Fin août, une poignée d'internautes se retrouvait sur un chat chiffré pour parler de leurs découvertes. Après l'article de Numerama concernant l'entreprise Teemo, ils ont découvert dans les applications populaires des dizaines de mouchards. Cette bande de hackeurs et hackeuses singulière passera les trois mois suivants à créer Exodus Privacy, une plateforme pour la transparence qui espère changer les pratiques.

L’été se termine sous la pluie quand, après des semaines de travail discret, Numerama publie une enquête sur les trackers publicitaires de la firme Teemo. Nous relatons dans celle-ci que des bouts de codes fourmillant dans les applications populaires exploitent, dans l’obscurité, nos données personnelles.

Pour une rédaction de taille modeste comme la nôtre, la publication d’une telle enquête est un défi. Un challenge journalistique, mais également juridique et éthique, qui éprouvera plus qu’on ne pouvait l’estimer notre résistance et notre indépendance. Toutefois, cette enquête nous offrira aussi une récompense que nous ne pouvions prévoir. À sa petite échelle, elle entraînera des réveils et des questionnements.

Le sujet, pourtant technique, trouve écho auprès de très nombreux lecteurs et médias. Comme on dit dans le métier, nous sommes repris. Mieux encore, quelques mois plus tard, la firme Teemo concède au Journal du Net par la voix de son patron : « Ce genre d’article ne fait jamais plaisir et a suscité pas mal de questions dans notre entourage […] Il a fallu rassurer les équipes en interne ainsi que les partenaires, les éditeurs et les agences. » Le média affirme en outre que certaines agences auraient coupé les ponts avec Teemo.

Si nous devons faire preuve d’humilité face à ces réactions, elles traduisent alors au moins deux choses : premièrement, le sujet intéresse les citoyens, les professionnels et les marques. Deuxièmement, chaque mise en lumière peut bousculer la situation. Une leçon que retiendra, mieux que nous, un groupe de hackeurs citoyens.

Voilà voilà !

On devient déjà corporate, on a notre vidéo d’intro !

(Demain, on intègre Crashlytics & Google Analytics à notre site)

? pic.twitter.com/LsQrNHbIPF — Exodus Privacy (@ExodusPrivacy) November 25, 2017

Et ce sont ces derniers, désormais regroupés sous la bannière de l’association Exodus Privacy, qui nous offrent la plus valeureuse récompense en œuvrant par-delà nos compétences et en se saisissant du sujet pour le porter collectivement. Une victoire toute moderne.

Tout commence avec un « pouet »

Quelques jours après la publication finale de l’enquête Teemo, sur le réseau social décentralisé Mastodon, une internaute poste quelques commandes pour fouiller les applications citées dans notre papier et y déceler des trackers.

Elle se nomme U+039B (lambda en unicode) et par ce simple message, elle initie une aventure qui dure depuis plus de quatre mois. Sa technique est rapidement relayée par différentes personnes qui tentent alors de déshabiller des fichiers d’applications Android (APK) pour y déceler les fameux trackers que nous dénoncions. Les internautes découvrent alors qu’il y en a, dans un nombre vertigineux d’applications — bien plus que nous ne pouvions l’estimer.

Les résultats de U+039B appellent d’autres volontaires à faire de même. Rapidement, un groupe se forme. Ces derniers contactent alors différentes connaissances, se rassemblent, et préviennent Numerama de leurs travaux. Ils se retrouvent finalement dans un chat public qui mêle blagues et intenses recherches. Une dizaine d’internautes va, dans la semaine qui suit, passer leurs nuits et leurs journées à débusquer des trackers dans une grosse centaine d’applications.

« une organisation par le chaos qui roule très bien »

D’abord dynamisé par les convictions et l’efficacité de U+039B, le groupe se voit rejoint par d’autres membres qui vont former un noyau dur qui ne se quittera plus. C’est dans ces dernières semaines d’août que Louis IX — comme il souhaite se faire appeler — rejoindra la joyeuse bande qui déchiffre des applications nuit et jour avec d’autres comparses. Dans l’enthousiasme, et une certaine excitation que nous voyons de nos propres yeux, la bande s’organise : « Une organisation par le chaos qui roule très bien », résume aujourd’hui celle par qui tout a commencé.

L’excitation est palpable dès les premiers jours parmi les membres de cette bande de hackeuses et hackeurs citoyens. Louis IX, le sysadmin du groupe, se souvient : « L’idée de mettre un coup de pied dans la fourmilière des agences de pub nous fait follement plaisir, U+039B, moi, et d’autres, travaillons alors quotidiennement ». Les découvertes s’amoncellent, donnent le vertige : les trackers sont partout, parfois jusqu’à l’excès. « Nous avons, dès les premières semaines, découvert des applications dont les trackers pesaient plus lourd en lignes de code que l’application en elle-même » rappelle l’administrateur système.

« Nous avons découvert des applications dont les trackers pesaient plus lourd en lignes de code que l’application en elle-même »

Hors-la-loi

Se sachant seuls face à un sujet à la fois peu connu et massif, ils travaillent d’arrache-pied. Quitte à aller parfois dans tous les sens, de leur propre aveu.

Ainsi, durant les premières semaines, la bande n’a pas encore défini clairement son objectif : ils pensent pouvoir collecter à la fois des données techniques et réaliser un travail d’enquête sur les entreprises éditrices. Bien vite, la tâche devient trop importante. Ils décident alors de s’en tenir à la découverte technique des mouchards. Enfin, la loi française va également refroidir nos justiciers : U+039B se remémore qu’ils découvrent dans les premières semaines qu’une partie de leur travail pourrait être illégal. « Très tôt, nous prenons donc contact avec plusieurs avocats pour tenter de définir un périmètre légal à nos actions », dit-elle. Et en effet, la propriété intellectuelle les empêche de décompiler le code des applications.

« J’en ai même pas parlé à ma femme »

Le projet a alors besoin d’être cadré et de retrouver du souffle. En septembre, le noyau dur qui s’est formé sur un chat internet se rencontre donc à Paris. « Cela devient alors une étape très importante pour nous, se souvient Louis IX, nous refaisons le monde tous ensemble, mais définissons également ce que nous allons devenir ». Il leur faut un nouveau cadre, protecteur, pour effectuer le dévoilement des trackers : ils décident de créer une association pour légitimer leurs travaux.

Aucune identité ne sortira plus du groupe : « J’en ai même pas parlé à ma femme », confesse un membre. Ainsi seule l’association pourrait être tenue responsable des découvertes. De plus, la loi leur impose d’abandonner l’idée de décompiler les applications. Ils vont alors inventer un procéder légal : écouter sur le réseau ce qui rentre et sort du smartphone, et rechercher dans l’index de l’app des traces des trackers.

« Boîtes noires »

Aujourd’hui, cette loi sur la propriété intellectuelle est jugée durement par les membres d’Exodus. U+039B s’interroge : « Pourquoi la loi ne permet-elle pas à des organismes non-lucratifs comme nous de décompiler ? Il s’agit de défendre une transparence nécessaire pour les citoyens ». Comparées à des boîtes noires, ces lignes de codes opaques mettent en rogne la bande qui rêve de mettre définitivement fin au régime de l’opacité appliquée par les éditeurs d’application.

Pour les libristes qui composent en parti Exodus Privacy, les trackers ressemblent à un cauchemar qui dépasse par sa présence dans nos poches toutes les angoisses que la communauté pouvait avoir dans les années 1990.

Et le libre a justement influencé la bande. « Certains n’étaient pas forcément libriste en arrivant, mais désormais, on partage une forme de conscience libriste commune », constate aujourd’hui Louis IX. D’une certaine manière, la découverte des trackers a réactivé des idéaux liés au libre — les plus jeunes, pas forcément rompus aux constats posés par Stallman, se sont sentis touchés par cette critique de la propriété intellectuelle dans le logiciel. « On a touché une corde sensible, estime le sysadmin. Savoir qu’il y a des mouchards dans nos poches, ça rend la surveillance concrète ».

La question de la publication, et donc de la presse, est également présente dans les esprits. Non sans une certaine méfiance : il faut rappeler que les trackers sont largement présents dans différentes applications des grands médias francophones. Guénaël Pépin de NextInpact va néanmoins approcher le groupe très tôt : il suivra le travail de la bande jusqu’à l’officialisation de l’association et la publication des premiers résultats en respectant les demandes du groupe, notamment en matière de confidentialité. Puis, Martin Untersinger du Monde est aussi intégré à la boucle.

Plus tard, le Yale Privacy Lab qu’avait alerté U+039B se chargera d’ajouter à cette troupe le média britannique The Intercept. Ils font confiance à cette équipe restreinte qui leur a garanti une séparation forte entre équipe éditoriale et publicitaire. Martin Untersinger ira jusqu’à publier un encart précisant les trackers utilisés par Le Monde dans son application. Aujourd’hui, U+039B compte 180 articles sortis sur Exodus, le tout dans 9 langues et même une mention sur la RTBF qui fait sa fierté : « En plus des publications spécialisées, nous pouvons toucher le grand public ».

« Chacun a pu sortir de sa zone de confort »

Alors qu’ils veulent faire de ce sujet un débat public, la bande cherche désormais à toucher ce fameux grand public. Pour cela, elle compte sur deux fonctionnalités qui s’ajouteront à la première plateforme Exodus : une possibilité de soumettre son application favorite à une inspection, et une application Android qui pourrait, localement, signaler les trackers présents dans les applications du smartphone. Louis IX croit beaucoup en ces fonctionnalités : « Vous pourrez tester l’application qui suit votre diabète et découvrir, que peut-être, elle transmet vos données de santé via des trackers ».

En attendant, depuis la publication le 24 novembre dernier de la plateforme Exodus et des articles de NextInpact, Le Monde et The Intercept, la bande fait le bilan et se félicite de trouver parmi eux des nouveaux membres venus vers eux depuis les articles.

« nous avons organisé une cause commune »

Chacun, à sa manière, exprime sa gratitude pour la maîtresse d’œuvre, U+039B, et célèbre la réussite d’une aventure collective. La hackeuse s’enthousiasme de son côté pour la beauté de leur démarche : « Entre nous, nous avons organisé une cause commune. Une cause qui a réuni des citoyens pendant trois mois, qui se sont entraidés et motivés pour réussir. Ça me donne espoir et je dois dire que ça m’a surpris ». Louis IX, qui était en arrêt maladie pendant les trois mois écoulés, a retrouvé dans le projet une connexion et un but pour remettre « le pied à l’étrier », dit-il. Jamais vraiment engagé, il philosophe désormais : « Maintenant que je suis dans le grand bain, je sais nager ».

« Avec des convictions, nous avons pu faire des choses extraordinaires », résume U+039B, s’attachant surtout à rappeler l’importance de l’entraide dans leur groupe : « Chacun a pu sortir de sa zone de confort, a pu apprendre à faire ou expliquer comment faire. Le projet, par sa taille, nécessitait de la pédagogie, et en ce sens, ceux qui y ont travaillé ont pris du temps pour eux tout en le donnant ».

Désormais, ils espèrent que d’autres candidats viendront apporter leur pierre à l’édifice. À ceux-ci, la bande ne demande rien d’autre que le respect de leurs règles, en matière de confidentialité notamment, et une bonne volonté. « Il y a une place pour chacun, pour chaque compétence, que ce soit coder, répondre à des mails ou faire des stickers ! » résume U+039B insistant sur la diversité de la bande. La survie de leur nécessaire travail de transparence dépendra, évidemment, de l’attention que chacun donnera à leur projet.