un de ces risques se concrétise, il est bien rare qu'on s'en sorte indemne par nos propres moyens, par notre seule compétence, par force de caractère ou par volonté, dusse-t-elle être de fer. Ce sont les professionnels et les grands opérateurs qui détiennent les réponses, même si elles ne sont pas parfaites. Le problème, c'est que ce sont aussi eux qui bien souvent sont à la source du risque. A nous de choisir le bon opérateur et de diversifier les solutions techniques, en nous adaptant en permanence à la réalité du risque :
   
1°) La réponse au premier type de risque passe, pour les grands opérateurs (téléphonie mobile, Web ou Cloud), par la mobilisation de moyens financiers pour investir dans l’infrastructure, les contrôles internes, les sauvegardes, etc. Mais même la plus belle des architectures conçues par l’homme ne pourra être complètement à l’abri des conséquences d’une erreur ou d’une négligence commise en amont ou pendant le service : c’est le fameux « facteur humain ».
Il y a une autre contrainte évidente, commune à tous les opérateurs : les ressources consacrées à l'investissement ont forcément une limite. Parce qu'elles doivent être quelque part indéxées sur les résultats à court terme, parce que la structure financière de la firme est ce qu'elle est, et parce que les actionnaires veulent aussi être servis. C'est la tyrannie du ROI : pas de I sans R à court terme, et pas de R à moyen terme sans I.
   
2°) Quant au risque de compromission des données, il n’est pas près de s’amenuiser : les informations personnelles sont tellement convoitées qu’on dit qu’elles représentent déjà l’or noir de demain. La furie pour les big data rappelle en tout cas celle de la ruée vers l'or. Et dans de pareils cas de frénésie, l’imagination humaine n’a pas limite ! Surtout quand elle est guidée par la partie reptilienne du cerveau, et qu’elle cherche à assouvir des sensations aussi irrépressibles que la cupidité, la jalousie, la curiosité, la passion, ou le désir. Ou qu’elle est mise au service d’une idéologie qui ne fait pas bon ménage avec la raison. Elle sait s’adapter et arrive toujours, tôt ou tard, à déjouer les parades les plus savantes mises en place pour verrouiller les accès et éviter les intrus. La menace est tellement protéiforme et dynamique que la recherche de la meilleure protection est une quête sans fin.
   
3°) Pour le risque de dépendance, c’est encore pire : l’utilisateur lambda a peu d’espoir d’y échapper, et ce phénomène est d’autant plus prégnant que les géants High Tech travaillent tous les jours à renforcer leur emprise, avec des moyens contre lesquels il est difficile de lutter.

On ne développera pas ici les aspects liés au risque n°1 (cf techniques de redondance des réseaux) ou au risque n°3 (cf article sur le phénomène d'addiction à internet). Intéressons-nous plutôt au risque n°2 : la compromission des données !

Ce terme regroupe à la fois l’espionnage, le piratage, et toutes les formes d’interception et/ou d’utilisation abusive de données personnelles à l’insu de leurs propriétaires.
Comme évoqué plus haut, ce risque apparaît à l’instant même où l’on échange des données sur un réseau électronique, qu’il soit matérialisé par des câbles ou pas (Radio Fréquences, HF, Wifi, Bluetooth..). Il est bien loin, le temps des plombiers du Watergate ou du Canard Enchaîné : le branchement sauvage au sous-sol des immeubles à surveiller est sans doute une pratique encore en cours, mais seulement chez les amateurs : trop artisanal ! Aujourd’hui, de nombreuses techniques permettent aux informaticiens spécialisés de pénétrer à distance les systèmes et serveurs informatiques, ou simplement d’écouter ce qui s’y passe en restant juste à proximité immédiate, sans même passer par le réseau.

Parmi les différents types de compromission de données, il faut bien distinguer ceux émanant des services de l’Etat de tous les autres.

La compromission des Données pour raison d’Etat
  
On va d’abord s’intéresser aux tentatives de compromission de données téléguidées par les autorités d'un Etat (police, armée, services secrets) et motivées par des raisons « supérieures » (lutte anti-terroriste, sécurité d'Etat, protection de l'économie nationale et de ses richesses). Dans ce cas, on parle plutôt d'espionnage d'Etat.

La plupart du temps, l'espionnage réside dans l'écoute des communications internet et téléphoniques par les services de Renseignement ("Intelligence", en anglais), communément appelés « les grandes oreilles », afin de récupérer les informations relatives aux sujets ciblés (par "mots clés") et de les traiter. La collecte des données peut être centralisée ou répartie, et revêtir une envergure plus ou moins large, selon les moyens de l'Etat en question. On sait par exemple que la NSA sait accéder aux serveurs des grands opérateurs et à ceux des entreprises ou organisations ciblées (collecte "downstream"), mais elle ne se gêne pas non plus pour prélever tout ce dont elle a besoin directement sur les câbles sous-marins inter-continentaux et sur l'infrastructure dorsale d'internet (collecte "upstream").
   
Comment la NSA espionne les ordinateurs et serveurs sans passer par le réseau (source : NY Times)
  
Mais les motifs invoqués plus haut, respectables en tant que tels et pour lesquels les citoyens seraient généralement prêts à sacrifier un peu de leur vie privée, ne sont pas forcément les seuls qui intéressent les autorités quand elles espionnent à tout va, non seulement sur le sol national mais aussi à l'étranger. Bien souvent, elles profitent des moyens redoutables qui sont à leur disposition pour servir des motifs moins nobles, et promouvoir, voire favoriser les intérêts économiques de leurs champions nationaux (intelligence économique), quand ce n’est pas pour nuire directement à ceux de leurs concurrents (cybercriminalité d’Etat, comme la pratique la Chine, par exemple).

A la lumière de l’Affaire Prism révélée par Edward Snowden, les utilisateurs de Google, Apple, Facebook ou Amazon (les fameux GAFA) sont en droit de se demander s’ils sont mieux ou moins bien protégés que chez le concurrent, vis-à-vis des risques d’intrusion dans leur vie privée qui pourraient être motivés par ces raisons « supérieures ».
  
La réponse vient d’être donnée par une ONG américaine, l’Electronic Frontier Foundation (EFF), qui a fait une enquête poussée sur l’ensemble des acteurs High Tech (Net, Cloud, Mobilité) aux USA.

Enquête d'EFF sur les garanties apportées par les Géants High Tech vis-à-vis de l'espionnage d'Etat
     
Le résultat de cette enquête apparaît sous forme d’un tableau de comparaison, dans lequel le nombre d’étoiles traduit le degré de fiabilité constaté chez chacun de ces acteurs, et les moyens qu’ils consacrent à la protection des données individuelles qu’ils hébergent ou véhiculent.

Voici le classement des firmes qui inspirent le plus confiance, par ordre décroissant :
En premier : Twitter
En second : Google, LinkedIn, Dropbox
En troisième : Microsoft, Foursquare, WordPress
En quatrième : Facebook, Tumblr
En cinquième : Amazon
En dernier : Apple, Yahoo!

Ces résultats ont de quoi surprendre, puisqu’apparemment, Google serait plus prompt à défendre nos intérêts personnels que ne le ferait Apple. Mais n'allons pas trop vite dans nos conclusions : l'enquête en question ne s'est intéressée qu'à la surveillance émanant des autorités d'Etat (services de renseignement, etc).

La compromission des Données, en dehors de la raison d’Etat
  
Au-delà de la raison d’Etat, il existe beaucoup d’autres sortes de tentatives de compromission de données qui sont lancées quotidiennement contre des cibles individuelles ou collectives, et qui émanent d’organisations, de firmes ou de simples particuliers. Ces tentatives touchent tous les types de machines, d'échanges de données et de réseaux de communication, qu'ils soient bien réels ou totalement virtuels, et même quand les protections nécessaires ont été mises en place. Mais bien entendu, les attaques prolifèrent à chaque fois que la protection est inexistante, périmée, oubliée ou temporairement désactivée (eh oui, ça arrive, et plus fréquemment qu'on ne le croit !). C'est bien souvent le cas des connections Wifi ou Bluetooth, par exemple.

Parmi ces tentatives de compromission, on peut distinguer celles qui touchent de près ou de loin le milieu de l'Entreprise, de toutes les autres qui n'ont rien avoir avec.

Une étude récente de PwC révèle que l'ensemble des Entreprises de par le monde ont augmenté en 2013 leur budget moyen consacré à la sécurité de plus de 50%, et qu'elles ont enregistré dans le même temps une hausse du nombre d'accidents de sécurité informatique (tels que détectés) de 25%. Ce chiffre peut s'expliquer en partie par le fait que dans la même période, la capacité technologique à détecter de tels incidents a également progressé.
La même étude révèle que les incidents de sécurité électronique qui touchent l'Entreprise émanent en majorité (à 58%) de ses salariés ou anciens salariés.
   
Origine des tentatives de piratage, à l'intérieur et autour de l'Entreprise (source : PwC)  
Origine des tentatives de piratage, en dehors de l'Entreprise (Source : PwC)
   
Sur un autre plan, on peut aussi classer ces tentatives de compromission de données en trois catégories :

Il y a toutes celles qui sont lancées dans un but clairement "intéressé", c'est-à-dire avec l'intention que ça rapporte de l'argent, à plus ou moins court terme. Bien entendu, elles font tout pour rester aussi discrètes que possible, de manière assez sournoise la plupart du temps.

Beaucoup d'entre elles s’efforcent de rester légales (ce qui ne veut pas forcément dire qu’elles le soient). Il s'agit en majorité de pratiques mises en oeuvre à des fins purement commerciales ou bassement mercantiles, dans le but avéré de "cibler plus pour vendre plus". Leurs auteurs, qui sont bien souvent des professionnels ayant pignon sur rue, exploitent au maximum la puissance des algorithmes, l’Intelligence Artificielle, et la programmation Web2.0 (html, adwares, PUP/LPI..). Pour désigner ce genre de pratiques et techniques, on parle pudiquement de "Webmarketing". Certaines peuvent se révéler très insidieuses, comme l'IP Tracking, par exemple, mais les victimes ne se manifestent guère : soit elles n'en ont pas conscience, soit elles se sont résignées à considérer le phénomène comme un mal nécessaire...et donc acceptable, en quelque sorte, puisqu' indolore en apparence.

Les autres se rangent carrément du côté obscur de la force (on parle alors de cybercriminalité). Leurs auteurs n’ont aucun scrupule à utiliser des techniques illégales dites « Black Hat » ou « Grey Hat » (malwares, attaques de type DoS ou DDoS, XSS, CSRF, MitM, Zéro-Day, injections SQL, usurpation ou spoofing, etc), pour mieux escroquer, abuser, manipuler, ou nuire à un concurrent ou à une organisation. Leur but est l’extorsion de fonds ou la destruction des gêneurs. On retrouve dans cette famille les attaques lancées par le crime organisé, ainsi que tous les cas de phishing et de skimming qui pullulent sur le Net.

Enfin, il y a les tentatives de compromission de données lancées de manière tout à fait « gratuite » (ce qui ne veut pas dire qu'elles n'auront pas de conséquences financières). Elles prennent plus souvent la forme d'intrusions (actes de piratage ou simples visites) que d'écoutes, et sont perpétrées par des hackers aux intentions diverses (visites opportunistes, veille active, volonté de nuire ou à l’inverse, volonté de combattre le mal), qui peuvent avoir des motivations diamétralement opposées (par passion, par idéologie, par curiosité, par méchanceté, dépit, vengeance, jalousie, ou simplement pour le fun..). Les actes de malveillance sont hélas les cas les plus fréquents.

Et malheureusement, face à ces compromissions, il n’y a pas de recette miracle, tout juste quelques outils à utiliser, des précautions élémentaires à prendre, et surtout beaucoup de bon sens à avoir. Ce ne sont pas Apple, Google, Facebook ou Amazon qui pourront véritablement nous protéger de ce fléau, et il est même recommandé de ne pas remettre son destin numérique entre les mains d'un seul et unique opérateur si on veut rester à l'abri de la menace. Sans tomber dans la paranoïa, il est toujours plus prudent de jouer les furtifs et de diversifier son mode de présence sur les réseaux. Car c'est à force d'utiliser les mêmes codes, de suivre les mêmes routines et de répéter les mêmes habitudes qu'on finit par se faire repérer, accrocher, puis dépouiller.

  
Articles de référence :
 
Espionnage et surveillance électronique :
Article eml du 01/08/13 : "L'espionnage électronique et la surveillance des communications"
Rapport d'enquête EFF sur "Comment les firmes protègent vos Données de l'espionnage d'Etat"
Article de Jolpress.com du 01/07/13 : "Sur Google, Facebook ou Apple, les USA nous espionnent"
Logiciels d'espionnage et de contre-espionnage, pour repérer les intrus et mouchards (keyloggers)
Article du Monde.fr du 27/08/13 : "Infographie sur la pieuvre de la cybersurveillance de la NSA"
Article de FranceTVinfo.fr du 15/01/14 : "La NSA sait surveiller des ordinateurs non-connectés"

Sécurité de l'information et techniques de piratage :
Rapport d'enquête Verizon sur les Compromissions de Données
Etude PwC sur la Sécurité de l'Information 2013
Recommandations et Guides de l'ANSSI pour garantir la sécurité de l'Information (site officiel)
Article de Gautier Girard (Nov 2012) : "Recommandations de la CNIL pour sécuriser vos données" 
EnsiCaen : "Le piratage informatique : inventaire des techniques d'attaque"
Article de Testsdintrusion.com : "40% des intrusions par malwares sont dus à des sites pornos"
Université Paris-Descartes : "Le Projet TER : Détection d'Anomalies sur le Réseau"
Blog Bases-Hacking.org de FrizN : "Internet et ses failles"
Blog Undernews.fr : "Les attaques Zéro-Day"

Sécurité sur le Cloud :
Précautions à prendre :

31 déc. 2013

Tous les chemins mènent à Google ? Ça se pourrait…

Panneaux indicateurs ramenant à Google, inexorablement
   
C’est presque devenu un lieu commun que de dénoncer l’omniprésence de Google dans notre vie quotidienne. Et un peu facile, en même temps.
  
Certes, Google est en position archi-dominante sur le marché des technologies de l’information et des communications, et d’abord sur Net. Mais si l’on regarde d’un peu plus près et que l’on reste parfaitement objectif, on voit bien que Google n’est pas le seul acteur au-dessus de la mêlée : Apple a lui aussi une position tout à fait impressionnante, qui vient contrebalancer l’hyperpuissance de Google sur pas mal de segments, et même la supplanter pour quelques-uns. D’ailleurs, Apple c’est 1,35 x la Capitalisation Boursière de Google, et 3 x son Chiffre d’Affaires ! Juste derrière eux, il y a Microsoft qui s’efforce de revenir au tout premier rang. Puis Amazon. Encore derrière, mais un peu plus loin, Facebook et Yahoo! Eh oui, aussi surprenant que cela puisse paraître, Facebook est encore un nain, comparé à Apple, Google ou Microsoft (voir le tableau comparatif ci-après)...
  
Les GAFA = Google, Apple, Facebook, Amazon et les autres..
     
Evolution des firmes HighTech depuis 9 mois, et Potentiel
Position comparée des géants de la technologie Web et Mobile (à Fin décembre 2013), passé récent et potentiel
     
La grande vertu de cette concurrence qui fait rage dans le milieu des firmes Hi' Tech (NTIC Web et Mobile), c'est que, même si la perspective que Google puisse régner un jour en maître incontesté de la planète Web et de l’univers de la Mobilité n’est pas à écarter, elle n’a rien de fatidique.
  
Pour le moment, il n’y a pas photo : c'est Google qui a fait le plus de buzz en 2013. La firme de Mountain View a su se rendre quasiment incontournable, pour qui se connecte et entreprend une recherche; c’est-à-dire pour à peu près tout le monde. Aujourd'hui, c’est bien simple : tous les chemins mènent à Google !
    
Google est devenu incontournable
Tous les chemins mènent à Google
   
Les adeptes de la firme à la pomme vont probablement sursauter en lisant cela. Les plus radicaux vont même certainement se sentir vexés, et s’insurger en prétendant qu’ils n’ont rien à faire avec Google. Parmi eux, combien peuvent jurer qu’ils n’ont pas d’adresse gmail, ou qu’ils n’utilisent jamais YouTube ? Et surtout, ont-ils la moindre idée de l’extraordinaire système publicitaire mis en place dans les coulisses du Web par Google, grâce à ses outils Adwords, Adsense et AdX Double Click utilisés par la majorité des annonceurs et des éditeurs, pour générer et maîtriser le trafic ?

La vraie question, c’est : peut-on échapper aux mailles de Google aujourd’hui ?
Il faut avouer que le simple fait de poser cette question, c’est reconnaître implicitement que la réponse ne coule pas de source, et qu’on est comme piégé, coincé, fait aux pattes. Damned !
  
Dès qu'on commence avec Google, on se fait accrocher, et ensuite, plus moyen de décrocher
  
On vous l’a dit et répété, une fois que vous êtes « accroché » dans sa toile savamment tissée, Google sait tout de vous, grâce à différents outils (géolocalisation, cookies, adwares, etc), et à un traitement approprié de l’information (algorithmes, métadonnées, intelligence artificielle, etc). Il sait où vous êtes maintenant, où vous étiez le 11 novembre, quels sont vos contacts, quelles études vous avez poursuivi, quel est l’état de votre compte en Banque et de votre patrimoine, et surtout, quelles sont vos habitudes : qui vous fréquentez, ce que vous achetez, où vous partez en vacances, etc.

Dans le genre mouchard, le plus mortel, c'est gmail : c'est gratuit, c'est simple et extrêmement pratique, et on y met toute notre vie (dans le contenu des mails et dans les contacts), sans modération...sans penser un instant que Google stocke tout ça quelque part, forcément, et le traite, d'une manière ou d'une autre (et de surcroît, Google est soumis, rappelons-le, au Patriot Act américain). Et l'instrument le plus sournois que la firme a trouvé pour nous piéger, c'est sans conteste son réseau social Google+ : c'est relié à gmail, et ça se propage de manière quasi-virale, en tout cas dans des proportions qui dépassent vite notre entendement. Sournois et pernicieux. Et pour revenir en arrière, c'est pas gagné...

Tout récemment, Google a lancé le programme « Google Glass », qui promet de faciliter la vie de ceux qui porteront les fameuses lunettes. A ce propos, le Web rapporte le cas de ce chirurgien opérant avec les Google glass, suivi à distance en temps réel par un autre chirurgien chevronné, pouvant lui prêter assistance et lui montrer les gestes de référence, pour plus de sécurité.
Aujourd’hui, alors qu’on est encore en période de test, ces lunettes font figure de lunettes magiques, mais demain, on pourrait fort bien les qualifier de maléfiques, quand on s’apercevra à quel point elles vont faire des ravages sur le plan de la vie privée. Pour le moment, tout est parfait dans le meilleur des mondes…, mais que se passera-t-il quand la reconnaissance faciale (Face Rec.) sera activée ? Les promoteurs du projet ont-ils bien conscience des conséquences que cela va entraîner sur le plan social ? C'est une véritable boîte de Pandore que l'on s'apprête à ouvrir là...
   
vers un futur cyberpunk ?
N'allons-nous pas tout droit vers un futur cyberpunk ?
  
La firme vient également de trouver le moyen pour pouvoir « penser » et répondre à la place de l’internaute, pour l'aider à gérer son afflux de mails ou à simuler sa présence pro-active sur les réseaux sociaux. Elle prévoit de lui suggérer des réponses automatiques et soi-disant "intelligentes" basées sur sa psychologie, déduite de l’observation préalable de son comportement sur la toile et de ses préférences, et qu’il n’aura qu’à valider. Tout ça pour lui faire gagner du temps. Aïe, aïe, aïe, mais où va-t-on, là ?
Seigneur, pardonnez-leur, ils ne savent plus vraiment ce qu'ils font...

D’après son ancien PDG Eric Schmidt, il y a même « beaucoup, beaucoup d'autres choses que Google pourrait faire (comme injecter des implants dans le cerveau humain, qui permettraient de déclencher une recherche par la simple pensée), mais qu’il s’interdit de faire, du moins pour l’instant…jusqu’à ce que la technologie s’améliore ». Effrayant !
Une telle arrogance laisse pantois, surtout de la part d’un responsable aussi éminent, qui est resté Président exécutif de la firme de Mountain View.
   
Un futur qui ressemble à celui de Matrix
L'aliénation, c'est quand l'individu n'est plus lui-même, qu'il est dépossédé de ce qu' il a de plus intime...
  
Alors, pour répondre à la question posée plus haut : difficile de savoir si collectivement, on peut vraiment échapper à tout ça, mais individuellement, ça oui, chacun doit pouvoir se prononcer, en fonction de son caractère, mais aussi en fonction de son niveau d’instruction (au sens propre du terme) et de son degré d’addiction aux nouvelles technologies.

En réalité, les méfaits d’une trop grande dépendance aux nouvelles technologies et à un groupe High Tech de premier rang, que ce soit Google ou un autre, c’est exactement comme les méfaits du tabac : ça n’a rien d’inéluctable. L’Etat a compris que la meilleure façon de faire prendre conscience aux fumeurs des dangers qu’ils courraient, c’était de leur coller des messages d'alerte carrément sous les yeux, plutôt que de les taxer. A partir des années 80, l’Etat décide donc d’avertir le consommateur en indiquant sur les paquets de cigarettes que « le tabac nuit gravement à la santé ». Puis il passe à la vitesse supérieure et transforme le message d’alerte en « Fumer tue ». Et ça a marché. Pas complètement, mais ça a eu des effets véritablement dissuasifs.

Et c’est vrai, quand on y regarde bien, qu’à force de passer autant de temps chaque jour devant notre ordinateur ou notre smartphone, chaque clic supplémentaire finit par nous aliéner un peu plus (au sens de « nous soumettre à des contraintes », « nous rendre esclaves »). Aussi sûrement que le tabac tue.

Et qui dit « êtres aliénés » ou « dépendants » d’un côté, suppose forcément à l’autre bout, tout en haut ou caché derrière, l'existence d'une entité, personne physique ou morale, tentée de prendre le contrôle.

Alors dénoncer cet état de fait, oui, mais comment ? On ne va quand même pas faire apparaître un pop-up à chaque connexion, rappelant les méfaits d’une trop grande dépendance à Google. Ni faire apparaître une bulle à chaque clic, avec le message « cliquer aliène ». On se dit pourtant que c’est ce qu’il faudrait faire pour que certains ouvrent les yeux…
Réveiller la masse silencieuse des internautes et utilisateurs de smartphones, embringués dans un processus qu’ils ne soupçonnent pas/ne comprennent pas/ne craignent même pas ? Difficile : c’est ce qu’on appelle le conditionnement. D’autant qu’aujourd’hui, personne n’en souffre vraiment, et même au contraire. Les consommateurs qui se situent au bout de la chaîne alimentaire sont enchantés par la succession de nouvelles applications et la pléthore de services offerts sur le Net et sur les Mobiles, et sont persuadés que ce sont eux les grands gagnants. Voire.
   
Google et moi...et moi, émoi
   
Il est même probable qu’une grande majorité d’entre eux, dans un élan d’empathie qui pourrait s’assimiler au syndrome de Stockholm, serait prête à prendre fait et cause avec véhémence pour Google, si ce dernier venait à connaître des temps plus difficiles. Et je ne parle même pas de la réaction des aficionados et autres inconditionnels de la firme.

Pourtant, ils pourraient bien un jour avoir le réveil difficile, si de dominante, la position de Google venait à se transformer en exclusive, après avoir éliminé ou absorbé tous ses concurrents. Passons sur les différents scénarios et évènements qui pourraient conduire à une telle situation (guerre totale jusqu'à ce que mort s'en suive, ou paix des braves ?), et sur la période forcément agitée qu'un tel bouleversement ne manquerait pas d'engendrer chez les utilisateurs et dans le monde. Ce serait alors l'avènement de Google en tant que Big Brother incontesté. La suite dépendrait alors du comportement de ses dirigeants et de leur état d'esprit, pour ne pas dire de leur état mental.
   

Est-ce que la gouvernance de Google est suffisamment fiable et équilibrée, d’un point de vue déontologique, pour que le risque de mégalomanie, ou d’ivresse du pouvoir qui pourrait atteindre son ou ses dirigeants soit totalement écarté ? Et même en imaginant un pouvoir particulièrement bienveillant à la tête d'un tel empire, est-ce que nous ne serions pas moins des êtres asservis ?

Sinon, à part la concurrence, quels seraient les autres garde-fous pour nous éviter la fuite en avant vers un futur bien sombre et dystopique, type cyberpunk ?
Les Etats ? Ils sont soit impuissants vis-à-vis des GAFA (ex : La France), soit de connivence ou complices (ex : les USA et l’affaire Prism), soit carrément de l’autre bord, suspects d’organiser une autre forme de cybercriminalité d’Etat (ex : La Chine).
Les Citoyens ? Effectivement, si on n’a pas une confiance absolue dans les Etats pour défendre le citoyen, et si on suppose l’hypothèse d’une extinction de la concurrence comme crédible, il faut se résoudre à croire que le sursaut ne pourra venir que des citoyens eux-mêmes. Et pour que ce sursaut puisse avoir lieu, il ne faut pas attendre qu’il soit trop tard pour prendre de bonnes habitudes/rectifier nos comportements.

Dans son essai "Brave New World revisited" écrit en 1958 (où il revisite son propre roman "Le meilleur des mondes", paru 26 ans plus tôt), Aldous Huxley nous passait le message suivant : "Il reste encore quelque liberté dans le monde. Peut-être les forces qui la menacent sont-elles trop puissantes pour que l'on puisse leur résister très longtemps. C'est encore et toujours notre devoir de faire tout ce qui est en notre pouvoir pour nous opposer à elles".

Moralité : restons tous vigilants, et prenons - chacun à notre niveau, pour nous et pour les nôtres - les quelques précautions qui s’imposent sur les réseaux connectés, tant dans notre comportement quotidien (prudence, impertinence, curiosité, furtivité, etc) que dans les outils utilisés (VPN, DNT, double adresse mail, etc), quitte à changer radicalement certaines de nos habitudes et à sacrifier un peu de notre confort routinier.

En supposant que les appels à la vigilance n’aient pas beaucoup d’effet sur les internautes et consommateurs actuels, il faut le faire au moins pour les plus vulnérables et surtout pour les plus jeunes, qui n’ont aucune idée de ce à quoi ressemblerait le monde sans Google ni Apple, ni à quoi il ressemblait avant, quand il n’y avait ni internet ni smartphone. Eclairer nos enfants, voilà à quoi ça sert.

Mais si l’on veut absolument éliminer tout risque d’aliénation irréversible, il n’y a véritablement qu’une seule solution, appliquer la recommandation de France Gall et Michel Berger : « Débranche tout !». Ou alors, « fallait pas commencer », comme dirait Céline Dion…
C’est un peu radical, voire quasiment impossible, en tout cas pour le citoyen lambda qui vit dans la société d’aujourd’hui. Autrement, il faut accepter de vivre avec le risque qu'un jour, ça tourne mal...

Liens particulièrement éclairants sur Google, sa puissance actuelle, ses innovations, sa stratégie :
Rappel des articles publiés sur "eclairer ma lanterne" sur les mêmes thèmes (Vie privée, GAFA..) :

Pour information :
AdWords s’adresse aux  annonceurs, en leur permettant d’acheter (aux enchères) de la publicité sur des sites ciblés et sur les moteurs de recherche, en les faisant payer à chaque clic fait sur ladite pub. AdX (Ad Echange) s’adresse aux grosses régies publicitaires, tandis qu’Adsense s’adresse aux petits éditeurs de contenu qui veulent monétiser leur production, pour qu’ils puissent égayer leurs sites par des annonces et se fassent rémunérer à chaque clic des visiteurs.

15 sept. 2013

LinkedIn ou Viadeo : quelle différence ? Quel avenir ?

Voilà bientôt 10 ans que deux réseaux sociaux professionnels, Viadeo et LinkedIn, sont en compétition sur le marché français. Un troisième RSP essaye tant bien que mal de tirer son épingle du jeu en France : c’est Xing. Il est loin derrière les deux premiers, même si au niveau mondial, il arrive à devancer Viadeo.
   
Comparatif LinkedIn - Viadeo (Août 2013)
 
Rappelons à quoi servent les réseaux sociaux professionnels (RSP) à la base : à créer, entretenir ou développer en ligne son identité professionnelle et un réseau de contacts liés au business, en fonction de critères donnés. Petit-à-petit, ils ont été adoptés par tous les recruteurs et professionnels des RH, qui s'en servent comme outil de recherche et de vérification, de manière aussi banale et systématique qu'avec le moteur de recherche Google.
Un RSP, c’est comme un annuaire géant des emplois et carrières. Est-ce que quelqu’un peut douter de l’utilité d’un annuaire ? Qui plus est, quand il est instantané...
Ceci étant, le but recherché n’est pas toujours le même d’un utilisateur à l’autre, qu'il soit adhérent ou simple visiteur : développer son business, (se faire) embaucher, (se faire) connaître, clarifier son parcours professionnel, mettre en avant ses spécialités et/ou ses préférences, faire de la veille technologique, rester dans le coup ou simplement faire comme ses collègues.
Quoiqu’il en soit, on va sur un RSP pour repérer ou se faire repérer, et maîtriser son image / sa e-réputation. Et ça, on peut le faire indifféremment avec LinkedIn ou Viadeo. C’est le résultat qui risque d’être différent, en fonction du contexte, de la catégorie socio-professionnelle (CSP), du secteur ou du métier, et du pays de la cible (qu'on soit côté offre ou côté demande, c’est selon).

Quelle différence entre LinkedIn et Viadeo ?
  
LinkedIn est le leader mondial des RSP. C’est une société qui a été créée aux USA en mai 2003, et qui s’est développée à l’international en exportant son produit partout où elle le pouvait, sur la base d’un modèle unique simplement traduit dans la langue du pays hôte (et parfois même pas). On est typiquement dans un fonctionnement « à l’américaine », efficace mais pas toujours en finesse. Bien que jouissant déjà de gros moyens, LinkedIn a décidé de passer à la vitesse supérieure et de lever 1 milliard de $ en bourse, pour pouvoir jouer dans la même cour que les mastodontes (Google, Apple ou Facebook : les fameux GAFA).
Naturellement, les zones où LinkedIn règne en maître sont l’Amérique du Nord, les pays du Commonwealth et l’Asie du Sud-Est.
A fin Août 2013, LinkedIn comptait 238 Millions d'abonnés dans le monde, dont 92 Millions en Amérique du Nord, 57 Millions en Europe, et quasiment rien en Chine et en Russie.
Pour en savoir plus, visiter le site corporate de LinkedIn

Viadeo, c'est le challenger, créé en France par Dan Serfaty en juin 2004. Malgré des moyens financiers inférieurs à ceux de LinkedIn, Viadeo est rapidement devenu le leader du marché français. Depuis 2007, Viadeo se développe lui aussi à l'International, mais en adoptant une stratégie qui consiste à éviter le choc frontal avec le géant américain, et à adapter l’outil à la culture locale. C’est pourquoi il cible des pays qui ne présentent pas d'affinités particulières avec la culture américaine ou anglo-saxone : la Chine, la Russie, et l’Afrique non anglophone.
A fin Août 2013, Viadeo comptait 55 Millions d'abonnés dans le monde, dont 9,8 Millions en Amérique du Nord, 13 Millions en Europe, 17 Millions en Chine et 0,5 Million en Russie.

En France, Viadeo compte 8 Millions d’abonnés, mais LinkedIn le talonne de près, avec 6 Millions d’abonnés, et une vitesse de progression supérieure.

Les moins de Viadeo par rapport à LinkedIn :
. Impossible d’intégrer des présentations dynamiques de type Slideshare (apanage de LinkedIn).
. Les applications mobiles sont assez récentes (sous Androïd, iOS, ou Windows8) et il reste encore difficile de synchroniser ses contacts Viadeo avec l’annuaire des smartphones.
. Les CGU et la politique de confidentialité sont moins faciles à trouver que sur LinkedIn
. Trop d’options payantes, qui ont tendance à décourager ceux qui veulent visualiser un profil trouvé sur internet ou rentrer en contact avec lui : un comble ! Cette politique adoptée par Viadeo en 2011 explique sans doute pourquoi la croissance de la part de marché de LinkedIn en France s'est accélérée ces deux dernières années. Viadeo l'a bien compris, et regarde désormais comment il peut revenir à plus de gratuité.

Une autre chose à savoir, aussi surprenante que paradoxale, c’est que Viadeo passe par une société d'hébergement de droit californien, APVO, et que toutes les données qui lui sont confiées sont envoyées aux USA ! On ne peut alors s'empêcher de frémir à l'idée qu'il pourrait y avoir une subordination aux lois américaines telles que le fameux Patriot Act, engendrant de possibles atteintes à la Vie Privée. Viadeo croit se dédouaner en indiquant que la sécurité des données est régie par le programme Safe Harbor (accords passé entre l’U.E. et les USA), il n’en demeure pas moins que cette information n’est pas assez connue de l’utilisateur moyen. Elle est même assez difficile à déceler, et on sent là comme quelque chose de l'ordre de la tromperie, pour ne pas dire plus. Pour une société française, la révélation a de quoi décevoir. En tout cas, "ça la fout mal"..

Les plus de Viadeo par rapport à LinkedIn :
. Alternative intéressante à l’hégémonisme américain (pays francophones et BRICS). Cocorico ! (pour autant, il ne faut pas croire que l'abonnement à Viadeo permettrait de s'affranchir des risques liés au Patriot Act, que l'on court assurément en choisissant LinkedIn, américain et fier de l'être...)
. Pertinence des Groupes spécialisés (fusions des hubs et des communautés en février 2012) / Organisation de réunions thématiques « en vrai » (LinkedIn le fait aussi, avec ses Network Events).

Quelle différence entre les RSP et les réseaux sociaux généralistes ?
  
On dit souvent pour simplifier que LinkedIn  est aux professionnels ce que Facebook est aux particuliers ou au grand public en général. Il y avait en effet, du moins au début (entre 2004 et 2010), une certaine étanchéité entre ces deux types de réseaux, qui n’avaient clairement pas la même vocation : les RSP se cantonnaient à la vie professionnelle, tandis que les RS généralistes traitaient de tous les sujets « privés » (loisirs, amis, famille, etc). Les stratégies respectives étaient claires, et les vaches étaient bien gardées.

Cette cloison invisible n’est plus tout à fait étanche aujourd’hui, dans la mesure où Facebook s’est positionné sur le terrain professionnel, en offrant aux sociétés la possibilité de se faire connaître facilement sur le Web. De ce fait, Facebook est venu empiéter sur les plates-bandes des réseaux sociaux professionnels, alors que ceux-ci n’ont certainement pas intérêt à faire l’inverse : aller sur le terrain du grand public signifierait la perte de leur raison d’être, et donc tôt ou tard le déclin assuré. L’équilibre des premières années de coexistence n’est donc plus de mise, et la raison est simple à comprendre : il faut monnayer le concept, car les actionnaires veulent du cash.

Cependant, la gratuité à la souscription a été, et restera encore sans doute longtemps, un des atouts essentiels du succès de chacun de ces réseaux, professionnels comme généralistes. Malheur à celui d'entre eux qui oublierait ce principe de base...

Quel avenir pour les RSP ?
  
LinkedIn et Viadeo sont donc forcés d’imaginer des solutions, tant pour résister aux assauts de Facebook (et maintenant de Google+) que pour pérenniser un Business Model rentable, sans se tirer une balle dans le pied ni abandonner la gratuité à la base. Le fait d’instaurer des options « Premium » n’est sûrement pas la panacée : il serait étonnant que les adhérents y souscrivent en masse. L’irruption probable de la publicité n’est pas non plus de très bon augure, car à terme, cela risque d’agacer les plus accros et de faire fuir les adhérents. Non, décidément, il faudra trouver autre chose.

Une piste d’évolution réside certainement dans le mariage des RSP avec les Réseaux internes d’Entreprises, les fameux intranets, qui sont devenus obsolètes, pour la plupart. L’idée, c’est d’ouvrir le réseau de communication interne de l’entreprise tout en l’intégrant au système d’information (métier, RH, comptabilité, gestion), pour en faire un véritable outil collaboratif, tant en interne entre les salariés qu’avec les clients, les partenaires et même les fournisseurs.Tout en allouant aux uns et aux autres des droits d'accès en lecture et en écriture conformes à la politique de sécurité et de communication décidée par la direction. Ce genre d'outil devrait pouvoir séduire nombre de chefs d'entreprise pour qui Facebook garde une étiquette un peu trop "fun", et les aider à moderniser leur outil de travail et l'image qu'ils en donnent, afin de pouvoir attirer les clients ainsi que les meilleurs candidats à l'embauche. Pour LinkedIn comme pour Viadeo, il y a là un vrai gisement de croissance, qui serait à la fois un développement logique et une source de profits assurés. Evidemment, il leur faudra composer avec les acteurs du secteur qui occupent déjà bien le terrain du Réseau d'Entreprise, parmi lesquels Microsoft (avec Yammer) et Salesforce.com (avec Chatter). A cet égard, signalons que Viadeo a déjà signé un accord de partenariat avec Salesforce.com.

On le voit, les réseaux sociaux professionnels sont amenés à remettre en question le paradigme qui a prévalu jusqu’à présent et qui leur a valu une si belle croissance depuis 10 ans.

Règles et conseils pratiques pour une bonne utilisation, efficace et sans risque
 
LinkedIn :

Viadeo :

Autres liens utiles :