"Ce que j'aimerais que l'on m'ait appris..."

par Andrei SAMBRA

https://bit.ly/2Vsb6QJ

Mais qui est cette personne, Andrei ?

On part sur un dialogue, pas un monologue !

Je reste à votre disposition pour le reste de la journée.

Posez-moi des questions à tout moment.

<  Important

<  Question

Sujets couverts

  • La vie privée
  • L'éthique
  • La sécurité
  • Licences de logiciels libres
  • L'importance de la standardisation (Web)
  • Atelier surprise !

La vie privée

Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

Quelle est la date de publication pour la version concernant la vie privée sur internet ?

La vie privée - un droit universel

La vie privée sur internet (en pratique)

La vie privée sur internet (en pratique)

  • accepter les cookies
  • accepter les CGU
  • accepter les politiques de confidentialité (il fallait 76 jours pour lire toutes vos politiques de confidentialité chaque année - time.com)

Malgré tout cela, les modèles commerciaux actuels sont axés à 99% sur le tracking des nos activités en ligne.

La vie privée sur internet (en pratique)

Aujourd'hui nous échangeons notre vie privée pour la commodité et la gratuité (e.g. Google, Facebook, etc.).

 

 

Explorons un scénario dystopique...

La vie privée sur internet

Y a-t-il des solutions?

La vie privée sur internet

Le Règlement Général sur la Protection des Données - RGPD

(entré en application le 25 mai 2018)

Y a-t-il des solutions?

La vie privée sur internet (RGPD)

Le RGPD est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits.

 

Ce texte couvre l’ensemble des résidents de l’Union européenne.

RGPD - est-ce que ça marche?

En France*:

  • 2 044 notifications de violations de données
  • 11 900 plaintes déposées (ex: une sanction de 50 millions d’euros pour Google)

En Europe:

  • plus de 89 000 notifications de violation de données
  • plus de 144 000 plaintes déposées

* par la Commission nationale de l’informatique et des libertés (CNIL)

RGPD - pour les devs

  • Droit à l'effacement (droit à l'oubli), avec la notification des tiers
  • Droit à la limitation du traitement
  • Droit à la portabilité des données (article 20)
    • exporter la version lisible par les humaines
    • exporter la version lisible par les machines (ordis)
    • APIs  - "autant que possible"
  • Les données des utilisateurs doivent toujours être modifiables par les utilisateurs
  • Demander le consentement de l'utilisateur pour le traitement de ses données (opt-in)

RGPD - pour les devs (cont.)

  • Conservation des données (supprimer les données après traitement)
  • Chiffrer tout (en transit, au repos, sauvegardes)
  • Gardez une trace de toutes les activités où vous utilisez les données personnelles de vos utilisateurs
  • Vérification de l'âge (compliquée)

RGPD - pour les devs (cont.)

  • N'utilisez pas les données à d'autres fins que celles convenues par l'utilisateur
  • Ne pas enregistrer les données personnelles (des identifiants génériques sont suffisants)
  • N'utilisez pas de formulaires comportant plus de champs que nécessaire (collecte de données en bloc)
  • Ne vous fiez pas à la conformité de tierces parties (faites preuve de diligence si possible)

Ne faites pas ça:

Le RGPD n'est pas suffisant

(la ceinture de sécurité)

L'éthique

L'éthique - définition

L'éthique est un ensemble de principes moraux qui informent le comportement d'un groupe ou d'un individu. Par conséquent, l’éthique informatique est un ensemble de principes moraux régissant l’utilisation des ordinateurs.

L'éthique - pourquoi c'est important?

La révolution numérique touche de plus en plus de domaines qui impliquent la protection de la vie privée:

  • la santé

  • les assurances

  • l'education

  • les services financiers (e.g. banques)
  • les transports en commun

L'éthique - pourquoi c'est important? (cont.)

Mais aussi de nouveaux domaines:

  • l'internet des objets connectés

  • le cloud / big data

  • la publicité (ciblée)

  • les medias ainsi que les réseaux sociaux

  • l'intelligence artificielle

L'éthique - pourquoi c'est important? (cont.)

Quel est le pire qui puisse nous arriver?

L'éthique - pourquoi c'est important? (cont.)

Quel est le pire qui puisse nous arriver ?

 

Aadhaar en Inde - un système d'identification de la population de l'Inde basé sur la biométrie.

 

Surveillance de masse en Chine - surveillance par caméra, ainsi que par le biais d'un système de crédit social et d'autres technologies numériques.

Objectifs de l'éthique professionnelle (pour moi et mon équipe)

  • fournir des conseils lorsque les valeurs existantes ne sont pas suffisantes
  • réduire les conflits internes

  • établir des normes de comportement vers les collègues, les étudiants, les employés et les clients

  • soutenir les personnes confrontées à des pressions pour se comporter de manière contraire à l'éthique

Objectifs de l'éthique professionnelle (pour mes utilisateurs)

  • protéger les populations vulnérables qui pourraient être lésées par nos activités et produits
  • protéger / améliorer la bonne réputation et la confiance en notre travail et nos produits
  • préparer une stratégie pour répondre aux dommages causés par notre travail et nos produits (soyez responsable)

Le plus important - mettez-vous à la place de vos utilisateurs !

Discussion libre

L'éthique - exemple 1

Je crée une application financière qui surveille les dépenses et les économies, et peut automatiser des tâches telles que le paiement de factures, les achats répétés, les virements ou les dons à des œuvres de bienfaisance. Quelles fonctionnalités dois-je activer et lesquelles choisir?

L'éthique - exemple 2

Mon outil pour montrer aux gens un souvenir de leur enfance en ce jour est sur le point de montrer à certaines personnes des photos de leurs parents / amis décédés.

L'éthique - exemple 3

Les étrangers ont plus de difficultés que les locaux à trouver une location de maison sur ma plate-forme.

 

(à cause de leurs noms, coordonnées, etc.)

L'éthique - exemple 4

Je travaille chez Facebook et je crois que les données que nous collectons signifient que je suis capable de créer un registre pour les minorités.

La sécurité

Il n’existe pas d’application 100% sécurisée.

Les bonnes pratiques

  • Toujours utiliser HTTPS
  • Chiffrez tout et trouvez une bonne stratégie pour remplacer les clés de cryptage
  • Gardez vos dépendances logicielles à jour
  • Implémentez des bons systèmes de logs
  • Utilisez les cookies sécurisés
  • Développer un système sécurisé de réinitialisation de mot de passe
  • Effectuer un audit externe de votre application
  • Suivez le "top ten" de l'OWASP

Licences de logiciels libres

Licences de logiciels libres

Les licences libres ont été créées dans le but de proposer une alternative aux licences propriétaires existantes, représentées par le Copyright © ou le TradeMark ™.

 

Une définition précise de ce que signifie Open Source a été rédigée par l’OSI (Open Source Initiative). Elle est aujourd’hui reconnue de manière universelle.

Les principaux points communs de la définition:

  • Libre redistribution : la licence ne doit pas interdire à qui que ce soit de vendre ou donner le programme.
  • Code source : la licence doit permettre la distribution du logiciel sous forme de code source. Si celui-ci n’accompagne pas le programme, il doit être disponible de manière facile et gratuite.
  • Travaux dérivés : la licence doit permettre des modifications et des travaux dérivés. Ces travaux doivent pouvoir être distribués sous les mêmes termes de licence que le logiciel original. La licence doit au minimum permettre de redistribuer les travaux dérivés sous la même licence. Elle ne doit pas nécessairement l’obliger.

Ainsi que certaines clauses de bon sens:

  • L’identification du propriétaire du copyright
  • L’obligation de conserver la notice de licence en l’état, sur le programme (impossible de supprimer les termes lors d’une copie)
  • La protection de l’auteur vis à vis des utilisateurs de son programme, ses éventuels défauts et les conséquences de ces défauts, par exemple « ce programme est fourni ‘en l’état’ (« as is »)… ».

 

https://www.diatem.net/les-licences-open-source/

Les licences les plus connues et utilisées

L'importance de la standardisation (Web)

Les standards Web

Quelle est la différence entre Internet et le Web?

Les standards Web

Les standards du W3C définissent l’Open Web Platform, pour le développement d’application qui a un potentiel sans précédents afin de permettre aux développeurs de concevoir des expériences riches et interactives, disponibles sur n’importe quel objet.

Le World Wide Web Consortium s’acquitte de sa mission en réunissant diverses parties prenantes dans le cadre d’un processus clair et efficace, fondé sur le consensus, afin d’élaborer des standards de haute qualité sur la base des contributions des membres du W3C, du personnel et de la communauté en général.

Le World Wide Web Consortium (W3C)

W3C - chiffres clés

  • Plus de 220 Web standards
  • 1 800  participants à plus de 80 Work Groups
  • Environ 390 companies membres, représentants la majorité des secteurs industriels
  • Traduction des standards en plus de 55 langues
  • Liaisons avec 40 organisations mondiales de standardisation (UN, ISO, ITU, IETF, OGF, Unicode, ICANN, ETSI, Isoc…)

Le W3C - les standards

Quelques exemples

  • HTML, CSS, SVG, WCAG, Web , WebXR (VR et AR), WebCrypto API, WoT, payments, WebAuthentication, WebApp security, etc.

 

Les hors sujets

  • Le protocole HTTP (géré par l'IETF)
  • JavaScript (géré par ECMA International)

W3C - un fort accent sur l'accessibilité

L'accessibilité du web est la problématique de l'accès aux contenus et services web par les personnes handicapées (déficients visuels, sourds, malentendants, etc.) et plus généralement par tous les utilisateurs, quels que soient leurs dispositifs d’accès (mobile, tablette, etc.) ou leurs conditions d’environnement (niveau sonore, éclairement, etc.).

 

L'accessibilité est définie par des standards techniques (WCAG 2.0) établies par la Web Accessibility Initiative (WAI) du W3C.

W3C - l'accessibilité en pratique

  • Fournissez des alternatives textuelles pour le contenu non textuel (e.g. les icons, boutons, etc.), qui seront automatiquement détecté par les lecteurs d'écran
  • Fournissez des sous-titres et des alternatives pour le contenu audio et vidéo
  • Utilisez un contraste suffisant pour rendre les éléments de la page faciles à voir et à entendre (e.g. blanc sur noir est plus accessible que noir sur un fond blanc)
  • Rendre toutes les fonctionnalités accessibles par le clavier

W3C - validateurs

Validateur HTML : https://validator.w3.org/

Validateur CSS : https://jigsaw.w3.org/css-validator/

Validateur contrast : https://color.a11y.com/

Validateur accessibilité : https://achecker.ca/checker/index.php

 

Liste des autres validateurs W3C:

https://w3c.github.io/developers/tools/

W3C - l'importance des standards

  • L'utilisation de standards rend automatiquement chaque page que vous créez réellement multi-navigateur et multi-plateforme (coder pour mille appareils et navigateurs?).
  • Réduire le temps de développement et de maintenance (et aussi plus facile à tester).
  • Augmenter le succès des moteurs de recherche (SEO).
  • Dégradation gracieuse maintenant et à l'avenir (compatibilité forward et backward).

W3C - le plus important

La plate-forme Open Web offerte par le W3C est un ensemble de technologies ouvertes (libres de droits d'auteur) permettant le development du Web.

 

À l'aide de cette plate-forme Open Web, tout utilisateur a le droit d'implémenter un composant logiciel du Web sans aucune approbation ni suppression des frais de licence.

Atelier surprise!

Architecture d'une application qui respecte la vie privée

  • gestion des utilisateurs
  • authentification
  • gestion des données personnelles
  • solutions de cryptage

Ce que j'aimerais que l'on m'ait appris

By Andrei

Ce que j'aimerais que l'on m'ait appris

  • 212
Loading comments...

More from Andrei