Réflexion : Dead-man switch

Publié dans : Blog

Définition

Un dead-man switch est une procédure exécutée à la mort d’une personne. Dans la culture populaire, il s’agit généralement d’un capteur biométrique : si son porteur décède, ce capteur déclenche un évènement particulier (généralement, l’explosion d’une bombe ou l’effacement de données dont le monde dépend…).

Historiquement, il s’agit d’un dispositif utilisé dans le domaine ferroviaire permettant de s’assurer de l’état de conscience du conducteur du train ou du métro, puis étendu à d’autres domaines. On trouve un tel dispositif dans les véhicules modernes.

Application numérique au “commun des mortels”

La question de l’advenir des données personnelles lors du décès d’un individu a notamment été posée dans le cadre de l’usage de facebook ou de twitter. Quand le propriétaire d’un compte de réseau social décède, qui peut réclamer le contenu publié ? Le sujet est d’autant plus intéressant que de nombreux domaines sont concernés, pas seulement les données personnelles : comment attester de la légitimité de la demande d’accès au compte, comment attester du décès réel du porteur initial, que se passe-t’il si le prétend défunt ne l’est pas, quel est le motif de la demande d'“héritage”, etc. Les problématiques sont nombreuses, et je pense que les “plateformes” seules ne peuvent pas les résoudre. Je pense qu’il appartient à chaque individu de prendre ses dispositions s’il souhaite que ses données lui survive, et pas seulement sur les réseaux sociaux, au même titre que l’on organise “matériellement” sa fin de vie - lorsque c’est possible.

Malheureusement, organiser sa fin de vie numérique s’oppose à la technicité de l’outil informatique. Même pour un geek avisé, la tâche est colossale, à cause de la quantité de choses auxquelles il faut penser. Non pas qu’organiser sa fin de vie soit facile IRL, mais le regroupement de l’ensemble des informations publiées sur Internet au cours de la vie d’un individu n’est pas aussi facile qu’on pourrait le penser.

Nous arriverons à plus ou moins courte échéance au moment où Internet verra une génération complète à la fois commencer et terminer sa vie en ligne. Ce n’est pas encore le cas, et même si de temps en temps on nous propose une piqûre de rappel, on est tous encore loins de planifier notre fin de vie numérique.

Pourquoi planifier sa fin de vie numérique ?

Permettez-moi de vous poser la question autrement : pourquoi planifions-nous généralement notre fin de vie ? Il n’y a pas qu’une seule réponse, mais on peut raisonnablement penser que deux raisons au moins parmi d’autres nous y pousse :

  • la pérennisation des richesses familiales
  • les croyances individuelles

Il y a de nombreux autres cas de figure évidemment, que l’on ait des héritiers ou non, des richesses ou non, des croyances ou non.

Mon point de vue est que l’on ne pose pas la question aux gens “pourquoi planifiez-vous votre fin de vie ?” ; on ne s’intéresse qu’aux dispositions pratiques. On part même du principe que tout le monde, par défaut, veut organiser sa fin de vie, ultime contrôle sur nos existences. Alors pourquoi poser la question de la planification de la fin de vie numérique, et ne pas, tout simplement, partir du principe que toute personne doit pouvoir disposer de toute donnée numérique qu’elle a pu produire au cours de sa vie ?

De fortes contraintes techniques

De par la volatilité d’une donnée numérique, il est presqu’impossible d’en garantir l’existence pour une durée prolongée. J’ai fait mes débuts sur Internet sur MSN Communities, et MSN Chat. Je suis aussi intervenu sur Caramail, fut un temps. Un jour, sites parmi les plus visités du monde. Aujourd’hui, complètement tombés dans l’oubli. Pas que leurs noms : leurs données aussi, y compris celles que j’y ai mises. Impossible pour moi de prouver que j’ai obtenu une marque de reconnaissance de la part de Microsoft pour la qualité des communautés que j’ai créé sur MSN Communities. Impossible de retrouver des informations que j’ai pu y publier, et même la Wayback Machine n’y peut rien, à plus forte raison lorsque le contenu a été publié dans un espace qui demande une authentification.

Malgré tous les efforts que je peux y mettre, (et je me considère techniquement avancé) il m’est impossible de rassembler tout ce que j’ai produis au cours de ma vie numérique. Et croyez bien que je le regrette. Et ce n’est pas nécessairement parce que j’ai consciemment supprimé ces données : disparition du domaine, voire du site complet, sur lequel les données ont été publiées, utilisation d’un pseudonyme oublié, commentaire isolé sur un site de niche, redirections infructueuses, les raisons pour lesquelles on peut ne pas remettre la main sur ses données sont nombreuses, et souvent indépendantes de notre volonté.

Dead-man switch moderne ?

Si la technologie existe pour surveiller l’état de santé d’un individu (via les bracelets ou montres connectés, les téléphones portables, ou les dispositifs à destination des personnes âgées), elle se contente de prévenir quelqu’un, qu’il s’agisse des secours ou d’un proche, mais elle est encore bien incapable de s’occuper de sa vie numérique.

Comme je le disais plus haut, pour le moment, seul l’individu peut choisir ce qu’il veut faire de ses données lors de son trépas. Certaines plateformes ont mis en place diverses actions à ce titre, mais chaque individu doit bien penser à activer ces options, sachant qu’elles ne peuvent pas toujours être déclenchées automatiquement.

Il y a tellement de plateformes différentes sur lesquelles on publie du contenu au cours de sa vie numérique qu’il est impossible de s’en souvenir en intégralité. De plus, il est impossible de relier avec certitude une donnée particulière avec un auteur particulier. Des protocoles tels qu’ActivityPub, et les solutions auto-hébergés restent la meilleure option à l’heure actuelle pour conserver la main sur ses données, et le sujet a été amplement abordé par mes pairs. Mais même en mettant en oeuvre de telles solutions, il n’existe pas d’architecture commune, de protocoles, d’interfaces permettant des actions universelles en cas de fin de vie numérique. Rien, en tout cas, d’uniformisé, documenté. Les plus geeks d’entre nous auront bien quelques idées, mais elles sont loin, très loin d’être accessibles au commun des mortels.

Que doit faire un dead-man switch ?

Dans l’absolu, un DMS devrait être informé en temps réel de l’intégralité des données produites par un individu : aussi bien le contenu que les méta-données et leur emplacement numérique (l’URL pour y accéder), avec un horodatage. Cela ressemble à s’y méprendre à ce que fait git… qui représente justement, selon moi, le meilleur outil pouvant servir à la réalisation d’un DMS.

En admettant que le DMS dispose de ces informations, il doit pouvoir les stocker de façon fiable pendant au moins la durée de vie de l’individu. Si vous êtes un geek, vous disposez sûrement de sauvegardes datant de plusieurs années. Peut-être même, une ou deux dizaines. Si vous n’êtes pas geek, il est peut probable que la donnée la plus ancienne que vous ayez jamais produite vous soit encore accessible.

Même si l’on se considère geek, certaines données sont de toute façon perdues à jamais. Comment pourrais-je transférer sur un ordinateur moderne les programmes que j’ai écrits en BASIC dans les années 80, stockés sur des disquettes dont le format n’a jamais été créé pour autre chose qu’un Amstrad CPC 464 ou 6128 ? Je devrais déployer des trésors d’ingéniérie pour y parvenir, si tant est que je pouvais remettre la main sur une telle machine en état de marche, et surtout, sur les disquettes dont il est question…

En outre se pose aussi la question des formats de données : des formats binaires qui existaient dans les années 80 ne sont probablement plus lisibles aujourd’hui, sauf, encore une fois, pour les plus opiniâtres des geeks.

Un bon DMS doit stocker ses données dans un format reproductible et pérenne, et doit donc trouver un compromis entre l’espace nécessaire au stockage de la donnée et son interopérabilité. On doit pouvoir lire la donnée même si son format initial n’est plus supporté. Là encore, c’est un sujet que la philosophie de l’informatique a abordé assez souvent, sans pour autant trouver de réelle solution. Dans l’absolu, l’intégration d’émulateurs pourrait permettre la reproduction de données trop anciennes, mais aurait sans doute un coût matériel prohibitif.

Si l’on dispose des informations de base et d’un moyen de stockage fiable, il faut décider ensuite quoi faire de ces données. Un DMS doit offrir le moyen de définir des règles précises, des tâches particulières à effectuer lors du déclenchement de la procédure de fin de vie. Telles données doivent être rendues disponibles à telle ou telle personne uniquement, telles données doivent être rendue publiques à tel endroit, tel message doit être envoyé à telle personne, etc. Là encore, la complexité de la gestion de ces données pourrait littéralement occuper une vie entière.

Enfin, il faut disposer d’un moyen de déclencher ces procédures, au moment “opportun”. Les technologies de surveillance individuelle de santé peuvent y aider, mais la criticité d’une telle procédure recquiert un comportement sans faille. En outre, il faut que le DMS soit disponible au moment où se produit le décès, c’est-à-dire que toute la chaîne logicielle soit fonctionnelle. Et ce n’est pas toujours selon le bon vouloir de l’individu…

Impossible à réaliser ?

Je récapitule :

  • Surveillance de l’état de santé d’un individu
  • Déclenchement sécurisé d’une action auprès du DMS
  • Le DMS doit avoir accès à toutes les données de l’individu
  • Le DMS doit lire et appliquer les règles qu’a défini l’individu de son vivant concernant chaque donnée enregistrée
  • Dans l’absolu, le DMS devrait répliquer toutes les données sur un système de stockage spécifique et fournir une interface de navigation pour que les proches du défunt puisse les visualiser d’une façon ou d’une autre
  • Le DMS doit pouvoir stocker ces données pendant une durée indéterminée
  • Il doit fournir les moyens de visualiser n’importe quelle donnée, même trop vieille pour des machines modernes
  • Il doit aussi embarquer des moyens modernes de visualisation de ces données qu’il sera possible d’utiliser avec des ordinateurs construits à moyen ou long terme

Il y a encore de nombreuses problématiques à résoudre, comme la sécurité des données stockées localement, la sécurité des accès aux données distantes, acquérir la certitude que le défunt a bien déclenché la procédure et non qu’elle l’ait été par une action malveillante visant spécifiquement à y accéder, la notarisation des règles définies par le défunt de son vivant afin de s’assurer du respect juridique de la transmission des données, il faudra probablement tenir compte des licences sous lesquelles l’individu a publié, voire appliquer une licence par défaut, etc.

Je pense que pour l’heure, on ne disposera pas d’un tel système utilisé à grande échelle avant un moment, et lorsqu’il le sera, il sera aux mains d’une grande entreprise privée. Probablement facebook, peut-être qu’Apple offrira un service similaire. Google sans aucun doute, considérant sa volonté de tuer la mort et son omnipotence légendaire. Mais, si on est sur toutes ces plateformes, on va multiplier les DMS, rendant la procédure encore plus compliquée. Alors on verra peut-être naitre des services hybrides, interconnectés, et puis enfin, quelques années plus tard, des solutions Libres et auto-hébergeables.

On verra bien. J’aimerais bien disposer de tels services Libres et auto-hébergables dès aujourd’hui, parce que leur prise en main va prendre un temps considérable.