Promouvoir le HTTPS dans les bibliothèques

Le groupe Library Freedom Project mène un important travail de sensibilisation dans les bibliothèques américaines autour de la question de la protection de la vie privée des usagers en bibliothèque. A ce titre, les membres de la LFP ont mis en place un réseau TOR dans une bibliothèque américaine.

Le site Digital Shift rappelle à travers cet article la campagne menée par le Library Freedom Project sur la sécurité des sites web des bibliothèques. LFP invite fortement les établissements et les fournisseurs de ressources numériques auxquelles ils sont abonnés d’adopter la norme HTTPS permettant de sécuriser les données des utilisateurs. Le protocole HTTPS permet de chiffrer les données qui transitent entre le navigateur de l’internaute et le serveur du site web. Ainsi, cela évite qu’une personne malveillante s’immisce entre l’internaute et le serveur pour aspirer les données personnelles de l’utilisateur. Cela fait également écho à la polémique de la NSA et de son programme de surveillance prisme dénoncé par E. Snowden. Le LFP veut donc favoriser l’implémentation de ce protocole pour les sites des bibliothèques et de leurs partenaires. Son programme vise à instaurer ce protocole avant la fin 2015 et de l’étendre à tous les partenaires commerciaux en 2016. Certains acteurs EBSCO, Elsevier ou OverDrive ont déjà adopté ce protocole. Par ailleurs, le programme du LFP fait directement référence à un des points du Code de l’éthique de l’American Library Association : « protéger le droit à la vie privée et la confidentialité de chaque usager à l’égard de l’information demandés ou reçus et les ressources consultées ou empruntés ».

La directrice du LFP Alison Macrina présente le HTTPS comme le strict minimum pour protéger la vie privée de chacun. Pour mieux comprendre les enjeux de ce protocole, elle imagine une situation dans laquelle vous visitez un site de bibliothèque sans HTTPS ni certificat de sécurité et explique que la moindre activité sur le site peut-être visible partout sur le reste du Net. Quiconque surveillant le trafic sur le réseau peut voir que vous recherchez des livres « sur le genre, l’herpès, le divorce ou n’importe quoi ». Or tout cela ne regarde que vous ! Afin de rendre plus accessible la notion et de sensibiliser le plus largement possible, le FLP a mis en place une FAQ qui explique les enjeux de ce protocole en faisant quelques analogies avec l’environnement physique : « HTTP c’est comme envoyer une carte postale. HTTPS, c’est envoyer une carte postale dans une enveloppe. » Vu comme ça, c’est beaucoup plus parlant ! 😉

Enfin, la promesse du FLP tombe à point nommé avec l’ouverture du service Let’s Encrypt. Il s’agit d’un fournisseur libre de certificats de sécurité que les bibliothèques peuvent obtenir gratuitement si elles veulent implémenter le protocole HTTPS. Grosso modo, les données qui transitent sont désormais chiffrées par un algorithme qui est compatible avec la plupart des navigateurs. Ce projet est notamment soutenu par des acteurs importants de l’Internet comme Mozilla ou l’Electronic Frontier Foundation et depuis peu par l’American Library Association. Grâce à la simplification de l’obtention du certificat, Alison Macrina explique que les bibliothèques qui signent la charte de la FLP disposent d’une solution très accessible pour obtenir un certificat et protéger activement les données personnelles des usagers.

Alors qu’attendons-nous en France pour participer à cette initiative ?!

Plus d’infos sur le Freedom Library Project sur le site officiel

Source : Library Journal