Hello,

Voici un brouillon pour un point de programme, notamment à propos de la dépendance de fait aux GAFAMs dûe aux applis sur smartphone. Qu’est ce que vous en pensez ?

Droit à l’indépendance numérique

Exposé des motifs

La vie courante dans la société moderne est sujette à l’utilisation de services numériques qui peuvent être qualifiés de basiques, tels que :

• Services publics
• Services bancaires

Les usagers sont amenés à disposer de terminaux individuels tels que les « smartphones » pour pouvoir bénéficier de ces services, remplir leurs obligations de citoyens et participer à la vie en société.
La sécurité de ces services est essentielle, notamment de par leur nécessité d’identification de chaque usager et le traitement de leur données personnelles.

Bien qu’il existe des solutions techniques basées sur des modèles de sécurité ouverts, dans de nombreux cas ces services nécessitent l’installation d’applications qui peuvent entraîner une dépendance de fait à des entreprises privées choisies par les éditeurs de logiciels sans possibilité de choix pour les usagers.

De plus, ces entreprises sont souvent de droit étranger, n’offrent pas de garantie légale suffisante de transparence et de respect de la vie privée, et sont elles-même dépendantes, clientes ou fournisseurs de services à d’autres sociétés sans transparence et possibilité de choix pour les usagers.

Examples

Les cas des applications bancaires et d’identification sont particulièrement représentatifs.

• Les banques publiques et privées obligent en pratique les usagers à utiliser des applications qui nécessitent que les terminaux des usagers (smartphone) verouiilés soit sur Google (Android) ou sur Apple (iPhone), et empêchent leur utilisation sur des appareils et avec des comptes utilisateurs qui ne sont pas validés par ces entreprises.

• Les fournisseurs d’identité (FI) de services de « France Connect » et « France Identité », de plus en plus nécessaires pour effectuer des démarches administratives, ne proposent que des applications sur smartphone avec les mêmes restrictions que les applications bancaires.

Contenu de la proposition

Les services « basiques » (services publics, bancaires, etc) doivent proposer à leurs usagers des solutions qui n’imposent pas l’utilisation d’appareils verrouillés sur des plateformes tierces ni de comptes crées sur ces mêmes plateformes, et ne dépendent pas d’autres services que ceux des états pour l’identification des citoyens.

oui je pense qu’il y a un sujet mais je comprends pas bien le fond technique de cette histoire de blocage des applications. j’ai trouvé un sujet reddit qui aborde un bout du sujet: https://www.reddit.com/r/france/comments/1bw424f/france_identité_refuse_les_téléphone_rootés/

Quels sont les mécanismes de détection et de blocage en place aujourd’hui que ca voudrait interdire ?
Et quels sont les promesses de ses restrictions pour qu’elles soient aveugléments adoptées ?

Même problème en Allemagne (Felicitas Pojtinger 🌅 : « https://bmi.usercontent.opencode.de/eudi-wallet/w… » - Mastodon)… Mais il semble y avoir plus de réactions là-bas.

Est-ce que ces soucis de version sont assimilables au même sujet, pas sûr mais peut-être un sujet connexe :

Prenons comme exemple France Identité (FI) sur Android, mais le raisonnement est valable pour iOS et une application de banque.

Au lancement, FI demande à l’API Android si l’installation est certifiée par les services Google : appareil enregistré, sécurisé, installation avec le Google Play Store, etc. Tout cela dépend des services Google avec signatures et crypto fortes (maintenant avec des puces dédiées) et donc que l’utilisateur ait accepté les conditions d’utilisation de Google. Évidemment, rien n’est open source, l’OS communique avec le cloud Google et les droits des USA s’appliquent.

Comme les services Google sont installés avec des privilèges élevés, ils ont potentiellement accès à toutes les données des autres applications. Comme un compte dans le cloud Google est nécessaire, cela donne un pouvoir à l’entreprise et aux autorités américaines à peu près absolu sur l’appareil et toutes les données qui y transitent.

Pour des applications non essentielles on peut toujours arguer que c’est un choix des utilisateurs. Mais les services publiques ou privés essentiels comme les banques obligent en pratique les citoyens à accepter toutes ces conditions.

La promesse de Google est que les applications ont les garanties de l’identité des utilisateurs et de la certification des appareils. Pour l’identité, des solutions ouvertes permettant d’atteindre des hauts niveaux de sécurité existent : MFA (TOTP), OpenID Connect, etc.
Pour l’intégrité de l’appareil : Google impose ses règles et a un contrôle quasi absolu pour son bénéfice (voir par exemple https://keepandroidopen.org/). Difficile de faire plus opaque, autoritaire… et paradoxal, Android tournant sur un kernel Linux (OpenBSD pour iOS). C’est absurde, un peu comme dire que Linux n’est pas sécurisé parce que les utilisateurs peuvent développer ou installer des logiciels non validés par une autorité, surtout quand cette autorité n’est elle-même soumise à aucun contôle.

Les « décideurs » et les éditeurs font clairement le choix de la facilité : interroger une API est simple, mais ils ne mesurent pas l’ampleur des conséquences que cela implique en terme de dépendance (perte de souveraineté comme on dit maintenant), de liberté, etc. En d’autre termes, on nous oblige à donner les clefs de notre sécurité à des entreprises à qui on ne peut et doit pas faire confiance.

Oui, l’obsolescence programmée est certainement à ajouter dans l’argumentaire : une conséquence non désirée à la dépendence forcée à ces plateformes.