Numérique

Auto-hébergement (2) : La sécurité en question

Version imprimable de cet article Version imprimable


Quel chemin reste-t-il à parcourir afin que n’importe qui puisse s’émanciper à travers l’auto-hébergement ? Une partie du problème ne résiderait-elle pas précisément dans la logique parfois individualiste de l’auto-hébergement, qui peut conduire à une surcharge de travail ainsi qu’à des problèmes de sécurisation ?

Dans l’article précédent (voir AL de mai 2019), nous avons vu qu’il est techniquement possible de s’auto-héberger pour s’émanciper des services propriétaires et commerciaux type Gafam. Techniquement, il est aujourd’hui possible de ne pas dépendre de GMail pour ses mails, de ne pas dépendre de Facebook pour son réseau social, de ne pas dépendre de Youtube pour ses vidéos, etc. Autrement dit, il est aujourd’hui possible d’installer et de mettre en service chez soi son propre serveur.

Et la « sécurité » dans tout ça

Cependant, malgré cette possibilité réelle, on constate aisément que l’émancipation promise n’est pas là. L’auto-hébergement reste une pratique de niche, peu répandue. Et pour cause  : une fois le serveur installé, plusieurs questions «  sécuritaires  » incontournables se posent très rapidement. Le système doit fonctionner sans faille durant les plages d’utilisation prévues et garantir l’accès aux services et ressources installées avec le temps de réponse attendu. Le système doit également être intègre, c’est-à-dire que les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les données doivent être exactes et complètes. Enfin, et c’est essentiel, il doit être confidentiel  : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. À ces questions sécuritaires, nous pouvons ajouter la nécessité d’effectuer des sauvegardes régulières du système  : tout matériel électronique (disque dur, carte mémoire, etc.) tombe en panne tôt ou tard, et souvent sans signe annonciateur. De plus, il est important de tenir le système à jour, tant que le service est actif, pour en garantir un bon niveau de sécurité et éviter les risques de piratage. Si les données hébergées sont sensibles, il peut être intéressant, voire indispensable de chiffrer le stockage utilisé par le système.

Nous résumerons ces différentes tâches sous l’appellation «  maintenance du système  ». Cette partie chronophage nécessite certaines connaissances techniques et est encore aujourd’hui difficilement réalisable par un ou une novice. Il peut alors être tentant d’envisager un «  auto-hébergement à plusieurs  », collectif, mutualisé, où il suffirait qu’une seule personne possède l’expertise pour que toutes et tous puissent en profiter. Par exemple, Alternative libertaire pourrait envisager de s’auto-héberger, afin de garder le contrôle sur son site web et sur ses adresses mails. Si si, on s’est déjà posé la question très sérieusement… mais le pas n’a pas été franchi.

Un hébergement collectif

Dans le cas d’un hébergement à usage strictement personnel, l’envergure des risques et de la responsabilité est limitée  : si je maintiens mal mon système, je suis seul à en subir les conséquences. Lorsque l’hébergement devient collectif, que plusieurs personnes l’utilisent, les risques, les responsabilités et la maintenance qui y sont liés deviennent conséquents et chronophages, sans doute trop pour reposer sur une seule personne, experte ou non. L’auto-hébergement pour une utilisation collective, donc forcément plus intensive que pour une utilisation individuelle, montre également ses limites quand on pense au faible débit offert par la plupart des fournisseurs d’accès à Internet (FAI). Par ailleurs, lorsque le serveur se trouve dans le domicile d’une personne physique, il est difficile d’en mutualiser la maintenance. À cela s’ajoute encore le risque d’interruption de service en cas d’incapacité (vacances, maladie, accident) de la personne chargée de la maintenance. Enfin, le pire qui puisse arriver est la saisie du matériel informatique suite à un souci judiciaire (perquisition) dont ferait l’objet le ou la propriétaire du local où est entreposé le serveur, un utilisateur, une utilisatrice ou encore l’ensemble du collectif qui utilise le service. La saisie pourrait conduire à l’exploitation des données sensibles si celles-ci ne sont pas suffisamment sécurisées. Exploitation de données qui pourrait également avoir lieu en cas de simple cambriolage, ciblé ou non. Évidemment, perquisitions et cambriolages sont des risques qu’une organisation révolutionnaire et antifasciste telle qu’Alternative libertaire doit prendre en compte.

Une solution fédéralisée : Les Chatons

Lorsqu’un hébergement profite à une collectivité, il devient nécessaire que la maintenance du système soit collectivisée. Le prérequis est évidemment que le système doit se trouver physiquement dans un endroit accessible par plusieurs personnes, et donc par nature moins sécurisé qu’une chambre forte dont je serais le seul à avoir la clé. Il faut également prendre en charge la formation des membres de la collectivité, afin que le(s) mandat(s) de maintenance puisse(nt) tourner et qu’aucune dépendance au bon vouloir d’un seul individu spécialiste ne se mette en place.

Au vu des limites évoquées, un hébergement collectif devrait se tourner vers des solutions fédéralisées, où travaillent déjà des expertes et experts en systèmes informatiques et où les réflexions évoquées ci-dessus ont déjà été menées. La bonne nouvelle, c’est que ces hébergeurs existent déjà  ! Nous pouvons notamment citer les Chatons de Framasoft : «  Chatons est le Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires. Il rassemble des structures souhaitant éviter la collecte et la centralisation des données personnelles au sein de silos numériques du type de ceux proposés par les Gafam (Google, Apple, Facebook, Amazon, Microsoft).  »

Alors à quand un chaton communiste libertaire, assorti d’une politique de formation pour lutter contre la spécialisation et d’une réflexion approfondie sur la sécurisation physique des données  ? Attendez, pas trop vite, laissez-nous le temps de préparer ça…

Le groupe de travail libriste d’Alternative libertaire

 
☰ Accès rapide
Retour en haut