Application Skred : Une copie à revoir

Depuis plusieurs mois, en écoutant la radio Skyrock, impossible de passer à côté de la publicité pour l’application Skred.

L’application propose “Enfin le vrai anonymat” qui utilise “toutes les techniques des services secrets”, afin de débunker cela, je vous propose la lecture de ce petit billet de blog.

Tout d’abord, l’application Skred est éditée par le groupe TELEFUN SAS, ce qui explique la publicité de cette appli uniquement et massivement sur la radio Skyrock.

Je vous propose quelques éléments de constatation et de réflexion, entrons dans le vif du sujet…

Eléments commerciaux :

  • En confondant anonymat et chiffrement, le discours commercial (via la publicité audio sur Skyrock) de cette application est totalement trompeur.
  • Concernant les demandes des autorités, il est indiqué ceci :

Que ce passe t’il si le gouvernement Espagnol (concernant ce qui se passe en Catalogne en ce moment) ou si le gouvernement Burkinabé fait une demande légale à Skyrock ? ou si le gouvernement Français fait une demande concernant les données d’un blogueur ? Comme le pointe justement NextInpact, “Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet”.

Très loin donc du “sans aucune trace.”

Eléments techniques :

  • Cette application est dévelopée, gérée et maintenue par une société commerciale.
  • On ne sait pas quel(s) protocole(s) de chiffrement sont utilisés afin de sécuriser les communications.
  • NextInpact pense que c’est WebRTC/XMPP qui sert de base pour la communication mais sans aucune information écrite ou solide là dessus.
  • On ne sait pas si il y a une vérification des contacts, ce qui peut-être problématique en cas d’attaque MITM (Attaque Man In The Middle, l’homme du millieu).
  • On ne sait pas si il y a un système de confidentialité persistante via le changement des clés.
  • Comment sont stockées les clés de chiffrement ?
  • Skred affirme que “Les technologies de chiffrement sont open source” mais ne précise pas quelles technologies sont utilisées.
  • Le code source de l’application n’est pas disponible.
  • Par conséquent, cette application, bien qu’elle prétend utiliser du logiciel libre, agit parfaitement comme une véritable boîte noire : on ne sait pas ce qui s’y passe dedans.

Conclusion :

Utilisez plutôt une application documentée qui a été auditée de manière indépendante et récente, dont le code source est disponible, qui utilise le chiffrement pendant le transit, dont les messages ne peuvent être lus par l’éditeur de l’application, qui impose la vérification des contacts, la confidentialité persistante via le changement des clés, très utile en cas de vol des clés (type PFS en quelque sorte).

Une application comme Signal par exemple (tutoriel pour Android, tutoriel pour iOS).

Par l’intermédiaire de ce petit billet de blog, j’invite Skyrock a mieux communiquer et à revoir sa copie.

Ne faites pas confiance aux discours commericaux, renseignez-vous sur les applications avant de les installer et de les utiliser.


Quand des armes françaises se distinguent à l’étranger : NobelSport au Burkina

Il y a quinze jours, l’excellent Reflets.info documentait les activités à l’étranger d’un vendeur d’armes numériques français bien connu : Amesys/Nexa.

Aujourd’hui, intéressons-nous aux armes physiques dites “à létalité réduite”, commercialisées par une entreprise française également réputée dans son domaine : NobelSport.

Il s’avère que lors de la viste de Macron à Ouagadougou, il y a eu quelques affrontements entre des jeunes et la police.

Et savez-vous quelles armes à utilisé la police pour maintenir les jeunes à distance ?

La grenade lacrymogène NobelSport :

Ce qui est marrant avec «la démocratie», c’est que la France cherche toujours à en exporter les idées autant que les outils coercitifs.


Informations/Crédits photo :


Quand la scientologie perd un procès au Conseil d’Etat…

Petit billet de blog à propos d’une récente décision de justice, et par conséquent, une victoire de la loi de la République contre l’ostracisme et les abus de la scientologie.

La Scientologie n’obtient pas les noms des participants aux formations de l’ENM sur les sectes

Le Conseil d’Etat a approuvé le refus de l’Ecole nationale de la magistrature de communiquer à l’Eglise de la Scientologie Celebrity Centre les noms des intervenants et des inscrits à ses formations sur les dérives sectaires.

Dans sa décision du 8 novembre 2017, le Conseil a expliqué « qu’eu égard à l’objet des formations dispensées par l’ENM, la divulgation de l’identité tant des intervenants au sein des formations que de ceux des inscrits et participants à celles-ci serait de nature à porter atteinte à la sécurité publique ou à la sécurité des personnes », exception prévue par l’article L. 311-5 du code des relations entre le public et l’administration.

Le tribunal administratif, qui avait invalidé le refus de l’ENM, s’était fondé sur l’argumentation développée par l’association. Celle-ci affirmait vouloir utiliser ces documents pour mettre en cause l’impartialité des magistrats ayant participé à ces formations et statué dans des affaires impliquant l’Eglise de scientologie.

Cette association avait demandé à l’ENM de lui communiquer les programmes des sessions de formation relatifs aux mouvements sectaires de 1998 à 2012, sans occultation des noms des intervenants, la liste annuelle des inscrits et participants, les bulletins d’inscription remplis par les participants, les exposés, synthèses, rapports, comptes-rendus ou notes produits par les intervenants ainsi que la copie de tous les échanges entre l’ENM et la Mission interministérielle de lutte contre les sectes, la Mission interministérielle de vigilance et de lutte contre les dérives sectaires et le ministère de la Justice pendant cette période.

La Commission d’accès aux documents administratifs avait rendu, en juillet 2012, un avis défavorable à la communication de l’identité des personnes impliquées. C’est à la suite de cet avis que l’ENM avait communiqué les documents demandés, à l’exclusion des noms des personnes concernées.

 

Décision du conseil d’état :

Conseil d’État

N° 375704
ECLI:FR:CECHR:2017:375704.20171108
Publié au recueil Lebon
10ème – 9ème chambres réunies
M. Richard Senghor, rapporteur
Mme Aurélie Bretonneau, rapporteur public
SCP BORE, SALVE DE BRUNETON, MEGRET, avocats

Lecture du mercredi 8 novembre 2017

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS


Vu la procédure suivante :

L’association spirituelle de l’Eglise de Scientologie Celebrity Centre (ASES-CC) a demandé au tribunal administratif de Paris :
– d’annuler pour excès de pouvoir la décision du 17 septembre 2012 par laquelle l’Ecole nationale de la magistrature (ENM) a partiellement rejeté sa demande tendant à la communication de certains documents détenus par celle-ci dans le cadre de l’organisation de sessions de formation portant sur les dérives sectaires entre 1998 et 2012 ;
– d’enjoindre à l’ENM de lui communiquer les documents sollicités dans un délai de huit jours à compter de la notification de son jugement, sous astreinte.

Par un jugement n° 1220101 du 23 décembre 2013, le tribunal administratif de Paris a :
– annulé le refus de l’ENM de communiquer à l’ASES-CC la documentation remise aux participants lors des formations organisées entre 1998 et 2011 ;
– enjoint à l’ENM de communiquer à l’ASES-CC la documentation remise aux participants lors des formations organisées entre 1998 et 2011 et non soumise aux droits de propriété littéraire et artistique dans un délai de deux mois ;
– rejeté les conclusions de l’ASES-CC dirigées contre la décision du 17 septembre 2012 de l’ENM en tant qu’elle refusait de communiquer les noms des intervenants, des participants et les bulletins d’inscriptions relatifs aux formations organisées par cet établissement sur les dérives sectaires ;
– ordonné, avant dire droit, que lui soient communiqués les documents achevés et non préparatoires échangés entre l’ENM et la Mission interministérielle de lutte contre les sectes (Mils), la Mission interministérielle de lutte contre les dérives sectaires (Miviludes) et le ministère de la justice concernant la formation des magistrats judiciaires en matière de dérives sectaires.

Par un pourvoi sommaire et un mémoire complémentaire, enregistrés les 24 février 2014 et 26 mai 2014 au secrétariat du contentieux du Conseil d’Etat, l’ASES-CC, représentée par la SCP Boré, Salve de Bruneton, demande au Conseil d’Etat :

1°) d’annuler les articles 2 et 3 de ce jugement ;

2°) de mettre à la charge de l’Etat la somme de 3 000 euros au titre de l’article L. 761-1 du code de justice administrative.

Vu les autres pièces du dossier ;

Vu :
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– le code de la propriété intellectuelle ;
– le code des relations entre le public et l’administration ;
– le code de justice administrative ;

Après avoir entendu en séance publique :

– le rapport de M. Richard Senghor, maître des requêtes,

– les conclusions de Mme Aurélie Bretonneau, rapporteur public ;

La parole ayant été donnée, avant et après les conclusions, à la SCP Boré, Salve de Bruneton, Mégret, avocat de l’association spirituelle de l’Eglise de Scientologie Celebrity Centre ;

Considérant ce qui suit :

1. Il ressort des pièces du dossier soumis aux juges du fond que l’Eglise de Scientologie Celebrity Centre a demandé à l’Ecole nationale de la magistrature (ENM) de lui communiquer les programmes des sessions de formation relatives aux mouvements sectaires de 1998 à 2012, sans occultation des noms des intervenants, la liste annuelle des inscrits et participants à ces sessions, les bulletins d’inscription remplis par ces derniers, les exposés, synthèses, rapports, comptes-rendus ou notes produits par les intervenants pour ces sessions, ainsi que la copie de toutes les correspondances échangées entre l’ENM et la Mission interministérielle de lutte contre les sectes (Mils), la Mission interministérielle de vigilance et de lutte contre les dérives sectaires (Miviludes) et le ministère de la justice entre 1998 et 2012. La Commission d’accès aux documents administratifs (CADA) a rendu, le 26 juillet 2012, un avis défavorable à la communication de l’identité des intervenants, des listes des inscrits et participants et des bulletins d’inscription et un avis favorable à la communication des autres documents demandés, sous réserve du respect des dispositions du II de l’article 6 de la loi du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal, devenu l’article L. 311-6 du code des relations entre le public et l’administration, qui prévoit les cas dans lesquels des documents administratifs ne sont communicables qu’à l’intéressé. La Commission a également rappelé que la communication des documents établis par les intervenants ne pouvait intervenir que sous réserve des droits de propriété littéraire et artistique. A la suite de cet avis, l’ENM a, par une décision du 27 septembre 2012, communiqué à la requérante certains seulement des documents demandés. Par un jugement du 23 décembre 2013, le tribunal administratif de Paris a annulé cette décision en tant qu’elle refusait de communiquer à la requérante les documents remis aux participants lors des formations sur les dérives sectaires organisées par l’ENM, enjoint à cette dernière de communiquer ceux de ces documents qui ne seraient pas soumis aux droits de propriété littéraire et artistique, rejeté les conclusions de la requérante en tant qu’elles étaient dirigées contre le refus de lui communiquer les noms des intervenants, inscrits et participants à ces formations, et ordonné, avant dire droit, la production des courriers échangés entre l’ENM, la Mils, la Miviludes et le ministère de la justice. La requérante se pourvoit en cassation contre ce jugement en tant qu’il statue à ses articles 2 et 3, d’une part, sur la communication des documents remis aux personnes ayant participé aux formations litigieuses et, d’autre part, sur la communication des noms des intervenants, inscrits et participants à ces sessions.

Sur la communication de la documentation remise aux personnes ayant participé aux sessions de formation sur les dérives sectaires :

2. Il ressort des énonciations du jugement attaqué que le tribunal administratif de Paris a expressément mentionné, dans les motifs de son jugement, les conclusions de l’association requérante tendant à la communication des exposés, synthèses, rapports, comptes-rendus ou notes produits par les intervenants dans le cadre des formations sur les dérives sectaires délivrées à l’ENM. En enjoignant, à l’article 2 de son jugement à l’ENM de communiquer la documentation remise aux participants à ces formations entre 1998 et 2011, le tribunal administratif doit être regardé comme ayant statué sur ces conclusions. Il s’ensuit que le moyen tiré de ce qu’il aurait omis d’y statuer doit être écarté.

3. Aux termes de l’article 9 de la loi du 17 juillet 1978, désormais repris à l’article L. 311-4 du code des relations entre le public et l’administration : ” Les documents administratifs sont communiqués sous réserve des droits de propriété littéraire et artistique “. Ces dispositions impliquent, avant de procéder à la communication de supports d’enseignement n’ayant pas déjà fait l’objet d’une divulgation, au sens de l’article L. 121-2 du code de la propriété intellectuelle, de recueillir l’accord de leur auteur. Dès lors, contrairement à ce qui est soutenu, en enjoignant à l’ENM de ne communiquer à l’association requérante les documents remis aux participants aux formations sur les dérives sectaires organisées entre 1998 et 2012 que s’ils n’étaient pas soumis aux droits de propriété littéraire et artistique, le tribunal administratif, qui a ainsi fait application des dispositions précitées de l’article 9 de la loi du 17 juillet 1978, s’est borné à exercer son office sans soulever d’office un moyen sur lequel les parties n’auraient pas été mises à même de présenter leurs observations et sans méconnaître ainsi les dispositions de l’article R. 611-10 du code de justice administrative ou les stipulations de l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Ce faisant et, en tout état de cause, il n’a pas davantage méconnu les exigences attachées aux articles 9 et 10 de la même convention.

4. Si le juge administratif a la faculté d’ordonner avant dire droit la production devant lui, par les administrations compétentes, de documents dont le refus de communication constitue l’objet même du litige, sans que la partie à laquelle ce refus a été opposé n’ait le droit d’en prendre connaissance au cours de l’instance, il ne commet d’irrégularité en s’abstenant de le faire que si l’état de l’instruction ne lui permet pas de déterminer, au regard des contestations des parties, le caractère légalement communicable ou non de ces documents ou d’apprécier les modalités de cette communication. En estimant, au vu des pièces du dossier qui lui étaient soumises et qu’il a souverainement appréciées, qu’il ne lui était pas nécessaire d’ordonner la communication avant dire droit des documents remis aux participants aux formations sur les dérives sectaires organisées par l’ENM entre 1998 et 2012 afin de déterminer lesquels étaient soumis à des droits de propriété littéraire et artistique, le tribunal administratif de Paris n’a pas, contrairement à ce qui est soutenu, méconnu son office.

Sur la communication des noms des intervenants au sein des formations sur les dérives sectaires ainsi que de ceux des inscrits et participants à ces formations :

5. Aux termes du II de l’article 6 de la loi du 17 juillet 1978, désormais repris à l’article L. 311-6 du code des relations entre le public et l’administration : ” Ne sont communicables qu’à l’intéressé les documents administratifs : / 1° Dont la communication porterait atteinte à la protection de la vie privée (…) “. Le risque d’atteinte à la vie privée que comporte la communication d’un document administratif s’apprécie au regard du seul contenu de ce document. Eu égard aux principes régissant l’accès aux documents administratifs, qui n’est pas subordonné à un intérêt établi, les motifs pour lesquels une personne demande la communication d’un document administratif sont en effet sans incidence sur sa communicabilité.

6. Or, il ressort des énonciations du jugement attaqué que, pour juger que la communication des noms des intervenants au sein des formations sur les dérives sectaires délivrées par l’ENM ainsi que de ceux des inscrits et participants à ces formations porterait atteinte à la vie privée des intéressés, faisait obstacle à leur communication à des tiers, le tribunal administratif s’est fondé sur l’argumentation développée par l’association requérante, qui indiquait vouloir utiliser ces documents pour mettre en cause l’impartialité des magistrats ayant participé à ces formations et statuant dans des affaires impliquant l’Eglise de scientologie. Il résulte de ce qui a été dit au point précédent qu’en subordonnant son appréciation de la communicabilité des documents demandés à l’utilisation qu’envisageait d’en faire l’association requérante, le tribunal administratif a entaché son jugement d’erreur de droit.

7. Il résulte de ce qui précède que, sans qu’il soit besoin d’examiner les autres moyens du pourvoi relatifs à la communication des noms des intervenants au sein des formations sur les dérives sectaires ainsi que de ceux des inscrits et participants à ces formations, l’association spirituelle de l’Eglise de Scientologie Celebrity Centre est seulement fondée à demander l’annulation de l’article 3 du jugement qu’elle attaque.

8. Il y a lieu, dans les circonstances de l’espèce, de régler l’affaire au fond dans la mesure de la cassation prononcée, en application des dispositions de l’article L. 821-2 du code de justice administrative.

9. Aux termes de l’article 6 de la loi du 17 juillet 1978 désormais repris à l’article L. 311-5 du code des relations entre le public et l’administration : ” I. Ne sont pas communicables : / Les (…) documents administratifs dont la consultation ou la communication porterait atteinte : (…)/ d) A la sûreté de l’Etat, à la sécurité publique ou à la sécurité des personnes (…) “. Il ressort des pièces du dossier qu’eu égard à l’objet des formations dispensées par l’ENM, la divulgation de l’identité tant des intervenants au sein des formations que de ceux des inscrits et participants à celles-ci serait de nature à porter atteinte à la sécurité publique ou à la sécurité des personnes. Il s’ensuit que l’ENM a pu légalement refuser de communiquer à la requérante les noms des intervenants, des inscrits et des participants sans qu’il y ait lieu de distinguer, parmi ces derniers, les magistrats des autres personnes et, en tout état de cause, sans, ce faisant, méconnaître les exigences attachées aux articles 6, 9, 10 et 11 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Il résulte de ce qui précède que l’association spirituelle de l’Eglise de Scientologie Celebrity Centre n’est pas fondée à demander l’annulation du refus de lui communiquer les noms des intervenants aux formations sur les dérives sectaires organisées par l’ENM ainsi que ceux inscrits et des participants à ces formations.

10. Les dispositions de l’article L. 761-1 du code de justice administrative font obstacle à ce que l’Etat, qui n’est pas la partie perdante dans la présente instance, verse une somme que demande à ce titre l’association spirituelle de l’Eglise de Scientologie Celebrity Centre.

D E C I D E :
————–
Article 1er : L’article 3 du jugement du 23 décembre 2013 du tribunal administratif de Paris est annulé.
Article 2 : Les conclusions présentées devant le tribunal administratif de Paris, dirigées contre le refus de communiquer les noms des intervenants aux formations sur les dérives sectaires organisées par l’ENM ainsi que ceux inscrits et des participants à ces formations sont rejetées.
Article 3 : Le surplus des conclusions du pourvoi de l’association spirituelle de l’Eglise de Scientologie Celebrity Centre est rejeté.
Article 4 : La présente décision sera notifiée à l’association spirituelle de l’Eglise de Scientologie Celebrity Centre et à la garde des sceaux, ministre de la justice.

 


Informations :

Legalis : La Scientologie n’obtient pas les noms des participants aux formations de l’ENM sur les sectes.

Site internet du conseil d’état – base de jurisprudence.



Petit retour sur le capitole du libre 2017

Comme l’an passé, j’étais présent il y a deux semaines au Capitole du Libre à Toulouse.

Proposé sur deux jours sur l’excellent site de l’INP-ENSEEIHT, le programme était bien chargé et rangé par catégories (libre, vie privée, sécurité, jeux…).

Avec un nombre de visiteurs similaire à celui de l’an passé (environ 1500 personnes sur l’ensemble du WE), un grand bravo et merci aux bénévoles, RDV l’année prochaine !

Quelques images :


Petit retour sur le GreHack 2017

 

 

Pour sa cinquième édition, le GreHack s’est un peu plus professionnalisé, toujours présentée en langue anglaise avec un programme assez chargé et varié, la conférence se déroule dans le même amphi depuis quelques années déjà.

Les améliorations apparues l’an passé comme le Wi-fi ont étés maintenues, notons l’apparition de grosses boîtes type Siemens et Google en tant que sponsors.

Cependant, l’organisation reste toujours DIY, et cela se remarque via les conférences non nommées disponibles sur Youtube ou le rangement des badges avant distribution peu de temps avant l’ouverture au public.

Le buffet (enfin, les buffets) sont toujours au rendez-vous et bien garnis.

Quelques images :

 


Quand Twitter propose tranquillement des tweets sponsorisés… de la scientologie

Pépouze, Twitter propose des tweets sponsorisés du Celebrity Centre (la scientologie) :

 

Remerciements : @RedandRude


Abracadabra, revoilà Magnificia !

Un truc est assez drôle avec Magnificia : de mêmes problèmes arrivent plusieurs fois :

  • Des dégustations douteuses lors des repas.
  • Dès qu’un couac majeur apparaît en public, l’employé responsable serait licencié (sujet déjà abordé ici), assez étrange qu’au moindre problème, ils prétendent écarter ou licencier la/les personne(s) responsables.
  • La personne  qui se serait fait virée sous Legendre Patrimoine revient chez… Magnificia.

Vous êtes prêt-es ? C’est parti !

  • Des dégustations douteuses lors des repas :

 

Pour rappel, le problème des dégustations douteuses avait déjà été abordé ici :

Fois gras et crevettes pour un repas végétarien, lasagnes pour un repas végétalien et packs d’évian pour les boissons…

Auparavant sur Facebook, aujourd’hui c’est sur Google Avis, avec des chipolatas pour un barbecue chic :

L’équipe n’était pas encore bien en place” ? Alors que Magnificia est un groupe qui est censé avoir douze ans d’expérience ? comme indiqué dans leurs documentations ? mais cependant, impossible de trouver cette ancienneté quelque-part (le sujet a déjà été abordé, à lire ici, dans la seconde partie de l’article).

  • La personne  qui se serait fait virée sous Legendre Patrimoine revient chez… Magnificia :

Lors de l’avis du JDP (Jury de Déontologie Publicitaire) disponible à cette adresse sur Legendre Patrimoine, ladite société avait affirmé que le directeur du marketing avait été licencié :

Mais qui était donc ce directeur marketing ?

Et pour qui a-t’il fait une vidéo il n’y a pas si longtemps que cela ?

 

 

….

 

 

 

MAGNIFICIA :

Encore un élément de plus qui démontre les liens entre Legendre Patrimoine et Magnificia (lire cet article à ce propos).


Sexisme : “Putassier”, “Poufiasse” : Quand Jean-Paul Ney revient sur Twitter et insulte une journaliste

Voilà que depuis quelques jours, Jean-Paul Ney est revenu sur Twitter, et cela, malgré la suspension définitive de son compte principal (à lire ici et ).

Ni une ni deux, il reprend les mêmes habitudes :

Le Centre National de Ressources Textuelles et Lexicales propose une définition du terme “putassier” libre à chacun de réfléchir entre le sens figuré et l’adjectif (connaissant Jipoune, je penche plus vers la seconde).

Comme le dit si bien abd_charlie : “JPN ne lit pas (ou ne comprend pas), ne va pas vérifier les sources (citées dans l’article), ne donne pas le lien de l’article (pour que les gens puissent juger), insulte d’emblée… et finit par se faire tailler en pièces !”

Bien entendu, cela n’est pas un fake, un lien Archive.org est disponible.




Quand le Cnous géolocalise ses étudiants et renseigne des sociétés publicitaires…

Après avoir laissé pourrir ses résidences étudiantes, ne pas avoir respecté la réglementation concernant l’amiante (à lire ici et ici), puis pour avoir mis en place des lits connectés à l’insu des étudiants, le CROUS était déjà fiché.

C’est maintenant au tour de l’organisation au dessus des CROUS : Le CNOUS (qui regroupe par conséquent tous les CROUS) de se faire tapper sur les doigts pour fliquer des centaines de milliers (millions ?) d’étudiants :

L’article est signé -par l’excellent- Martin Untersinger et est disponible sur le site du Monde à cette adresse :

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires

«Le Monde» a enquêté sur cette application qui permet à des centaines de milliers d’étudiants de payer leurs repas au restaurant universitaire.

Mise à jour le 21 octobre, à 15 h 30 : Suite à la parution de notre article, le Cnous a annoncé ce samedi que « pour qu’il n’y ait aucune ambiguïté ni inquiétude, la possibilité de diffusion des données de géolocalisation est supprimée du système Izly ».

Tous les jours, des centaines de milliers d’étudiants dégainent leur smartphone et l’application Izly pour payer leur « restau U ». Ce qu’ignorent nombre d’entre eux, c’est qu’à chaque utilisation de cette application, s’ils l’ont autorisée à les géolocaliser, leur position au mètre près est envoyée à deux sociétés de marketing, afin que des marques ou des magasins puissent leur proposer des messages publicitaires ciblés.

Quelles sont ces entreprises et que font-elles de ces données ? Pourquoi le Cnous (Centre national des œuvres universitaires et scolaires), établissement public, a-t-il décidé d’insérer dans une application qu’il fait utiliser à tous les étudiants un dispositif potentiellement très intrusif, dans lequel interviennent quatre sociétés privées ?

Nous avons mené l’enquête sur ce service utile aux étudiants, et en partie financé avec leurs données personnelles, sans qu’ils en soient pleinement conscients et informés, révélateur d’un certain écosystème numérique contemporain.

Tout commence sur l’ordinateur de Rémy Grünblatt. Après avoir assisté à une conférence à Paris peu avant l’été sur la sécurité des applications mobile, cet étudiant en informatique à l’Ecole normale supérieure de Lyon s’intéresse à Izly, application qu’il utilise quotidiennement.

Surpris de voir sa géolocalisation s’échapper de ce qui devrait être une simple solution de paiement, il y consacre un article sur son blog.

En l’absence de réaction, il décide de contacterLe Monde. Nous avons installé l’application afin d’intercepter et analyser toutes les communications de l’application sur Internet.

Nous avons ainsi pu confirmer l’existence de cette fonctionnalité dans Izly, sur Android comme sur iOS.

Rien qu’en lançant l’application, et sans même nous y connecter, cette dernière communique à une entreprise tierce nos coordonnées GPS précises, celles du siège du Monde, où nous nous trouvons. Les données bancaires, très sensibles, ne sont pas communiquées à cette entreprise.

En analysant les flux Internet sortant de l’application, nous avons confirmé que nos données GPS étaient transmises par l’application. Capture d’écran

Les coordonnées GPS correspondent parfaitement au siège du « Monde ».

Plusieurs sociétés privées intermédiaires

Ces données géographiques sont envoyées vers beaconforstore.com. Ce site appartient à Neerby, entreprise filiale de la société française Ezeeworld.

Se présentant comme une « plate-forme de retargeting physique », elle promet aux entreprises de cibler leurs clients potentiels « en analysant leurs habitudes et leurs trajets » en s’appuyant justement sur des données collectées par des applications tierces.

Neerby peut ainsi « connaître la fréquentation [du consommateur] (temps de présence, récurrence…) et ses lieux de vie (lieu d’habitation, de travail, loisirs…) », se vantait, au mois d’avril, le gérant d’Eezyworld, Patrick Chatanay, sur le site spécialisé Ecran Mobile. L’entreprise stocke-t-elle les données des centaines de milliers d’usagers de l’application Izly ?

Les utilise-t-elle pour les proposer à ses clients ? Le gérant d’Ezeeworld a refusé à plusieurs reprises de répondre à nos questions, insistant sur le fait que sa société n’était qu’un intermédiaire technique entre l’application Izly, utilisée par les Crous, et une troisième entreprise, Take & Buy.

Cette autre société est spécialisée dans la mise en place, dans des magasins, de « beacons », des émetteurs Bluetooth qui permettent d’envoyer un message promotionnel sur les appareils mobiles passant à proximité.

Au téléphone, son gérant, Jean-Philippe Allocio, confirme être client de S-money, la filiale de la banque Natixis qui réalise l’application Izly pour les Crous, et avoir passé un contrat avec Neerby pour récupérer les données.

Selon lui, les Crous et S-money cherchaient un moyen de proposer aux étudiants des services spécifiques et localisés, comme un mécanisme d’alerte en cas de surcharge du restaurant universitaire ou de la bibliothèque. Ils se sont donc tournés vers son entreprise et son parc de 20 000 émetteurs « beacons » installés dans toute la France.

« En échange, on leur a demandé de proposer un certain nombre d’opérations [publicitaires]. Ils l’ont accepté mais avec de gigantesques restrictions, qui éliminent quasiment tous les annonceurs : sur 103 opérations proposées, ils en ont accepté quatre », précise-t-il encore.

L’intrusion publicitaire est limitée, mais qu’arrive-t-il à ces données ? M. Allocio nie formellement les stocker et explique qu’aussitôt qu’elles parviennent à Take & Buy, celle-ci vérifie si une entreprise cliente désire envoyer un message publicitaire à l’utilisateur.

Si cette entreprise ne le désire pas, toujours selon M. Allocio, les données disparaissent. « Je ne vends pas de profils », assure M. Allocio, affirmant ne « jamais, jamais, jamais [sic] stocker l’ombre d’une information sur un utilisateur ».

« Aucune donnée n’est stockée par Ezeeworld », confirme Olivier Tilloy, directeur général adjoint de S-money, l’entreprise qui édite l’application Izly pour le Cnous, ajoutant qu’en ayant « un droit d’audit sur Take & Buy, [S-money] peut à tout moment vérifier qu’il respecte bien le traitement des données ».

Le trajet des données personnelles collectées via Izly.

Des notifications géographiquement ciblées

« Pour des annonceurs, c’est un frein si l’utilisateur a la désagréable sensation qu’on a analysé sa vie », se justifie encore M. Allocio. Ce dernier évoque l’existence d’un « agrément » de la Commission nationale de l’informatique et des libertés (CNIL).

Or cette dernière n’en délivre pas. Interrogé sur le sujet, M. Allocio a précisé avoir procédé à une déclaration auprès de l’organisme – de fait, une obligation légale élémentaire qui ne garantit pas la légalité du traitement.

Dans cette dernière, déposée en mars et que nous nous sommes procurée, Take & Buy ne dit collecter que l’identifiant publicitaire du téléphone, sans un mot sur les données de géolocalisation.

 

Dans sa demande d’avis au sujet d’Izly, déposée auprès de la CNIL, que nous avons également consultée, le Cnous ne mentionne pas non plus les données de géolocalisation.

Les données de géolocalisation sont en fait envoyées à une deuxième société, distincte d’Ezeeworld. Les coordonnées GPS des téléphones ayant activé la géolocalisation parviennent à la société Accengage, qui édite le service Ad4Push, une solution qui permet d’envoyer des notifications sur les smartphones. Les données géographiques sont-elles nécessaires ?

Oui, selon Olivier Tilloy, de S-money. Il doit être possible, explique-t-il, d’envoyer à l’étudiant des notifications géographiquement ciblées, spécifiques à sa région voire à son université, or l’application Izly est nationale. « L’actualité d’un étudiant n’est pas la même partout, on a besoin de contextualiser le message pour les étudiants », explique M. Tilloy.

« Tendre vers le zéro cash » dans les restaurants

Pour comprendre pourquoi ces deux sociétés reçoivent les données de géolocalisation des étudiants, il faut revenir à la genèse d’Izly. Depuis des années, et comme il l’a rappelé lors de la rentrée universitaire, le Cnous veut « tendre vers le “zéro cash” » dans ses restaurants universitaires afin de « sécuriser les transactions » et de « fluidifier le passage en caisse ».

Aujourd’hui, le Cnous essaie par tous les moyens de populariser cette solution auprès des étudiants. Des « ambassadeurs portant haut et fort les valeurs du dispositif » sont ainsi recherchés par le Crous d’Aix-Marseille-Avignon, des promotions « telles qu’un café offert, des pâtisseries à prix mini » sont proposées par le Crous de Grenoble, ou des places de cinéma sont offertes par le Crous de Toulouse.

Certains Crous, comme ceux de Grenoble ou de Paris, intègrent même le dispositif Izly dans une carte multiservice destinée, par exemple, à régler les photocopies ou à accéder à certains bâtiments.

En mars 2014, le Cnous se met à la recherche d’une solution dématérialisée pour remplacer le système Moneo, utilisé dans certains de ses centres mais jugé insatisfaisant.

Quatre mois plus tard, il noue pour six ans un contrat – fixé lors d’un l’appel d’offre à 3,5 millions d’euros – avec le groupe bancaire BPCE (Banques populaires et Caisses d’épargne), l’un des cinq plus grands établissements français.

Le groupe dispose d’une filiale, S-money, fondée en 2011 et spécialisée dans solutions de paiement mobile. C’est ainsi l’application de S-money qui sert de base technique à l’application d’Izly.

L’installation du système est financée intégralement par le Cnous. Dans un second temps, comme l’attestent les spécifications techniques du marché que nous avons obtenues, le fonctionnement quotidien est rémunéré par le prélèvement d’une fraction des flux financiers générés par le système mais également par le « recours au sponsoring et/ou publicité ».

« Nous voulons faire des choses intéressantes, tester l’apport de nouvelles technologies », avance Olivier Tilloy. « Mais pour l’instant, financièrement, il n’y a pas réellement d’intérêt, nous avons envoyé moins de 20 000 notifications.

Nous filtrons les demandes d’annonceur, car notre objectif c’est de générer plus d’usage autour d’Izly, et pas d’envoyer des messages sans intérêt pour les étudiants », explique-t-il encore.

Aucune mention de l’envoi des données

Dans les spécifications du marché, le Cnous a prévu d’encadrer au maximum ces « prestations supplémentaires » : elles doivent en effet « être en adéquation à l’éthique de l’institution », « dans une démarche mesurée » et « être mises en œuvre avec l’accord préalable et explicite de l’ayant droit à chaque fois que des données personnelles sont utilisées ».

Au Cnous, on fait ainsi remarquer que l’étudiant a donné son consentement pour activer la géolocalisation. Mais combien d’étudiants savaient-ils comment ces données étaient réellement utilisées et quelles étaient les entreprises qui les recevaient ?

Si, sur le site officiel, il est indiqué qu’« Izly s’engage (…) sur la protection de vos données personnelles et de votre confidentialité », il n’y est fait nulle mention de l’envoi de données de localisation à des sociétés publicitaires.

Il faut se pencher sur les quelques lignes d’une autre version des conditions d’utilisation du service, très loin d’être lues par la majorité des étudiants, pour savoir que les données personnelles de l’utilisateur sont recueillies par « S-money, le groupe BPCE, ainsi [que par] ses filiales directes et indirectes ou [par] ses partenaires commerciaux » et peuvent être utilisées pour de la « prospection et [de] l’animation commerciale ».

Toujours selon ces conditions, les utilisateurs de l’application peuvent s’opposer à ce que leurs données soient utilisées de la sorte. Il faut pour cela contacter directement S-money. Par courrier postal.

 

Izly, l’appli du Cnous qui géolocalise des étudiants et renseigne des sociétés publicitaires.