Web Environment Integrity : chez Google, l’ombre d’un DRM pour le web
Don't be evil
La Privacy Sandbox est officiellement entrée en action hier. Tandis que d’un côté Google vante un meilleur respect de la vie privée, elle prépare de l’autre une nouvelle API déjà entourée d’une aura sulfureuse. Nommée Web Environment Integrity, elle aurait la capacité de mettre en échec les bloqueurs de publicité.
Web Environment Integrity est un projet mené par une équipe de quatre développeurs de Google, dont l’un de ceux derrière la Privacy Sandbox. Il s’agit d’une API (Application Programming Interface) qui a essentiellement pour mission de signaler à un serveur qu’un client est ce qu’il prétend être. En somme, elle a une mission de preuve d’authenticité, avec un fonctionnement qui n’est pas sans rappeler celui des DRM.
Objectifs et inspiration
« Les utilisateurs dépendent souvent de sites web faisant confiance à l'environnement client dans lequel ils fonctionnent. Cette confiance peut supposer que l'environnement client est honnête sur certains aspects de lui-même, qu'il sécurise les données des utilisateurs et la propriété intellectuelle, et qu'il est transparent sur le fait qu'un être humain l'utilise ou non », expliquent les ingénieurs sur le dépôt GitHub où réside actuellement le projet.
L’objectif principal de Web Environment Integrity est de mieux connaître le terminal demandant un contenu, à travers le navigateur. L’API doit pouvoir déterminer par exemple qu’il ne s’agit pas d’un bot, auquel cas les données réclamées ne seront pas communiquées. À sa charge également de vérifier que le navigateur n’a pas été modifié intentionnellement ou par le truchement d’un malware.
Ce type de fonctionnement existe depuis plusieurs années sur Android et iOS, respectivement avec Play Integrity et App Attest. Dans les deux cas, ces mécanismes sont chargés de caractériser l’appareil sur lequel fonctionne une application. Ils permettent aux éditeurs de refuser que leur application fonctionne quand les conditions ne sont pas remplies, par exemple si l’application a été modifiée d’une manière imprévue.
Sur Android, l’API Play Integrity peut également bloquer une application si l’appareil a été rooté. Sur la page Google de l’interface, on peut lire qu’elle doit « vérifier que les actions et les requêtes des utilisateurs proviennent du binaire d'application non modifié, installé par Google Play, et exécuté sur un appareil Android authentique. Le serveur backend de votre application peut décider de la procédure à suivre pour éviter les abus, les accès non autorisés et les attaques ».
En pratique, Play Integrity joue un grand rôle dans le fonctionnement quotidien des applications Android. En cas d’appareil rooté, de nombreuses applications refuseront en effet de s’exécuter, comme celles des banques, Netflix, Snapchat, la plupart des jeux en ligne, Google Wallet et d’autres, comme le note ArsTechnica. Il s’agit d’une réponse directe à une problématique très pragmatique : s’assurer que l’environnement n’a pas été modifié pour en tirer un avantage quelconque. Dans le cadre des jeux en ligne, une forme de triche par exemple.
Du côté des utilisateurs, la conséquence est que le bébé part avec l’eau du bain. Dans le cas d’un rootage effectué volontairement et dans la sphère privée pour débloquer de nouvelles capacités sur son téléphone, le résultat est le même : les applications ne fonctionneront pas. L’API ne fait pas la différence (et ne le peut pas).
C’est le même type de mécanisme que prévoit Google avec ce projet. Il ne s’agit d’ailleurs pas d’une simple réflexion, puisque l’API est en cours de prototypage en vue d’une inclusion dans Chrome.
Comment ?
Ce type de technologie, dans son approche, n’a rien de nouveau. Le processus est semblable à tout mécanisme de fingerprinting, en collectant des signaux peu susceptibles d’évoluer. Ils sont alors brassés pour composer un identifiant unique. Les ingénieurs se défendent pourtant de tout fingerprinting, indiquant même que la conception de l’API ne doit jamais s’en approcher.
Avec Web Environment Integrity, une page web pourrait demander une vérification d’authenticité avant de fournir un certain contenu. Durant la transaction web, le serveur émettrait alors une telle demande. Le navigateur contacterait à son tour un serveur d’attestation tiers, qui lui ferait passer un test.
Si le test échoue, un message est émis pour avertir l’internaute et l’affichage du contenu est refusé. Si le test réussit, le navigateur obtient un jeton d’intégrité (IntegrityToken), témoignant d’un environnement « sain » (comprendre « non modifié »). Après communication du jeton au serveur web initial, le contenu visé est débloqué et affiché. Comme pour Play Integrity sur Android, il peut aussi bien s’agir d’un contenu vidéo que d’un service bancaire, entre autres exemples.
Quel intérêt pour Google ?
Toujours sur le dépôt GitHub du projet, les auteurs indiquent que Web Environment Integrity aurait de multiples intérêts, comme empêcher la triche sur les jeux web, s’assurer du respect des droits sur les contenus ayant un copyright, freiner les bots sévissant sur les réseaux sociaux, apporter une nouvelle couche de sécurité aux transactions financières ou encore mieux compter les impressions publicitaires. Ce dernier point est bien sûr capital.
Plus de 90 % du chiffre d’affaires de Google provient de la publicité. Les outils de Google dans ce domaine sont omniprésents, au point que Margrethe Vestager, vice-présidente de la Commission européenne, a agité le mois dernier le spectre d’un démantèlement partiel de l’entreprise, si elle ne mettait pas bon ordre dans ses pratiques. En outre, Chrome est le navigateur le plus utilisé au monde, avec une part de marché d’environ 60 %.
Techniquement, Google pourrait se servir de ce mécanisme pour n’autoriser les connexions à ses propres services que dans les conditions qui l’intéressent. Pour de nombreux observateurs, le Manifest V3 était déjà une charge déguisée contre les bloqueurs de publicité. Avec Web Environment Integrity, Google serait en mesure de définir précisément les conditions d’accès à ses services, qui comptent parmi les plus utilisés au monde.
Début de polémique
Le dépôt GitHub n’est pas tout neuf. Les premières modifications y ont pris place en avril 2022. Il a cependant fallu attendre le 21 juillet dernier pour que le projet gagne en visibilité. À la suite en effet d’un ajout nommé « Une collection d’idées intéressantes », le sujet apparaît chez HackerNews, déclenchant immédiatement une vague d’hostilités.
Les avis sont nombreux et la plupart des éléments de langage vont dans le même sens : « l’inévitable fin du web », le contrôle absolu par Google, Firefox comme solution de secours, ou encore l’avènement de Chrome en tant qu’Internet Explorer. Ce n’est pas la première fois que ce type d’opinion surgit autour de Chrome, mais il est clair que le projet de Google déclenche des réactions nettement plus vives qu’habituellement.
Sur la page GitHub du projet, de nombreuses personnes ont déboulé pour signaler des « issues » (problèmes), dans un langage plus ou moins fleuri. Le numéro 127 demande par exemple : « Vous êtes-vous déjà arrêtés pour vous demander si vous n’étiez pas les méchants ? ». Un autre qualifie le projet de « absolument contraire à l'éthique et à l'ouverture du web ». Un autre encore a publié un message en hexadécimal, qui commence par « Mort aux fascistes, mangez les riches » et souhaite une « diarrhée explosive » aux concepteurs de Web Environment Integrity.
Google a pourtant tenté de mettre des formes à sa proposition. Dans son « explainer », les quatre ingénieurs évoquent les buts et non-buts de la technologie. Par exemple, la technologie est conçue pour ne pas autoriser de nouvelles capacités de suivi cross-site grâce aux attestations reçues, ce qui nierait d’ailleurs la raison d’être de la Privacy Sandbox. Surtout, l’API n’est pas censée « renforcer ou interférer avec les fonctionnalités du navigateur, y compris les plugins et les extensions ».
Un danger de fragmentation
Cette mention des extensions est importante, puisqu’elle concerne directement les capacités de blocage publicitaire recherchées par bon nombre d’internautes. À ce sujet, les explications sont imprécises : l’API « atteste la légitimité de la pile matérielle et logicielle sous-jacente, elle ne restreint pas les fonctions de l'application. Par exemple, si le navigateur autorise les extensions, l'utilisateur peut les utiliser ; si un navigateur est modifié, le navigateur modifié peut toujours demander l'attestation de l'intégrité de l'environnement web ». C’est tout.
Dans l’optique où Google aurait pour projet de verrouiller les accès à ses services en imposant ses conditions, rien ne serait gagné pour autant. Chrome a beau être le navigateur le plus utilisé au monde, rejeter radicalement les bloqueurs de publicité aurait tôt fait de lancer une partie des internautes à la recherche de nouvelles solutions pour un web « plus propre ». Mais là encore, aucune garantie, car Google dit ne pas souhaiter que son mécanisme soit exclusif à Chrome. Les autres navigateurs pourraient ainsi l'adopter. On imagine mal cela dit des éditeurs comme Mozilla l'adopter, quand sa position sur le Manifest v3 est déjà très claire.
Si, au contraire, Google prévoit de proposer cette API comme simple équivalent de Play Integrity pour le web, le danger ne sera pas moins grand. Web Environment Integrity fonctionnerait alors comme un DRM pour le web, fractionnant les services entre ceux qui l’utiliseraient et les autres. Il n’y a pas de raison en effet pour que des sociétés comme Netflix ou les banques, qui se servent de ces mécanismes sur Android et iOS, fassent l’impasse sur cette solution qui garantirait les conditions d’exécution prévues.
Commentaires (85)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/07/2023 à 15h30
je ne sais pas quoi dire tellement ça m’attriste.
YaplusKa espérer que Gogole se vautre lamentablement.
P’tain j’ai encore 20 ans à faire dans l’informatique (et dans le web malheuresement)…
Ça va pas le faire je pense. Vous avez des idées de reconversion ?
Le 25/07/2023 à 15h35
Tu veux vraiment des idées ?
(Je me fais souvent la même réflexion cela dit)
Le 26/07/2023 à 10h08
Moi je suis parti en cuisine. Ça embauche, ça paie pas si mal (à condition de viser un resto pas trop petit), faut juste supporter l’amplitude horaire et le stress du service.
Le 27/07/2023 à 10h44
micro-informatique peut être ?
Le 25/07/2023 à 15h35
Merci pour ce bel article !
Ça ressemble pas mal dans son fonctionnement à un gros CAPTCHA. Mais j’avoue assez mal voir comment, techniquement, ils comptent vérifier l’intégrité du navigateur…
Le 25/07/2023 à 15h41
J’avais été super surpris du nombre d’infos que tu peux récupérer depuis le navigateur et la connexion rzo (adresse MAC ?).
Ils arrivent a profiler de manière presque unique une machine.
Le 25/07/2023 à 15h43
Le fingerprinting est en effet redoutable vu que les navigateurs sont quasi des OS…
Le 25/07/2023 à 16h14
https://www.amiunique.org/fr/fingerprint
Ça fait un peu peur, en effet…
En gros, les malveillants pourront toujours faire un faux en changeant quelques trucs pour éviter d’être repérés, mais les honnêtes seront pistés…
Le 25/07/2023 à 15h36
C’est triste, mais cela fait déjà quelques temps que Google a privatisé et s’est approprié le protocole HTTP. Et désormais ces “évolutions” démontrent que la firme a bien acquis la mainmise sur l’un des protocoles de communication majeurs d’Internet et compte bien la conserver.
D’ailleurs une autre info au sujet de Google et de sa fameuse auto proclamée mission de donner accès l’information à tous : la firme est en train d’expérimenter une restriction de l’accès Internet de ses employés pour des raisons de sécurité.
Le 25/07/2023 à 15h37
Oui !
Le 25/07/2023 à 15h42
J’ai entendu dire que traverser la rue permettait des résultats mirobolants
Le 25/07/2023 à 15h47
Tout à fait ! C’est dépaysant, le retour à la nature ! C’est bien le genre de proposition que j’allais faire.
Cela dit j’avoue aussi penser à devenir Artisan :) Ils sont rares, font les chantiers qu’ils veulent, souvent a des prix sulfureux (surtout dans le pro) et ca me ferait du bien de faire un peu plus de job manuel !
Cela dit, pour en revenir à l’article, je ne vois pas trop comme ils vont faire pour la publicité alors que tous les autres navigateurs vont dans le sens opposé. Même si l’exemple de FF en fin d’article n’est peut être pas le meilleur quand on sait d’ou FF tire ses revenus (en grosse partie ?).
S’ils bloquent leurs services en fonction de cela, ils risquent aussi de perdre pas mal de monde au passage, voir beaucoup…
Le 25/07/2023 à 15h37
Bah reconversion classique de l’IT : élever des chèvres dans le Larzac.
Le 25/07/2023 à 15h43
Le 25/07/2023 à 17h05
Brasseur de bière artisanale?
Moi ça me tenterait :)
Le 25/07/2023 à 15h45
+1
j’ai souri et ça m’a remonté le moral
Le 25/07/2023 à 15h53
Pareil !!! Je m’entraîne sur ma maison depuis 5ans
Maraîcher aussi me tenterai bien, mais quand je vois comment ils se font exploiter par les “prix du marché”…
Tout simple, tu n’y va pas avec Firefox, pas certifié.
Demain ce sera les OS. On est tellement accro à leurs services ‘gratuit’. Ça marchera…. Si le législateur laisse faire .
Le 25/07/2023 à 16h17
En même temps, si le fingerprint devient si précis, on risque de pouvoir considérer que le fingerprint est une donnée personnelle. Et là BIM le RGPD.
Le 25/07/2023 à 16h23
Vu qu’il permet d’identifier indirectement une personne, oui s’en est une. La donnée personnelle telle que définie par le RGPD est à la fois celle permettant de directement identifier une personne physiquement (nom, prénom, photo..) et indirectement (numéro de téléphone, plaque d’immatriculation de voiture..).
Et le fingerprinting fait partie des méthodes de tracking encadrées nécessitant le consentement. Dans les faits…
Le 25/07/2023 à 16h25
Au hasard : Hacktiviste
Blague à part, s’il n’est plus possible d’utiliser le service [X] à moins d’utiliser le navigateur [Y] sur le système [Z], je vois arriver des plaintes pour :
Avant d’utiliser ce genre de possibilité, les éditeurs devront se poser la question du coup économique d’une fuite de clientèle effrayée par l’aspect hégémonique de la chose; et de celui de la perte d’image (Twitter ?). Rien n’est plus volatil que la fidélité d’un client, surtout s’il se sent trompé.
D’un autre coté, la masse qui n’y verra que du feu et continuera a “panurger” tranquillement suffira peut-être à assurer la survie des FB, Instagram, etc. et autres inutilités du web sur un plan économique.
Le 25/07/2023 à 16h53
Teams (version web - sur Linux) ?
A l’époque fonctionnel avec Firefox, puis uniquement avec Chromium (et équivalent) puis plus du tout.
Le 25/07/2023 à 17h48
Perso j’ai aucun souci avec Teams sous Vivaldi avec Linux en version web. Et pareil avec les autres solutions du genre, vu que je me les tape à peu près toutes…
Le 25/07/2023 à 17h59
Même en visioconf ? J’utilisais Vivaldi aussi en dernier recours et un jour, plus rien …
Le 25/07/2023 à 18h06
Pour le coup je l’utilise assez régulièrement car pas mal d’éditeurs font des visio avec ce moyen et non, je n’observe pas de soucis. Il se passe quoi ?
Edit : je suis généralement en Guest, je sais pas si ça fait une diff. Mais j’ai déjà fait des points Teams avec Microsoft sur un tenant à eux et je n’ai pas eu de soucis non plus.
Le 25/07/2023 à 18h19
C’est juste une continuité… C’est triste mais le web que beaucoup ici ont connu est déjà mort. Ce serait intéressant de faire un article montrant l’évolution du résultat des moteurs de recherche ces dernières années.
Début 2000, on cherchait “comparatif carte graphique”, on avait des méga tests. Ça n’existe plus pour plein de raisons trop longues à détailler et déjà expliquées sur NXI. En repli, on pouvait rechercher ensuite “avis telle référence”, avec des résultats qui pointaient sur des forums.
Dorénavant, on tombe sur toute une suite de liens à but commerciaux, chaque site de commerce ayant développé son système d’avis. Les rares sites qui font encore des comparatifs appartiennent maintenant à de grands groupes ce qui laisse de gros doutes sur leur impartialité.
On cherche une tondeuse ? Des sites sont créés exprès pour avec des analyses bidons juste pour du rabattage sur des liens Amazon… On cherche une info scientifique ? On tombe sur des sites complotistes…
Bref, ça fait quelques temps que le web est devenu un tel bordel à but commercial que ça commence enfin à dégouter du monde. Ce qui est dommage, c’est qu’entre temps on a perdu un énorme outil de partage. Même des entreprises y auront laissé des plumes, notamment la presse.
Le 25/07/2023 à 21h12
C’est tellement ça 😒
Le 26/07/2023 à 13h37
Malheureusement, c’est vrai.
Le 25/07/2023 à 19h17
L’avis de Vivaldi sur cette n-ième Gougueulerie
: 
Vivaldi
Le 25/07/2023 à 20h12
Avis qui n’est pas surprenant.
Et qui inquiète évidemment sur cette capacité de vie et de mort que Google a sur le Web. Déjà qu’ils l’avaient avec leur moteur de recherche. Malheureusement ce n’est pas demain qu’un démantèlement de cette boîte folle et imbue d’elle-même aura lieu.
Ca pue.
Le 26/07/2023 à 03h46
Et donc en gros cela sera comment leur DRM du web ? Si tu as un PC de grande marque pré-monté sur windows tu est OK et si tu as un PC monté par tes soins sur linux, tu te fait jeter ?
Le 26/07/2023 à 07h28
Google détaille-t-il un calendrier ? Ils prévoient d’implémenter ce truc dans combien de temps ?
Le 26/07/2023 à 07h45
Oui, sauf si Ms intègre le système et que l’exécutable est vérifié (signé par un certificat sûr) par exemple.
Pour Linux, il faudra que le système soit vérifiable aussi - ça devient plus difficile: même si avec les appimage/snaps on pourrait valider une image signée, il faut que l’environnement soit fiable aussi.
Autant je vois commet ça protège des robots, autant en quoi ça protège d’une VM qui clickouille toute seule?
Disons que ça peut fonctionner si le système peut valider fonctionner sous une identité “vérifiée”:
Dans tous les cas, la question est surtout la question de l’adoption du système par les sites. Si Youtube et les sites de porno adoptent ce système, c’est foutu, on devra tous y passer car la masse critique sera là.
Le 26/07/2023 à 08h00
Désolé, j’ai pas la ref, mais en même temps, je ne suis trop souvent en décalage avec les actualités
Le 26/07/2023 à 08h25
Le 26/07/2023 à 08h12
Merci pour l’article.
Le binaire peut se comporter différemment dans une VM. Par exemple le score sera plus faible ce qui affichera plus de CAPTCHA. Après un stealth QEMU devrait contourner le problème : tant que la solution est suffisamment pénible pour en détourner suffisamment de personne….
Même sans cela, de mémoire, Instragram a passé un temps considérable à complexifier le scrapping.
Tant d’efforts pour transformer les ordinateurs en dumb terminal…
Le 26/07/2023 à 08h55
On peut aussi faire le tour du Vieux Port à Marseille, mais ça prend un peu plus de temps.
Le 26/07/2023 à 17h36
ha oui, le port j’avais entendu, mais le coup du “je traverse”, j’avoue qu’il a fait fort
Et même une page wikipedia? hé ben, vous en tenez une bonne avec celui-là. Et vous l’avez encore pendant 4 ans, quelle chance…
Le 26/07/2023 à 10h47
D’après les commentaires, la meilleure reconversion serait le combo “brasseur de bière éleveur de chèvre dans le Larzac”
Le 26/07/2023 à 11h22
Pour moi, ce “DRM” s’inscrit effectivement dans la stratégie globale de Google concernant l’AdTech.
En étant pessimiste, ca ressemble à une volonté de EEE (Embrace, Extend and Extinguish) envers les régies pub alternatives. En imposant la technologie et en maitrisant tous les maillons de la chaine, Google va s’accaparer le marché.
Le 26/07/2023 à 12h07
Franchement plus le temps passe, plus je m’organise pour utiliser mon PC hors ligne quand je vois ce qu’est en train de devenir Internet: du flicage, de l’authentification, du contrôle de partout.
Du coup le week end je joue à des jeux offline sur Linux.
Le 26/07/2023 à 12h35
On a encore le choix de ne pas utiliser cet internet de flicage. C’est fou, mais j’ai l’impression que de ne pas avoir un compte Apple ou Google est devenu un acte militant.
J’ai un VPN chez Aquilenet, aucun compte chez aucun GAFAM, mon PC tourne sous Linux, le téléphone c’est plus compliqué mais il tourne sous LineageOS. Alors OK j’ai pas accès aux séries Amazon Prime, mais ça ne me manque pas vraiment.
Et tje ne me sens absolument pas du tout freiné dans mon utilisation du web et d’Internet en général. Aucun site ne me refuse parce que je ne réponds pas à tel ou tel critère. Même l’application de ma banque fonctionne sans problème sans les services Google Play (ou même microG) sur mon téléphone.
J’ai du mal à croire que Google puisse changer cet état de fait. Si c’est le cas, je deviendrai militant. Mais j’ai encore une vague confiance en l’Europe pour ne pas s’américaniser à ce point.
Le 26/07/2023 à 12h46
Après Microsoft et le virage de Windows depuis le 10 qui s’est aggravé avec Windows 11 , Google veulent lui aussi faire du PC un smartphone où ils controlent tout et décident pour l’utilisateur. :‘(
Le 26/07/2023 à 13h16
Eh beh, y’a effectivement de quoi être très pessimiste sur l’avenir du web … Heureusement que le fédiverse essaie de construire des alternatives plus « honnêtes » à tout ce merdier.
Agriculture, maraîchage, aide-soignant, infirmier, prof, électricien, artisan, etc.
Le 26/07/2023 à 13h44
C’est un peu le côté inquiétant. Aujourd’hui, oui, on a le choix. Mais demain ?
Si demain tu ne peux plus aller sur ton webmail, tes comptes bancaires, Netflix/Amazon Prime/Disney+/…, les impôts, ou que sais-je encore, car ton environnement “n’est pas safe”, beaucoup prendrons la solution de facilité : installer Chrome, alimentant encore plus cette spirale infernale.
Le 26/07/2023 à 14h32
Netflix, Amazon, Disney, je m’en fous. Si ça arrive pour les impôts, les banques, les services européens, etc., alors je deviendrai militant, et acharné. En attendant j’ose croire que l’UE va empêcher cela.
Mozilla s’est déjà positionné contre cette technologie. À voir ce que ça va donner à la W3C.
Le 26/07/2023 à 16h08
Malheureusement, pour certains, l’accès à Netflix est plus important que l’accès aux impôts… Ça va dans le sens d’une adoption facilitée de cette API.
Le 26/07/2023 à 16h12
J’en suis conscient. Je n’empêche ceci dit personne d’utiliser Windows, mais le jour où on m’empêche d’utiliser autre chose, ça va chier
Le 26/07/2023 à 16h33
Dans le cas d’un site de l’administration, je me demande si ça serait légal d’imposer le client Google.
Un peu comme la communication officielle faite sur les médias sociaux qui ont une maîtrise absolue et opaque de ce que les utilisateurs ont le droit de voir ou non. L’Etat français doit reprendre cette maîtrise en ayant sa propre instance auto-gérée et au besoin publier sous forme de miroir sur ces plateformes privées. Au même titre que l’UE qui a sa propre instance Mastodon.
Le 26/07/2023 à 20h26
Ca sera le cas avec la nouvelle identité numerique : sans compte Google ou Apple point de salut Il nous faudra accepter les CGU de l’un d’eux…
Le 26/07/2023 à 21h10
Jusqu’ici, le service n’est pas obligatoire et la CNIL a statué qu’il doit rester complémentaire à toutes les autres démarches.
Mais tu fais bien de le signaler, car on ne sait pas de quoi le contexte légal de demain sera fait, ni quelle sera la prochaine lubie de Google pour verrouiller encore plus le Web.
Je viens donc de poser la question à France Identité par mail, pour savoir s’ils ont l’intention de publier l’APK de l’application.
Le 26/07/2023 à 18h10
C’est justement ça qui m’inquiète, la tendance sur Internet est vers plus de contrôle et de flicage, d’un côté les États qui ne supporte pas ne pas pouvoir contrôler l’ensemble de la population et qui tentent maintenant tous les ans de faire passer des lois les plus liberticides: identification sur les sites pornos, les réseaux sociaux, HADOPI, ARJEL, blocage de Sci-Hub.
Et d’un autre côté les GAFAM qui sont complices de tout cela et qui eux apportent l’aspect technique à cette mise en place du flicage et du contrôle dans le but d’être sûr de garder leur monopole.
J’ai bien peur que dans 10 ans il ne soit plus possible ou alors très difficile d’utiliser un PC monté soit même avec un OS libre et de consulter des sites Internet sans devoir prouver son identité.
Je préférais largement Internet dans les années 90, c’était lent, pas sécurisé et pas fiable mais où moins on était libres.
Le 26/07/2023 à 18h33
+1000
Le 26/07/2023 à 14h35
C’est typiquement l’approche zéro trust en vogue actuellement. Zero confiance dans l’utilisateur.
Le 26/07/2023 à 15h01
Et du coup l’inverse se fait de plus en plus répandu, Zero confiance dans les grandes plateforme.
Le 26/07/2023 à 16h42
Toi oui. Mais les autres ?
La grande majorité des gens veut juste un truc qui marche. Rien à faire de savoir si c’est Firefox, Opera, Chromium, Safari ou Chrome. Comme ces sites ont une part d’audience magistrale, le choix d’un seul de ces sites d’utiliser la techno pourrait faire basculer nombre de gens. Alors plusieurs…
Quand on voit le virage “solutionisme technologique” que l’on prend à des fins sécuritaires, est-ce que l’UE va vraiment l’empêcher ? Aujourd’hui, à part l’usage de l’IA (et notamment l’usage de la biométrie), il n’y a pas vraiment grand chose d’interdit
Le seul axe que je vois vraiment, c’est plutôt au sujet de Google et de sa position dominante, mais absolument pas l’interdiction de cette technologie à proprement parler.
Mozilla n’est pas le seul. Et heureusement. Le souci, c’est que le W3C rempli beaucoup moins son rôle aujourd’hui :
Bred, pour moi, “ça sent pas bon”.
Le 26/07/2023 à 16h51
Un client Google, clairement non. Un client compatible, je pense que oui.
Que la communication officielle soit faite sur les médias sociaux ne me dérange pas. Que la communication officielle ne soit faite que sur les médias sociaux est déjà beaucoup plus problématiques.
Certaines municipalités l’ont fait pendant la COVID, et je m’étais justement posé la question de la légalité de la chose. Par exemple, le site de ma municipalité affichait une information “périmée” qui n’avait pas été mise à jour ailleurs que sur les réseaux sociaux (Facebook pour ne pas le citer). Pour être précis, il s’agissait des lieux publics (notamment la liste des rues) soumis au port du masque obligatoire.
Le 26/07/2023 à 17h00
Il ne faut pas se tromper de combat. Effectivement celui du grand public est perdu d’avance. Il n’y a qu’à voir comment le monde accepte de payer des abonnements pour tout et n’importe quoi, jusqu’à débloquer la puissance du moteur de leur voiture. Ça fait bien longtemps que les gens ne sont plus propriétaires de ce qu’ils utilisent. Rien qu’ici, combien de lecteurs de PCI maîtrisent la pile logicielle installée sur leur terminal web ? Pas beaucoup je pense.
Ce qui est important, c’est pas tant de limiter l’abus des grandes entreprises et des gouvernements, que de laisser un cadre légal à la possibilité de s’en passer totalement, et sans se voir limiter l’accès aux ressources. l’UE a quand même pondu le RGPD, c’est pas si mal.
Ça rejoint cette vieille idée de FDN qui consiste à dire que ce qui est important, c’est de se garder la possibilité d’entrer en résistance si jamais un jour il y a besoin.
Justement, il n’y a rien d’interdit. C’est ça qui est important. Si Netflix décide de limiter leur accès aux appareils pré-approuvés, grand bien leur fasse. Que l’UE ou les gouvernements européens suivent, pour l’instant je n’y crois pas une seconde. Alors que ça devienne une obligation de fait, ou encore pire légale, je serais vraiment surpris.
Comme d’hab, c’est l’industrie du divertissement et de la pub qui met le foutoir. Tant qu’ils gagneront des milliards avec le temps de cerveau disponible, ça ne sentira pas bon. Pour l’instant l’UE tient bon.
Je trouve que la concentration des médias de masse dans les mains de quelques milliardaires sent bien moins bon que la fermeture de Disney et Netflix.
Le 26/07/2023 à 17h09
Quand j’entendais client Google, je parlais de Chrome (vu que c’est ce qu’il est, et comme HTTP appartient désormais à Google…). Si demain je n’ai plus le droit d’accéder au site des impôts avec Vivaldi sur Manjaro, pour moi c’est inadmissible.
C’était bien le fond de mon propos mais ta précision est la bienvenue, merci. On nous bassine avec la “souveraineté” mais derrière rien n’est fait et les collectivités font en fonction de leurs moyens et compétences et ça engendre les aberrations que tu cites. Perso je n’utilise pas ces médias sociaux, et je refuse catégoriquement de les utiliser. Je n’ouvre pas de lien Twitter ou Facebook, je ne consens pas à être traité plus que je ne le suis déjà malgré moi par leurs systèmes.
Sur ce point, l’Etat français aurait un quick-win à jouer pour montrer l’engagement de son action en matière de souveraineté numérique. Hébergée sur un prestataire français, ou à minima européen, évidemment. Parce si c’est pour foutre ça chez AWS ou Azure, autant ne rien faire.
Le 26/07/2023 à 17h51
Il y a quelques années, le site des impôts imposaient une procédure complexe de signature de certificat avec une applet java (je pense qu’ils ont rétropédalés vu la non-utilisation par le public visé).
C’est à mon sens un des soucis du tout-numérique : Le fait de se voir imposer des solutions techniques médiocre par les prestataires X Y ou Z.
Parfois c’est une obligation pro ou administrative dont on ne peux pas se passer.
Le 26/07/2023 à 18h16
Maintenant que tu en parles effectivement je m’en souviens. C’était incroyablement chiant et restreint. Justement le genre d’aberration qui creuse plus la fracture numérique qu’autre chose.
J’avais eu aussi le coup récemment pour une mise à jour de KBIS. La procédure en ligne exigeait une espèce de certificat qui ne pouvait être généré que sur un poste Windows. J’ai donc du opter pour la procédure courrier à l’ancienne.
Le 26/07/2023 à 18h31
J’avais justement en tête cette solution technologique. Et pour le coup, il fallait un navigateur compatible. De mémoire, cela ne fonctionnait pas sous IE (en tout cas, pas toutes les versions)
Le 26/07/2023 à 18h18
+1 Je ne demande à ce que la majorité des gens utilisent les solutions que j’utilise, je demande juste qu’on me laisse la liberté d’utiliser mon PC sous Linux (sans GAFAM et authentification près d’un tiers), d’héberger chez moi un serveur Web, Mail. Bref je veux garder la possibilité de posséder et de contrôler ce que j’utilise.
Le 26/07/2023 à 18h39
TERRORISTE !!!!!
Bref, j’abonde à 100% si ce n’est plus.
Le 26/07/2023 à 18h29
Justement, quand on voit ce qui est fait aujourd’hui, ça me fait peur. Exemple tout bête : les cookies wall. Interdit par principe par le RGPD (pour cause d’invalidité du consentement faute qu’il soit “libre”), le Conseil d’Etat a malgré tout refusé une interdiction générale de cette pratique, avec une appréciation au cas par cas.
Mouais. 1% (et encore) contre des entreprises de la taille d’un GAFAM. C’est un peu David contre Goliath.
Le danger pour moi n’est pas directement Netflix et consort. Mais plutôt les banques, qui pourraient être incitées, à la vue d’autres acteurs (comme justement Netflix) de franchir le cap.
Je ne peux qu’être d’accord.
Si on prend ce virage, je trouve que l’usage des réseaux sociaux, ces nids à fake news, bien plus dangereux encore que la concentration des médias…. Mais là, on devient quand même bien hors sujet par rapport à l’article ;)
Le 26/07/2023 à 20h10
D’après ton lien, le Conseil d’État a refusé cette interdiction car définie par la CNIL, et la CNIL n’a pas le pouvoir de légiférer. C’est une pure décision de droit, la CNIL n’a rien le droit d’interdire de nouveau, juste de faire la police sur les interdictions qui existent déjà. Ce n’était donc pas interdit par le RGPD.
Le 26/07/2023 à 20h29
Effectivement, la CNIL n’a pas juridiquement le droit d’interdire des pratiques directement (ce qu’elle a voulu faire via les lignes directrices), mais peut pour autant sanctionner chaque usage d’un cookie wall lors d’un contrôle, sous prétexte que le recueil du consentement n’est alors pas valide, pour la simple et bonne raison qu’il ne peut pas l’être dans ce cas précis.
C’est cette généralisation qui a été retoqué par le conseil d’état, qui s’est bien gardé de se prononcer sur le fond (la validité ou non des cookies wall).
Pour résumer :
Du coup, l’interdiction ne peut se faire qu’au cas par cas, c’est-à-dire en cas de contrôle ou de plainte. Avec des délais qui sont parfois très longs (plusieurs années de procédure).
Le 26/07/2023 à 20h50
D’un côté si c’est vraiment le cas c’est inadmissible, mais d’un autre côté je cite la FAQ :
Tu as donc le choix de refuser les CGU de Google ou d’Apple.
J’espère quand même qu’au lancement du service (pour l’instant c’est en beta), l’obligation de passer par le Play Store sera levée.
Le 26/07/2023 à 21h22
Si, le service est obligatoire pour le compte formation. Sans compte “France identité” certifié par la poste (et donc uniquement en passant par Google PLay ou Apple Store. Je pense qu’il faut que nous alertions nos députés sur ce problème.
Le 27/07/2023 à 06h19
C’est pour s’inscrire à une formation qu’il est obligatoire. Et c’est effectivement abusif.
Le 27/07/2023 à 09h29
Dans “App lounge”, le “store” de e/os/, je trouve l’application “France Identité”. Je ne l’ai pas encore essayée. Donc à ce stade, je dirais qu’elle est disponible ailleurs que sur Google Play Store.
Le 27/07/2023 à 09h33
Techniquement, non, c’est le Play Store, et je ne serais pas surpris que App Lounge ne respecte pas les CGU de Google. Pareil pour Aurora Store. Ce ne sont que des interfaces au Play Store qui tentent d’en contourner les limitations. C’est une solution pour l’installer, sauf que l’APK est quand même distribué (et éventuellement modifié) par Google.
Le 27/07/2023 à 09h52
Dans la chaine de dépendances, oui, “App Lounge” dépend de “Play Store”. Si l’on se place du point de vue du gouvernement, ce n’est pas un problème, car si Google Play venait à ne plus fonctionner, il lui suffirait de se greffer à un autre store “populaire” (ou plusieurs). Donc rien de bloquant à ce niveau. Si on se place du côté de l’utilisateur, “App Lounge” est vraiment un store à part, car il y a un mode anonyme qui sépare l’utilisateur de Google, et toute le code lié à Google Play a été redéveloppé avec MicroG. Donc les statistiques d’utilisation ne sont pas transmises à Google ou le moins possible. C’est surtout du point de vue des informaticiens que le problème se pose, car il faut tout de même respecter le standard logiciel “Google” vu que MicroG propose la même API que PlayStore pour permettre une compatibilité avec les applications compatible “Play Store”. En résumé, pour moi, on est pas trop mal sous “App Lounge” en tant qu’utilisateur, même si ce n’est pas encore l’idéal.
Le 27/07/2023 à 09h58
Concernant les applications qui seraient modifiées par Google, il me semble que chaque application doit être signée par la clé privée de l’éditeur avant d’être téléversée sur le serveur de Google Play Store (sinon, le téléversement est refusé). Cette clé n’est bien sûr pas connue de Google. Donc si Micro G se contente de vérifier la signature de l’application avec la clé publique de l’éditeur, il n’y a pas de modification possible par Google sans que cela ne se sache. Maintenant, je ne connais pas le code de MicroG pour en dire plus, mais ça serait à mon avis facile de vérifier la signature de l’application.
Le 26/07/2023 à 22h19
Mozilla : C’est scandaleux ! Ne craignez rien chers usagers, on refusera cela vivement !
Google : /touss/ 85 % ¹ /touss/ et puis on a été très coulant sur Manifest 3 mais il est temps de cesser les gamineries là…
Mozilla : C’est scandaleux mais on va l’adopter quand même et on vous explique pourquoi !
Ce n’est pas toujours de l’acceptation. Par exemple Outlook.fr s’est vu baisser le stockage des emails à pièces jointes à 5 Go au total, espace partagé avec Onedrive. Or quand il s’agit d’e-mails, si tu n’as plus de place tu ne reçois ni n’envoies plus rien et tu n’en es même pas informé. Solution la plus simple et surtout la plus rapide car bien sûr ça tombe toujours au mauvais moment : paier les 2 € mensuels pour augmenter le stockage.
¹ Part des revenus de Mozilla qui provient de Google
Le 27/07/2023 à 10h40
C’est juste que je trouve ça idéologiquement à chier que l’État français passe exclusivement par Google et Apple pour distribuer ses applications officielles. Ça ne m’empêche pas d’avoir Aurora Store sur mon téléphone (sans MicroG), et de l’utiliser quand je n’ai pas le choix.
Mais tout espoir n’est pas perdu, on l’a vu par exemple avec l’application StopCOVID/TousAntiCOVID, qui n’utilisait pas les API développées par Google et Apple, et dont les sources sont disponibles.
Le 27/07/2023 à 11h43
Je comprend et je suis tout à fait d’accord. Ils pourrait au moins décider de figurer dans différents store, y compris dans F-Droid. Mais dans tous les cas, ils se rendraient dépendant de la politique des uns et des autres. La seule solution indépendante (et encore, l’état ne va pas redévelopper Android) serait de créer un store gouvernemental open source. Mais il faudrait être encore plus prudent sur le plan technique du point de des usagers pour laisser les gouvernements accéder au mode administrateur du téléphone. Du point de vue de l’usager final, pas sûr que l’on y gagne, et que toutes les conditions de transparence soient réunies. L’état pourrait aussi décider de fournir un APK de leur application à télécharger librement sans passer par le store, mais ils ne pourraient pas l’encourager au près de la population peu avertie sur les questions informatiques. En effet, du point de vue de la sécurité informatique, ce serait donner le message à tout le monde que tout le monde peut télécharger son application n’importe où, ce qui serait pire que tout du point de vue de la sécurité et de tout le reste.
Le 27/07/2023 à 14h10
Ils n’ont qu’à faire un store gouvernemental! Qui ne nous obligerai pas à accépter les CGU de Google, par exemple celle ci :
4.3 Dans le cadre de cette constante innovation, vous reconnaissez et acceptez que Google puisse cesser, sans préavis et à son entière discrétion, à titre définitif ou provisoire, de vous fournir tout ou partie des Services ou de ses fonctions, à vous-même ou aux utilisateurs.
Le 27/07/2023 à 13h14
En plus l’appli de la poste (idnum) fait partie de celles qui refusent explicitement les téléphones rootés. Donc aussi les ROMS alternative type Linéage mais aussi GSI - Pour des téléphones un peu anciens ou de marque chinoise c’est pourtant le seul moyen de garder un téléphone à jour sans (trop) de failles de sécurité.
Le problème a déjà été signalé plusieurs fois sur le store et en direct, sans réactions évidemment.
(J’avoue que j’aime pas l’idée de considérer que rooter un téléphone c’est du “piratage”… sauf si c’est pas le sien…)
Le 27/07/2023 à 14h13
Je ne crois pas que ce soit nécessaire. Il ne me semble pas avoir jamais activé le moindre mode administrateur pour utiliser F-Droid.
Je n’aime pas trop ce dernier argument. Je ne suis pas prêt à échanger ma liberté contre cette pseudo-sécurité. Pas besoin d’en faire la pub, évidemment que 99% de la population va continuer à installer l’application via le Play Store. Mais il est pour moi vraiment important d’avoir la possibilité de s’en passer totalement. C’est presque indispensable. Je ne veux pas que refuser les CGU de Google fasse de moi un sous-citoyen de la France.
Le 27/07/2023 à 14h33
Non pas besoin, faut juste activer l’option d’install des applications depuis les sources réputées “non vérifiées” et passer les 70 messages anxiogènes pour te dissuader de ne pas sortir du douillet écosystème Google qui-nous-veut-du-bien-promis-smack-smack.
Mais pour le coup j’aime bien l’idée de guimoploup en #78, les applications officielles de l’Etat devraient être disponibles sur un store maintenu par ce dernier à là F-Droid.
Le problème reste Apple qui ne supporte pas de repository alternatif il me semble.
Le 27/07/2023 à 15h07
C’est pour bientôt. L’Europe a imposé à Apple l’usage de store alternatif si j’ai bien suivi. Et il me semble que c’est pour 2023.
Le 27/07/2023 à 15h15
Ah oui ça me dit quelque chose, doit y avoir une sacré quantité de poussière de dents à force d’avoir grincé.
Le 27/07/2023 à 15h29
Concernant F-Droid, je me suis juste souvenu avoir donné l’autorisation à Android d’installer l’app F-Droid, sans passer par le store. J’avoue ne pas avoir réfléchi plus que ça à ce que ça implique. Vous avez sans doute raison. Donc finalement, et après réflexion, peut être qu’un store gouvernemental serait le bienvenu.
Ma position n’est pas contradictoire avec la vôtre, vu que je dis la même chose que vous, à savoir, il aurait été mieux d’avoir d’application sous forme d’APK. Ce que j’ai ajouté est juste complémentaire, pas contradictoire.
Concernant l’authentification pour obtenir des droits à la formations, oui, c’est abusé qu’ils demandent un compte Google pour pouvoir y accéder. Je viens d’aller vérifier. Je suis sûr que demain puisse être encore pire. Techniquement, ils étaient pas obligés de demander un compte Google. Et concernant le fait que Google peut nous virer comme il veut quand il veut, toutes les banques peuvent faire la même chose (avec des limites légales pénibles à activer), et ça me parait plus critique encore. Je ne dis pas que c’est bien non plus.
Idée initiée en #76 ;)
Le 27/07/2023 à 15h39
Pour aller plus loin sur l’idée du store gouvernementale, ils pourraient créer un fond inter-gouvernemental pour partager les frais de développement d’un store open source multi-plateforme que tout le monde pourrait réutiliser avec son drapeau. Après, faut voir les antagonismes particuliers que cela pourrait générer.
Le 28/07/2023 à 05h40
Tous les outils Internet d’avant le Web 2.0 existent encore et ne demandent qu’à servir; le mail, les listes de diffusion et les newsgroup, les agrégateurs de flux RSS, les BBS, etc… ils rendaient les mêmes services que ceux avec quoi les GAFAM se gavent de données.
Le “facilitarisme” à gagné là où un certain effort de compréhension et d’apprentissage était nécessaire (à l’époque, car maintenant, l’ergonomie des outils à bien évoluée).
A force de discours marketing bien rodés (genre “ceci est une révolution”), ils ont flatté et justifié la flemme, et décomplexé l’ignorance, au point que toute tentative d’échapper au panurgisme ambiant est ressenti comme une régression insupportable.
C’est un peu comme renoncer à aller acheter les produits “pratiques, tout-faits et pas chers” de l’agro-industrie pour réapprendre à élever des poules et à cultiver ses légumes; c’est courageux et bénéfique (pour la santé), mais c’est vraiment pas facile !