Journal Comment réduire les attaques à notre vie privée sur le web

Posté par (page perso) . Licence CC by-sa
24
17
mar.
2014

La vie privée est quelque chose de plus en plus attaqué de nos jours. Et il existe de nombreuses manières pour les sites web de savoir qui vous êtes. Quelques unes :

  • les cookies
  • le cache de votre navigateur via l'en tête ETag
  • des informations qui vous identifie de manière assez spécifique (type mimes préférés, langue, user-agent, …)
  • des appels javascript qui peuvent également vous identifier (plugins actifs, OS, distribution, plateforme, …)
  • les plugins comme flash
  • localStorage

Si vous avez d'autres éléments a ajouter a la liste, ça serait intéressant de répondre en commentaire.

Je me rappelle d'un temps où il était possible de désactiver les cookies, et les sites continuaient à fonctionner. Ou d'avoir le navigateur demander a chaque fois qu'il y avait un cookie, si on voulait l'accepter ou non. C'était le bon temps. Depuis, il est impossible d'utiliser le web sans cookies ni javascript. Les manières de contrôles les brèches à notre vie privée sont devenues inefficaces et ont été supprimées. D'autres brèches ont été ajoutées (localStorage, …?) sans moyen de contrôler leur étendue.

Il existe bon nombre d'extensions qui permettent de colmater ces trous :

  • Whiteliste : Pour bloquer les utilisations non légitimes. Entre autre NoScript ou RequestPolicy. J'ai longtemps utilisé ce genre d'extensions, mais c'est très contraignant, et inutilisable pour quelqu'un de non averti techniquement. Les sites web ne marchent pas, et on doit deviner sur quels domaines autoriser les cookies et les scripts pour que ça marche. Parfois on en a pas envie, car on est obligé d'autoriser un domaine trop générique. On finit par avoir une whiteliste énorme, qui ne représente pas réellement la confiance qu'on donne aux sites qu'on visite.

  • Blackliste : de type AdBlock, Ghostery ou encore Disconnect (pour Firefox) que j'utilise. Moins contraignant que les extensions énoncées ci-dessus, mais qui protègent moins. Elles se basent sur des listes noires a interdire. Ça marche, mais ce n'est pas universel. Et il est possible de passer à travers les mailles du filet. Bien, j'attends mieux.

  • Sandbox : c'est la troisième solution, qui je pense est la meilleure, mais qui n'est pas beaucoup implémentée. Principalement car elle est sans doute plus invasive au niveau des navigateurs. Il ne suffit pas de bloquer ou autoriser des requêtes, mais il faut rediriger les requêtes, les transformer, pour qu'elles deviennent inoffensives. Il me semble que la navigation privée en est un exemple.

C'est ce système de sandbox que je trouve le plus intéressant. Comment ça peut marcher pour des cookies ? Il suffit d'avoir pour chaque tab une cookie jar séparée. Par exemple, selon le tab dans lequel vous êtes, le cookie user_id de facebook.com aura une valeur différente. Le tab est fermé et le cookie disparaît. On retrouve d'ailleurs cette idée d'autodestruction dans l'extension Self-Destructing Cookies, mais je ne pense pas qu'il y ait aussi la séparation entre deux tabs ouvets.

Connaissez-vous des projets qui vont dans ce sens ?

J'imagine pour ma part une solution à base de proxy filtrant qui pourrait se baser sur des données fournies par le navigateur, comme un identifiant de session attribué par onglet. Ainsi le proxy pourrait publier un cookie lors d'une requête en fonction de l'onglet pour lequel la requête a été faite. Le seul bémol se situe sur la partie exécutée au niveau du navigateur. Les cookies attribués par JavaScript, le localStorage, … Peut être que le proxy peut modifier la notion de domaine origine sur lequel le navigateur fonde sa stratégie de sandboxing, en attribuant un domaine origine différent pour chaque onglet au moment de la réponse HTTP.

  • # Coquille dans le titre

    Posté par (page perso) . Évalué à 1.

    « attasues » --> « attaques ».

    Sinon, je n'ai malheureusement pas de réponse à la question posée par je journal.

    • [^] # Coquille dans le commentaire

      Posté par (page perso) . Évalué à 2.

      « je journal » → « le journal ».

      Sinon, je n’ai malheureusement pas de solution à la problématique soulevée par le commentaire.

      ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: Coquille dans le commentaire

        Posté par . Évalué à -2.

        « le journal » → « ce journal »

        Sinon, je n’ai malheureusement pas de solution à la problématique soulevée par le commentaire.

    • [^] # Re: Coquille dans le titre

      Posté par (page perso) . Évalué à 5.

      Corrigé, merci.

    • [^] # Re: Coquille dans le titre

      Posté par . Évalué à 8.

      C'est marrant que tu soulèves une coquille, car elle peut indiquer le k-map de l'utilisateur, etc. La façon d'écrire permet aussi de quelle région du monde on est originaire.

      • [^] # Re: Coquille dans le titre

        Posté par (page perso) . Évalué à 2.

        C'est vrai, je présente mes excuses à l'auteur du journal (surtout sur un sujet de protection de la vie privée).

        La prochaine fois je ne ferai que signaler la présence de l'erreur, qui elle aussi permet de déduire l'agencement du clavier.

        • [^] # Re: Coquille dans le titre

          Posté par . Évalué à 5.

          Non, ne t'excuses pas, mon propos n'était pas de te blâmer mais de souligner qu'une faute de frappe est une information non négligeable. En fait, j'ai lu un papier qui explique qu'il est possible à partir de plusieurs texte connue d'une personne de créer une "signature" pour cette personne. Ensuite, pour d'autres textes, cela donne une probabilité que le texte a été écrit ou non par cette personne.

          Dans mon cas, avec le nombres de fautes que je fais, la probabilité doit être élevée !

          • [^] # Re: Coquille dans le titre

            Posté par . Évalué à 6.

            Oui cela se base sur une synthèse du vocabulaire et de la construction des phrases; si pour le vocabulaire le dico des synonymes de l'université de Caen est une ressource fort sympathique, la construction des phrases, elle est généralement plus difficile à modifier.

            Cependant en faisant attention, il est possible de se créer quelques identités littéraire distinctes.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

            • [^] # Re: Coquille dans le titre

              Posté par . Évalué à 2.

              Cependant en faisant attention, il est possible de se créer quelques identités littéraire distinctes.

              Dans une de mes identités littéraires, je parle en schtroumpf.
              Dans l'autre, je ne raconte que des mensonges.

            • [^] # Re: Coquille dans le titre

              Posté par . Évalué à 2.

              C'est effectivement possible de se faire passer pour 2 personnes différentes en modifiant son style d'écriture, mais l'exercice n'est pas simple, en tout cas pas pour moi. Il est tellement simple de faire une erreur qui révèle que les 2 personnes sont les mêmes: du genre dire quelque chose que seul l'autre ( des deux ) est censé savoir ( je me suis amusé à ce petit jeu sur un mmo rpg, en me faisant passer pour un débutant complet avec un de mes personnages créé pour l'occasion, alors que je connais plutôt bien le jeu en question ).

              Après, si on se crée une sorte de dictionnaire d'expressions et de tics de langage non commun pour toutes ses identités, on peut berner facilement un lecteur pas trop attentif.

              • [^] # Re: Coquille dans le titre

                Posté par (page perso) . Évalué à 5.

                ( je me suis amusé à ce petit jeu sur un mmo rpg, en me faisant passer pour un débutant complet avec un de mes personnages créé pour l'occasion, alors que je connais plutôt bien le jeu en question ).

                Tu vas donner du grain à moudre aux gens qui disent que les MMORPG rendent schizophrène :)

                • [^] # Re: Coquille dans le titre

                  Posté par . Évalué à 1.

                  Boarf, c'est pas pire que la version papier-crayon… en tout cas, c'est le résultat du sondage avec mes potes crâniens: on est 15 à approuver, contre seulement 3 à ne pas être d'accord, plutôt pas mal comme score.

  • # cookies temporaires

    Posté par (page perso) . Évalué à 7.

    Pour ma part les cookies sont supprimés lorsque le navigateur est fermé.
    Certes ça n'empêche pas de "tracer" durant une session mais ce n'est pas persistant donc les données sont tout de même moindres.
    Et lorsque j'en ressent le besoin, j'ouvre une session en mode anonyme (voir un nouveau profil dans certains cas) qui est donc vierge et non relié aux autres onglets.

    De plus en plus j'utilise les profils. Par exemple le profil "boulot" (assez ouvert mais peu de données persos), le profil "perso" (cookies uniquement le temps de la session), on peut imaginer un profil "sensible" avec whitelist, etc.
    C'est pas parfait mais ça améliore déjà pas mal et de manière très simple à gérer.

    • [^] # Re: cookies temporaires

      Posté par . Évalué à 1.

      Ca ne te poses pas trop de problemes lors de ta navigation quotidienne que tous les cookies soient supprimes des lors que ton browser est ferme ?
      En tout cas tu m'as donne envie de tester les profils.

      • [^] # Re: cookies temporaires

        Posté par (page perso) . Évalué à 5.

        Pour les rares sites pour lesquels je souhaite conserver les cookies (par exemple linuxfr), il suffit de les ajouter dans la liste blanche. J'ai 7 sites en tout comme ça.
        Tout cela est d'origine dans Firefox.

      • [^] # Re: cookies temporaires

        Posté par (page perso) . Évalué à 4.

        Quels problèmes ça pourrait poser ?
        Ce qui se passe c'est que lorsque je l'ouvre il n'y a pas de cookies (je n'utilise pas vraiment la liste blanche pour en conserver) donc il faut que je me reconnecte mais à part ça je vois pas trop le problème.
        L'avantage c'est que durant la session tous les sites fonctionnent normalement, eux ne voient pas la différence c'est comme si j'étais quelqu'un de nouveau.

    • [^] # Re: cookies temporaires

      Posté par . Évalué à 6.

      Et lorsque j'en ressent le besoin, j'ouvre une session en mode anonyme […] qui est donc vierge

      T'es sûr que l'ouverture d'une fenêtre en por^W mode anonyme n'empêche pas juste de poser de nouvelles données (historique, cookies) au lieu de bloquer l'accès aux données existantes ?

      • [^] # Re: cookies temporaires

        Posté par (page perso) . Évalué à 4.

        Le mode anonyme ne donne pas accès aux cookies déjà présents.
        Par contre bien entendu on a accès à l'historique puisque c'est une information qui n'est pas transmise.

        Les greffons ne semblent pas en mesure d'enregistrer des données dans ce mode. Pour certains j'aimerai pouvoir contourner ça.
        Par exemple AdBlock « oublie » les modifications. Pareil pour FlashBlock, et le gestionnaire de sessions.

      • [^] # Re: cookies temporaires

        Posté par (page perso) . Évalué à 2.

        Non ça bloque vraiment l'accès aux autres données. C'est comme si tu pensais que deux profiles se partagent les mêmes données.
        D'ailleurs ça se voit super facilement puisque tu te retrouve loggué sur aucun site, aucune autocomplétion, etc.

  • # Privoxy ?

    Posté par . Évalué à 1.

    Il doit y avoir moyen d'utiliser Privoxy avec un ensemble de regles plus ou moins complexes pour faire quelque-chose de tres satisfaisant.

    Mais bon, meme sans etre tres complique, ca ne fait clairement pas partie des trucs a la portee de tous.

  • # Problème de modèle économique

    Posté par . Évalué à 10.

    Je vais me faire lyncher, mais je pense que la problématique des attaques de la vie privée sur internet est tout simplement impossible à résoudre dans le contexte du modèle économique majoritaire sur internet.

    Certes quelques personnes à la marge vont vous expliquer que grâce à des heures passées à traquer tout les moyens qu'ont les sites de les suivre, après l'installation de 10ènes d'extensions qui rendent leur navigation laborieuse, ils peuvent se vanter de ne pas laisser de traces exploitables par les sites. Mais c'est seulement à la portée d'une petite élite et cela n'est pas ce que l'on pourrait appeler une victoire.

    Il faut remonter à la source : pourquoi les sites se sentent obligés de collecter ces données ? (à grand frais, car le développement de ces outils, et surtout l'exploitation des données a un coût certain).

    Selon moi, la principale raison est qu'il faut bien que les sites internets gagnent de l'argent. Que cela passe par la publicité (qui, pour être efficace, doit être ciblée), ou par des suggestions d'article à vendre plus pertinente, les sites ont besoin d'information sur vous.

    Aujourd'hui la seule extension installée sur mes ordinateurs est Adblock plus. Ma whitelist s’agrandit de jour en jour car je souhaite récompenser les sites que j'apprécie.

    Au final, et je suis peut-être naïf, je pense que le suivi d'information n'est pas si néfaste que cela. Cela permet de rémunérer les créateurs de contenu dont je profite sans compter tout les jours. Lorsqu'elles sont bien dosées et pertinentes, les publicités ne sont pas si contraignantes que cela (je suis beaucoup plus ennuyé par les publicités à la TV, souvent à coté de la plaque et qui durent longtemps).

    Au final le seul risque réel est l'utilisation que pourraient faire un état totalitaire (ou autre organisation malveillante) de ces informations si elles venaient à arriver entre leurs mains. Il est vrai que c'est un problème qu'il faut combattre de toute nos forces, mais je ne sais pas vraiment si cet état totalitaire ne pourrait pas obtenir la même information de toute façon, avec ou sans ce genre de traque généralisée sur internet. A partir du moment où un état veut obtenir illégalement des informations sur un citoyen, l'outil importe peu, ce qu'il faut combattre est ce genre de pratique.

    Tant qu'un modèle économique stable et non basé sur la publicité ciblée n'apparaîtra pas, les technologies de traque auront toujours une longueur d'avance sur la majorité des citoyens.

    • [^] # Re: Problème de modèle économique

      Posté par (page perso) . Évalué à 4.

      En fait la question de la vie privée est complexe, nous nous doutions et depuis les révélation d'Edward Snowden, nous sommes certain que nos petits secrets ne peuvent échapper à mettons la NSA.

      C'est ennuyeux et potentiellement grave mais les protocoles utilisés, les logiciels les mettant en œuvre ne sont pas à la portée de tout le monde et en plus la majorité s'en fiche de se faire ficher.

      Cependant, comme pour les assassinats, le plus souvent l'auteur d'une violation de vie privée connait sa victime: conjoint, employeur etc….

      Sur ce plan des mesures simples peuvent être mises en œuvre (mots de passe non triviaux par exemple).

    • [^] # Re: Problème de modèle économique

      Posté par (page perso) . Évalué à 10.

      j'ai pas tout compris, enfin si j'ai bien compris mais je ne comprends pas.

      Il m'avait semblé comprendre dans mon monde de bisounours que l'avènement du web c'est le one to one et la possibilité à tout le monde de produire du contenu. En clair pouvoir sortir du vieux modèle tsf : 1 fournisseur de contenu et des millions d'auditeurs.

      Donc la "rémunération" du contenu ne se pose pas plus que dans la vraie vie et pas besoin d'être plus spécifique. Bien entendu la profusion de fournisseur fait qu'il faut être plus "compétent" pour vendre (du contenu), disons que pour prendre 5 euros à un visiteur, il faut que le contenu fournis soit plus appétant que ce que l'on peut trouver de gratuit, par exemple wikipedia, ou des blogs de "sachants".

      Le modèle économique est simple : il faut que les gens aient de l'argent, qu'ils veulent le dépenser et que ce que l'on propose leur donne envie de le dépenser. On peut tourner en rond pendant des heures, c'est aussi simple que cela. Alors on peut par sérendipité justifier l'atteinte à la vie privée (en général ce n'est d'ailleurs pas par des fournisseurs de contenu, mais des gens essayant de vendre du contenu qu'ils agrègent d'autres).

      Mais nous sommes déjà passé à la génération suivante et les gens se moquent de leur vie privé. Parler de rémunération du travail pour justifier le "viol" de la vie privée cela me laisse un peu froid. C'est juste une justification, rien de plus. Demain personne ne s'offusquera que les fai et fournisseurs de téléphonie donnent en temps réel le positionnement des piétons pour "compléter" l'expérience utilisateur et doubler un 4x3 avec un sms ou un message vocal. On pourra toujours expliquer que c'est pour rentabiliser le travail (et l'emploi en france que diantre).

      Que cela limite le potentiel de recherche de l'individu que cela uniformise la société en les cornaquant vers des grands groupes c'est un point de détail. En sachant également que les concentrations horizontales et/ou verticales c'est tout sauf bon pour l'emploi et le consommateur.

      Ce n'est, à mon avis pas un problème de "modèle économique", c'est juste un changement de paradigme : la PI comme relais de croissance, mais c'est un peu immatériel et donc difficile à "vendre". Vendre des idées c'est cool (y'a une bonne marge) mais faut que les gens veuillent bien les acheter.

      • [^] # Re: Problème de modèle économique

        Posté par . Évalué à 6.

        Ce que je dis est un fait. Nombreux sont les acteurs sur internet, les vrais créateurs de contenu, qui vivent grâce à la publicité (par exemple, parmi tant d'autre, Day[9], très connu pour ses "Daily" sur le jeu Starcraft II, ou VSauce, un podcast scientifique). Sans cette publicité je ne doute pas qu'ils auraient du travail ailleurs, ce sont pour la plupart des gens compétents et intelligents. Par contre leur travail ne me serait pas accessible de façon gratuite.

        Internet permet à un parfait inconnu qui a du talent de se faire connaître de façon mondiale. Mais sans la présence de la publicité il serait très difficile pour ce parfait inconnu de transformer l'essai et de se retrouver à vivre de son talent.

        Ce "viol" de la vie privée dont tu parles, j'en suis parfaitement conscient, n'est pas une chose souhaitable. Mais pour moi ce n'est pas une chose souhaitable pour les dérives qui pourraient être fait à partir d'une telle base de donnée généralisée sur les individus.

        Pour l'utilisation actuelle, a savoir me cataloguer et me cibler en temps que consommateur, j'en ai personnellement pas grand chose à faire, après tout c'est le métier des publicitaires et ils n'ont pas attendu internet pour cataloguer et cibler les personnes en se basant sur les infos qu'ils ont des gens.

        Lorsque ces bases de données sont utilisés par les recruteurs pour faire de la discrimination à l'embauche, ou par les politiques pour faire de la répression, ou tout autre chose illégale. A ce moment là on peut parler de viol réel d'une liberté fondamentale et c'est à ce moment là qu'il faut réagir et empêcher ce genre de pratiques.

        Selon moi il vaudrait mieux chercher et combattre les utilisations illégales plutôt que de crier au loup dès qu'un site met un cookie sur votre ordinateur. A force de crier au "viol" à chaque fois, il va arriver que la plupart des gens ne feront plus la différence. Au même titre que bittorrent est associé à l'illégalité dans la tête de la plupart des gens.

        Après tout le profilage des individus, de leurs besoins et de leurs envies permet aussi de faire des produits qui seront mieux adapté à nos envies et à nos besoins. Ce profilage n'a pas que des mauvais cotés.

        • [^] # Re: Problème de modèle économique

          Posté par (page perso) . Évalué à 10.

          Selon moi il vaudrait mieux chercher et combattre les utilisations illégales plutôt que de crier au loup dès qu'un site met un cookie sur votre ordinateur. A force de crier au "viol" à chaque fois, il va arriver que la plupart des gens ne feront plus la différence. Au même titre que bittorrent est associé à l'illégalité dans la tête de la plupart des gens.

          Sauf que, une BDD obtenue à des fins "licites" peut tomber dans les mains pour un usage illicite et sans avoir la possibilité de l'éviter. Le patriot act des USA permet à la NSA de collecter des données licites à des fins douteuses.

          Des exemples moins complotistes existent. Napoléon a fait un recensement ethnique de la population française. 150 ans plus tard environ, Vichy et l'Allemagne utilisèrent ces données avec une autre finalité d'exploitation.

          C'est tout le problème de ces données, une fois collectée il est difficile de les supprimer totalement et d'éviter un mauvais usage de celles-ci.

          • [^] # Re: Problème de modèle économique

            Posté par . Évalué à 3.

            Napoléon a fait un recensement ethnique de la population française. 150 ans plus tard environ, Vichy et l'Allemagne utilisèrent ces données avec une autre finalité d'exploitation.

            Tu as une/des sources ?
            Je n'en avais jamais entendu parlé et le sujet m'intéresse.

            • [^] # Re: Problème de modèle économique

              Posté par (page perso) . Évalué à 4.

              Je n'arrive plus à retrouver la source, c'était dans un livre portant sur la 2e GM.
              Après je ne me souviens pas des détails, mais de ce que j'ai pu retrouver c'est que globalement le premier recensement français date de 1801, mis en place par Napoléon, et qu'à l'époque (jusqu'à une certaine date mais laquelle ?) où l'origine ethnique était mentionnée.

              Du coup c'est peut être le recensement en général qui est utilisé et que le lien avec Napoléon est uniquement le fait qu'il l'ait instauré (et éventuellement Vichy a utilisé les papiers de l'époque pour retrouver des descendances).

              Un recensement est à priori anodin et montre qu'entre de mauvaise main tout fichier peut être très mal exploité. Tu noteras qu'aujourd'hui l'État ne questionne plus la religion ou l'ethnie de ses habitants, que c'est illégal et je pense que la 2e GM n'y est pas étranger.

    • [^] # Re: Problème de modèle économique

      Posté par (page perso) . Évalué à 3.

      Il n'y a pas que cela : bloquer js par exemple avec noscript c'est aussi pour éviter des exploitations de failles sur des sites louches ou compromis et le risque d'attraper un rootkit ou le vol de données.

      Noscript n'est d'ailleurs pas si contraignant (sauf pour le commun des mortels) que ce qui est décrit dans le journal car une barre vient s'afficher sous un site qui utilise js et permet d'autoriser le site et de continuer à bloquer les tiers (typiquement facebook adsense etc)

      « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

    • [^] # Re: Problème de modèle économique

      Posté par . Évalué à 4.

      Tant qu'un modèle économique stable et non basé sur la publicité ciblée n'apparaîtra pas, les technologies de traque auront toujours une longueur d'avance sur la majorité des citoyens.

      Effectivement, je pense que ton constat est très vrai, même si je suis absolument contre trouver « acceptable » ou « pas si néfaste » de se faire cibler pour compenser financièrement le producteur de contenu.

      La diminution du ciblage (car pour la suppression totale, on peut rêver) n'arrivera que quand on aura trouvé un moyen de rémunérer correctement les producteurs de contenu sur le Net. Ça passe aussi bien par un modèle économique viable qu'une méthode de paiement adaptée à des faibles montants, anonymes et virtuels. Et ça n'est pas une mince affaire.

      Cette constatation ça me fait un peu penser à tous ces gens qui critiquent le journalisme aujourd'hui : tous les journaux sont « pourris », l'information est complètement orientée, etc. Mais qui paye encore son information quotidienne aujourd'hui ? Bah forcément, quand on ne la finance plus, il ne nous parvient que de la merde.

      Bref, oui, l'argent est le nerf de la guerre.

      • [^] # Re: Problème de modèle économique

        Posté par (page perso) . Évalué à 8.

        La diminution du ciblage (car pour la suppression totale, on peut rêver) n'arrivera que quand on aura trouvé un moyen de rémunérer correctement les producteurs de contenu sur le Net. Ça passe aussi bien par un modèle économique viable qu'une méthode de paiement adaptée à des faibles montants, anonymes et virtuels. Et ça n'est pas une mince affaire.

        Pour moi c'est surtout que les gens veulent tout avoir : le beurre et l'argent du beurre. Le producteur de contenu anonyme veut passer du temps à écrire son contenu mais uniquement s'il a de quoi le rémunérer. Ce n'est pourtant ni une obligation (des tas de gens ont des passent temps et y perdent de l'argent et pourtant ils produisent des écrits, de la musique et autres le tout avec une qualité loin d'être ridicule).
        Si le producteur de contenu est persuadé que ses productions sont assez bien pour être rémunérés, il peut faire payer la consultation. La publicité n'est pas obligatoire et ne l'a jamais été. Ni le fait d'être rémunéré par ailleurs.
        Ça ressemble à un faux chantage dit comme ça, et personnellement je n'y suis pas favorable. La publicité a un coût mais invisible, car tu paies avec quelque chose de non papable qui est ta vie privée. Et ce coût peut être dans certains cas assez terrible.

        Cette constatation ça me fait un peu penser à tous ces gens qui critiquent le journalisme aujourd'hui : tous les journaux sont « pourris », l'information est complètement orientée, etc. Mais qui paye encore son information quotidienne aujourd'hui ? Bah forcément, quand on ne la finance plus, il ne nous parvient que de la merde.

        Pourtant l'information est payée aujourd'hui encore. Publicité, ventes de numéros, abonnements, subventions étatiques, etc.
        Le problème est que la publicité entraîne une non neutralité du contenu : est-ce qu'un journaliste va faire un article peu élogieuse contre son principal sponsor même s'il le mérite ? Peu probable sinon il risque son poste, son salaire, …
        Tu noteras que les journaux français sans publicités ont une meilleur image de qualité que les autres : Mediapart et le Canard Enchaîné et sont sans doute plus proche du véritable journalisme que les autres (bah oui, le journalisme d'investigation véritable est assez absent dans la concurrence où les dépêches AFP sont la base de leur travail).

        Pour moi il y a un problème oui, et le problème vient directement du choix de rémunération et la publicité n'est pas garante de qualité…

        • [^] # Re: Problème de modèle économique

          Posté par . Évalué à 3.

          C'est marrant comme tu as l'air de prendre le contrepoint de ce que je dis alors qu'en gros je suis d'accord avec toi…

          Pour moi c'est surtout que les gens veulent tout avoir : le beurre et l'argent du beurre.

          Ça c'est clair que c'est un problème : il faut toujours avoir une sorte d'incitation à payer, sinon s'il y a moyen de l'avoir gratuit, la majorité va le prendre comme ça.

          Si le producteur de contenu est persuadé que ses productions sont assez bien pour être rémunérés, il peut faire payer la consultation. La publicité n'est pas obligatoire et ne l'a jamais été. Ni le fait d'être rémunéré par ailleurs.

          Je suis tout à fait pour ça. Sauf qu'aujourd'hui, faire payer pour un article de blog par exemple, c'est une telle gageure pour un prix si faible que ça ne vaut pas le coup, c-à-d que personne n'est prêt à le faire. Plusieurs systèmes s'y sont essayés (Flattr entre autres) mais n'ont pas une popularité fulgurante… C'est un gros manque pour ce que modèle du paiement à « l'achat », qui est en gros le modèle classique que tout le monde connaît et utilise tous les jours : il nous faut un moyen de paiement pour ça.

          Ça ressemble à un faux chantage dit comme ça, et personnellement je n'y suis pas favorable. La publicité a un coût mais invisible, car tu paies avec quelque chose de non papable qui est ta vie privée. Et ce coût peut être dans certains cas assez terrible.

          Complètement d'accord qu'on paye ce que nous sortes tous les sites « gratuits », indirectement. Et c'est très dangereux. En gros, il faudrait juste une meilleure manière (plus directe) de rémunérer ceux qui sont financés par la publicité.

          Pourtant l'information est payée aujourd'hui encore. Publicité, ventes de numéros, abonnements, subventions étatiques, etc.

          Oui, enfin je parlais surtout du fait qu'aujourd'hui, beaucoup de monde consomme du « gratuit ».

          Le problème est que la publicité entraîne une non neutralité du contenu : est-ce qu'un journaliste va faire un article peu élogieuse contre son principal sponsor même s'il le mérite ? Peu probable sinon il risque son poste, son salaire, …
          Tu noteras que les journaux français sans publicités ont une meilleur image de qualité que les autres : Mediapart et le Canard Enchaîné et sont sans doute plus proche du véritable journalisme que les autres (bah oui, le journalisme d'investigation véritable est assez absent dans la concurrence où les dépêches AFP sont la base de leur travail).

          Tout à fait.

          Pour moi il y a un problème oui, et le problème vient directement du choix de rémunération et la publicité n'est pas garante de qualité…

          Oui, mais d'un autre côté, quelle est l'alternative ? Je suis d'accord que pour un journal papier, je ne vois pas d'autres modèles que le paiement à l'exemplaire et je ne comprends pas qu'on accepte si facilement les « gratuits » (ou plutôt « prépayés ») papier. Par contre, sur Internet, où on a beaucoup moins le concept de journal « complet », où les choses se font plus à l'article, le paiement à l'unité est vraiment très difficile à mettre en place, du fait aussi de l'absence de proximité physique. Et du coup, la publicité est la réponse facile au financement. C'est à ce cercle vicieux qu'il faut trouver une issue.

  • # avant c'était mieux... oupa

    Posté par . Évalué à 5.

    C'était le bon temps. Depuis, il est impossible d'utiliser le web sans cookies ni javascript.

    Mouai.
    Ou pas*.

    Déjà, on peut n'accepter que les cookies du site sur lequel on est, avec un navigateur correct.
    Ensuite, on peut les supprimer automatiquement à la fermeture dudit navigateur ( sur certains "sites" genre hotmail, plus rien ne marche par contre… ) .
    Ça, c'est les bases.

    Après, les interdire complètement, ça passe aussi pour la plupart des sites web, tant qu'on ne désire pas être loggué. Si on interdit les cookies, ça peut encore marcher, mais moins bien. Généralement, ça marche tant qu'on ne joue pas trop avec les onglets. Au moins la dernière fois que j'ai testé sur développez.com, c'était le cas.

    Et pour javascript… navré de le dire, mais j'ai constaté, pour pratiquer la navigation sans JS quotidiennement ( avec acceptation pour le confort de certains sites en lesquels j'ai confiance, genre linuxfr ) que la plupart des sites n'offrant aucun contenu lié à flash fonctionnent.
    L'interface est, bien entendu, vachement moins chiadée… mais ça reste utilisable.

    Enfin, si tu veux vraiment ne pas te faire repérer, sache qu'il existe des distributions linux centrées sur la discrétion et la vie privée

    Conclusion: il faut savoir ce qu'on veut. C'est un peu comme ne pas installer les paquets recommandés sous Debian: le système est plus léger, plus réactif, plus sûr ( moins il y a de code, moins il y a de bugs potentiels… ou pas ) mais possède moins de fonctionnalités.
    Comme je l'ai dit à une personne ce midi qui disait que certains se font avoir en croyant n'importe quel document sur le web, on appelle internet "l'autoroute de l'information". Bah les autoroutes, c'est dangereux, donc y être imprudent amène souvent des problèmes. Bien sûr, avant, il y avait moins de monde sur les routes, et c'était moins dangereux donc. En plus, les voitures allaient moins vite…
    Ah, on me signale que je suis hors sujet, alors je reformule: à l'époque du 56K, il y avais moins de monde sur le net, et on téléchargeait moins vite, alors les sites qui vous sniffaient étaient plus longs à rendre service, ce qui faisait qu'il était plus "naturellement simple" d'éviter l'accident.

    *: quelques exemples de sites qui marchent très bien sans JS ( mais avec moins de confort ):

    • linuxfr.org
    • wikipedia.org
    • debian.org
    • duckduckgo.com
    • cpp.com
    • wikia.com
    • sncf.com ( non, la, je déconne )
    • [^] # Re: avant c'était mieux... oupa

      Posté par (page perso) . Évalué à 0.

      Comme je l'ai dit à une personne ce midi qui disait que certains se font avoir en croyant n'importe quel document sur le web, on appelle internet "l'autoroute de l'information". Bah les autoroutes, c'est dangereux, donc y être imprudent amène souvent des problèmes. Bien sûr, avant, il y avait moins de monde sur les routes, et c'était moins dangereux donc.

      Non, ça c'est faux, l'autoroute est largement plus sûre que la route, en remplaçant les intersection par des ponts.

      • [^] # Re: avant c'était mieux... oupa

        Posté par . Évalué à 3.

        l'autoroute est largement plus sûre que la route, en remplaçant les intersection par des ponts.

        à pied ou en scooter ? :-)

      • [^] # Re: avant c'était mieux... oupa

        Posté par (page perso) . Évalué à 2.

        Non, ça c'est faux, l'autoroute est largement plus sûre que la route, en remplaçant les intersection par des ponts.

        Tout dépend de comment on compte…

        Il y a moins d'accidents dans l'absolu sur autoroute que sur route secondaire, même moins de morts probablement, mais la gravité des accidents y est souvent plus élevée.

        Sans compter que tout ceci est à mettre en regard du trafic global (est-ce que le rapport de trafic est égal ou supérieur au rapport du nombre d'accidents ?). C'est compliqué de se faire une idée rigoureuse sur ce sujet, et les chiffres que l'on nous fait manger par perfusion de presse n'arrangent pas l'affaire.

        Bref, je ne prendrai pas parti là dessus.

      • [^] # Re: avant c'était mieux... oupa

        Posté par . Évalué à 2.

        Tu préfèrerais fais ton footing matinal sur route, ou sur autoroute? :p

  • # modules firefox

    Posté par . Évalué à 2.

    Concrêtement, si des « mékéskidits » tombent sur cet articles, perso je recommande deux modules firefox :

    – https-everywhere : ça permet de prendre par défaut la version HTTPS de nombreux sites, dans une liste faite par l'IETF.

    Avantages : l'espionnage massif des tuyaux sera plus difficile, c'est totalement compatible avec les différents modèles économiques présent sur internet. la NSA aura du mal à écouter mes conversations, mais google pourra me profiler à l'envie. D'ailleurs aujourd'hui, on devrait tout le web en HTTPS, mais bon c'est un autre débat.

    – cookiemonster : c'est juste une meilleure interface pour la gestion des cookies. Il devient plus facile d'interdire les cookies par défaut, et d'autoriser au cas par cas.

    Ces deux modules améliorent l'existant, sont simples à utiliser et peu contraignant, mais ne résolvent pas complètement la situation, il faut en être bien conscient.

    • [^] # Re: modules firefox

      Posté par (page perso) . Évalué à 3.

      Pour que https-everywhere soit vraiment intéressant, il faut aussi ajouter Certificate Patrol

    • [^] # Re: modules firefox

      Posté par . Évalué à 0.

      – https-everywhere : ça permet de prendre par défaut la version HTTPS de nombreux sites, dans une liste faite par l'IETF.

      Avantages : l'espionnage massif des tuyaux sera plus difficile, c'est totalement compatible avec les différents modèles économiques présent sur internet. la NSA aura du mal à écouter mes conversations, mais google pourra me profiler à l'envie. D'ailleurs aujourd'hui, on devrait tout le web en HTTPS, mais bon c'est un autre débat.

      Il suffit à la NSA d'écouter les dialogues entre les serveurs de google (j'ai entendu dire qu'ils n'étaient pas chiffrés, à vérifier). HTTPS chiffre uniquement la communication entre ton fureteur et le serveur.

  • # un lien

    Posté par (page perso) . Évalué à 0. Dernière modification le 17/03/14 à 20:35.

    J'avais écris un articlesur mon blog il y a quelque temps en indiquant quelques outils pour se protéger sur le web.

    Il y a un autre gros problème lié à l'espionnage… vous utilisez quel moteur de recherche

    Il avait aussi le plus grand respect de l'humour parce que c'était une des meilleures armes que l'homme eût jamais forgées pour lutter contre lui-même.

  • # Obfuscation ?

    Posté par . Évalué à 6.

    1- Il y a d'abord la configuration du navigateur lui même. J'utilise Firefox.
    Ça se passe ici: Edit/Preférences etc… et ici (géolocatisation en particulier)

    2- En plus de tous les plugins (testés sur FireFox)

    qu'il est pénible, il faut bien le dire, d'installer/gérer chaque fois qu'on installe un compte.

    3- Il y a quelques petites "astuces" possibles avec Squid configuré (ou non) en proxy transparent. Par exemple:

    header_access X-Forwarded-For deny all
    header_replace X-Forwarded-For 88.191.250.176
    

    Bien sûr cela ne masque PAS l'ip du proxy, mais permet de tromper les sites web qui enregistrent la machine qui se trouve DERRIÈRE le proxy (192.168.1.* sur le réseau local). Cette technique peut être utile SI le site n'enregistre pas l'ip du proxy.

    Mais bon, ça reste quand même limité.

    4- En puis il y a aussi les proxies filtrants comme Privoxy. Un tuto ici.

    5- Et bien sûr TOR et ses possibilités. Un Tuto qui chaîne Tor, squid et privoxy ici.

    6- Depuis quelque temps j'utilise également Fireglove, decouvert grâce à Korben. Sortez couvert.

    7- Ben entendu ainsi équipé, la navigation est souvent peut devenir problématique et il sera souvent parfois (site d'e-commerce, banque en ligne,…) nécessaire de désactiver tout ou partie de ces "features". D'où la nécessité de créer des profils différents et de lancer Firefox avec l'option -ProfileManager voire -no-remotepour ouvrir un nouveau firefox (en choisir un autre profil) à partir d'un lien cliqué.

    Cette configuration est donc lourde:

    • à mettre en œuvre
    • demande des compétences (ou du moins des droits) d'admin (squid, SquidGuard, privoxy, netfilter…)
    • à utiliser (changement de profil, modifications à la volée des plugins (adblock, ghostery,…))
    • gêne la navigation

    Cependant

    • c'est didactique (donc amusant)
    • une fois les plugins biens "réglés", la navigation devient visuellement beaucoup plus propre, plus lisible et donc plus agréable puisqu'il est possible de faire disparaître plein de cochonneries choses: "j'aime", "tweeter", publicités, redirections, etc…).
    • pour ce qui est de la propreté "invisible" (tracking), c'est plus difficile à évaluer. L'objectif étant de sortir du Filter Bubbling. Je pense que couplé avec une moteur de recherche comme DuckDuckGo c'est envisageable. Mais il faudrait faire des test systématiques, ce que je n'ai plus fait depuis un moment.
    • commentaires, compléments, astuces, bienvenus.

    Bon, je retourne lire mes Flux RSS que je trouve bien plus sobres et souvent suffisants ;-)

    • [^] # Re: Obfuscation ?

      Posté par . Évalué à 3.

      Vu que c'est ( citation ) "pénible, il faut bien le dire, d'installer/gérer chaque fois qu'on installe un compte" de faire tout ça, as-tu déjà essayé de créer un paquet qui automatise le tout?
      Je me demande si ça serait compliqué, mais ce qui est certain, c'est qu'un tel paquet ( voire un méta paquet qui dépendrait des plug-ins? ) serait très utile. En plus, un paquet, c'est comme le bon vin, ça se bonifie avec le temps, et tu aurais la possibilité d'avoir des retour de bien plus que les utilisateurs de linuxfr ;)

    • [^] # Re: Obfuscation ?

      Posté par (page perso) . Évalué à 4.

      En plus de tous les plugins (testés sur FireFox)

      • L'obligatoire AdBlock Edge
      • Better Privacy
      • FoxyProxy pour choisir TOR, PRIVOXY, ou un autre proxy,…
      • L'incontournable Ghostery
      • évidemment HTTPS Everywhere
      • pour le fun Lightbeam
      • Redirect Remover
      • Remove google Tracking
      • l'indispensable Request policy
      • Self destructing Cookies
      • Smart Referer
      • Et les NoScripts et Cie.
      • bref…

      Intéressante, cette liste, je note toutefois que l'utilisation conjointe de RequestPolicy et NoScript est très pénible. Si un site web ne marche pas sans JavaScript, on doit en effet :

      1. autoriser JavaScript pour tel ou tel origine de script (en rechargeant la page à chaque fois) ;
      2. autoriser les requêtes croisées pour ce site avec cette origine tierce (en rechargeant la page à chaque fois).

      Personnellement, j'ai laissé tomber RequestPolicy à cause de ça, qui s'ajoutait à une gestion des cookies par site, semblable à ce qui se fait avec NoScript pour JavaScript.

      En revanche, je retiens l'extension Self-Destructing Cookies, qui est la mise en œuvre d'une excellente idée.

    • [^] # Re: Obfuscation ?

      Posté par . Évalué à 3.

      À noter que l'on peut remplacer Ghostery par des listes adblock qui font la même chose.

  • # Qu'est-ce que la vie privée?

    Posté par . Évalué à 0.

    Je pense que dans cette grande discussion sur la confidentialité des informations qu'on laisse sur le web, on utilise le problème de la vie privée comme un épouvantail, mais de manière souvent excessive.

    En l'occurrence, la très grande majorité des sites que l'on visite n'ont aucune information privée à strictement parler. Un login et un password ne sont pas des infos privées; le suivi de la navigation dans le site, les pages demandées, les champs des formulaires remplis, etc., ne sont pas en tant que telles des infos privées. La seule donnée qui pourrait s'apparenter à quelque chose d'un tant soit peu confidentiel est l'adresse IP, et manque de bol, elle est nécessaire à l'établissement de la connexion.

    Pour moi, visiter un site, c'est un peu comme visiter une boutique. On est techniquement chez quelqu'un d'autre, qui a tout a fait le droit de regarder ce qu'on y fait. On peut y laisser trainer des infos privées si on ne fait pas attention, mais finalement, pas plus que chez le boulanger si on discute avec quelqu'un qu'on connait. Bref, à moins de le faire exprès, on ne fournit que des données publiques personnelles. Ce n'est pas parce qu'une info est personnelle (adresse ou date de naissance par exemple) qu'elle est nécessairement secrète.

    Évidemment, le gros problème, c'est que certains acteurs du web (facebook et Google, par exemple) sont devenus tellement incontournables qu'ils arrivent à collecter des données privées. Facebook parce que ses utilisateurs lui donnent (mais bon, aussi, hein, donc, bon, voila), et Google parce qu'il contrôle toutes les communications avec les smartphones, qui eux, peuvent transmettre à notre insu énormément de données réellement privées (position GPS, journal d'appel, carnet d'adresse, etc). Personnellement, je trouve que les problèmes posés par les données privées des ordinateurs classiques n'ont absolument rien à voir avec ceux, bien réels, posés par les téléphones, qui sont de véritables petits espions qu'on traine partout, tout le temps allumés, avec nous.

    • [^] # Re: Qu'est-ce que la vie privée?

      Posté par (page perso) . Évalué à 10. Dernière modification le 18/03/14 à 15:22.

      Tu négliges un truc énorme. Certains acteurs peuvent voir ce que tu fais sur pratiquement tous les sites web.
      Un nombre important d'entre eux ont Google Analytics, Google+, Facebook ou Twitter comme informations sur leur page. Donc ces 3 acteurs peuvent, même sans t'y inscrire sur leur service, savoir ce que tu fais, lis, tape, cherche, etc. sur à peu près tout le web. Ils ont une capacité de recoupement de taré. Et pour peu que tu sois inscrit sur un des services cité plus haut, ils peuvent associer le tag pédophile, syndicaliste, juif, nazi de gauche à ton nom. C'est beau le progrès hein ? ;)

      Si les sites n'avaient que les informations qu'ils collectent sur leur propre sites, en soit le problème de la vie privée serait assez limité. Le soucis est que certains acteurs sont suffisamment partout pour te suivre partout. Même si tu n'utilises pas leur service habituellement !

      D'ailleurs tu noteras que les extensions présentées ici luttent souvent pour la collecte de données externes (c'est à dire empêcher que Google s'incruste dans ma visite d'un site quelconque), pas que le site quelconque que je visite collecte des données.

      • [^] # Re: Qu'est-ce que la vie privée?

        Posté par . Évalué à 1.

        Donc ces 3 acteurs peuvent, même sans t'y inscrire sur leur service, savoir ce que tu fais, lis, tape, cherche, etc. sur à peu près tout le web

        Ça me semble douteux pour Facebook et Twitter. Au pire du pire, la seule info qu'ils ont est la requête de téléchargement de leur logo associée à l'adresse IP et aux infos transmises par le navigateur. C'est pas grand chose quand même, et en particulier, je ne vois pas comment ils peuvent connaitre mon nom si je ne suis pas inscrit chez eux.

        Pour Google, je suis d'accord que c'est nettement plus compliqué. Par contre, dans quelle mesure l'idée que Google Analytics traque les utilisateurs est vraie? Officiellement, c'est totalement démenti par Google. Par exemple, Google affirme que les cookies de Google Analytics sont site-spécifique, qu'ils sont randomisés, et que les données sont donc impossibles à croiser entre les sites visités.

        Bref, je suis OK avec l'idée que quelques acteurs du web, Google en particulier, aurait les moyens techniques de traquer les individus. Ça nécessiterait quand même de violer beaucoup de lois dans beaucoup de pays, et de mentir effrontément dans leurs conditions générales. Plus douteux, ça nécessiterait également des capacités de collecte, de stockage, et d'analyse des informations disproportionnées. Est-ce que Google a techniquement les moyens d'analyser des méga-octets de données par jour et par individu? Ça ferait des péta-octets de données à traiter par jour (disons, 1 Mo / personne et 1 milliard d'internautes? quelque chose comme 3% du traffic internet total rien que pour les données personnelles à rapatrier chez Google). Il faut ensuite traiter ça, croiser, stocker. Ça me semble totalement impossible. Soit Google ne traque "correctement" qu'une sous-partie de ses clients, soit (ce qui me semble bien plus réaliste), Google surestime très très largement ses capacités de traitement. Je penche sérieusement pour la deuxième solution, Google essaye de faire croire aux annonceurs qu'il traite finement ses données, alors qu'en fait il ne les exploite pas de cette manière. Ça ne veut pas dire que ça n'est pas inquiétant, mais je pense que les discours du type "Google sait que tu trompes ta femme" sont globalement paranoïqaues—par contre, un type ayant à disposition les données de Google et plusieurs jours de travail devant lui pourrait le savoir, ce qui est assez différent.

        • [^] # Re: Qu'est-ce que la vie privée?

          Posté par (page perso) . Évalué à 7.

          Au pire du pire, la seule info qu'ils ont est la requête de téléchargement de leur logo associée à l'adresse IP et aux infos transmises par le navigateur. C'est pas grand chose quand même, et en particulier, je ne vois pas comment ils peuvent connaitre mon nom si je ne suis pas inscrit chez eux.

          Ils n'auront pas ton nom. Mais ils seront que l'adresse IP X.Y.W.Z est allé voir des articles sur Le Figaro portant exclusivement sur des mouvements syndicalistes, qu'il est allé régulièrement sur un forum de syndicalistes, qu'il va en même temps voir des vidéos pornographiques sur Youporn portant souvent les tags homosexuels, etc.
          Bref, ils n'auront pas forcément ton nom, mais ils pourront en gros tout savoir des visites du Web d'une adresse IP. Cette information étant potentiellement revendue à des FAI, gouvernements et autres qui eux pourront recouper avec ton nom.

          Bref, là tu as une vision un peu naïve je pense. Si ces entreprises ne basaient pas leur business model sur le profilage d'utilisateur je partagerais sans doute ton point de vue.

          Par exemple, Google affirme que les cookies de Google Analytics sont site-spécifique, qu'ils sont randomisés, et que les données sont donc impossibles à croiser entre les sites visités.

          Faut-il les croire quand derrière le PDG dit que la vie privée est un concept inexistant et que sa recommandation est "si vous n'avez rien à vous le reprochez, ne le chercher pas sur le Web ?".
          Le but de Google est de rassurer ses utilisateurs mais on ignore exactement les mécanismes mises en place et on a aucun moyen de le vérifier. D'autant qu'ils répondent à des demandes de gouvernements sur lesquels nous n'avons aucun contrôle.

          Ça nécessiterait quand même de violer beaucoup de lois dans beaucoup de pays

          Je ne sais pas si tu as vu, mais Google se fait poursuivre en justice dans de nombreux États pour violation de vie privée, conservation de données, etc. Bref, cela tend à montrer que Google ne respecte pas la loi à ce sujet et qu'ils continuent sans doute encore à le faire.

          et de mentir effrontément dans leurs conditions générales.

          Pas forcément, les option pour ne pas être tracer dans Google, ou en tout cas pas trop, existent conformément aux conditions générales. Mais c'est planqué dans des recoins bien perdus et tu dois souvent le faire plusieurs fois suivant les services utilisés.

          Ça ferait des péta-octets de données à traiter par jour (disons, 1 Mo / personne et 1 milliard d'internautes? quelque chose comme 3% du traffic internet total rien que pour les données personnelles à rapatrier chez Google). Il faut ensuite traiter ça, croiser, stocker.

          Avec beaucoup moins de budgets et de personnels, la NSA arrive à analyser près de 1% du trafic mondial. En tout cas des méta-données. D'autant qu'ils ne peuvent le faire que pour les requêtes s'adressant à des serveurs américains. Google est bien plus étendu que ça a et a les ressources pour le faire. Il n'y a pas de raisons qu'ils ne puissent pas.

          • [^] # Re: Qu'est-ce que la vie privée?

            Posté par . Évalué à 0.

            Mais ils seront que l'adresse IP X.Y.W.Z est allé voir des articles sur Le Figaro portant exclusivement sur des mouvements syndicalistes, qu'il est allé régulièrement sur un forum de syndicalistes, qu'il va en même temps voir des vidéos pornographiques sur Youporn portant souvent les tags homosexuels, etc.

            Certes, mais en quoi est-ce différent d'une banque, qui sait quand et où tu as dépensé de l'argent, qui est ton employeur, où tu pars en vacances, et qui sait avant ta femme quel cadeau tu lui as acheté? De ton assurance, qui sait tout de ta baraque, du nombre de km que tu fais avec ta voiture, de tes dépenses de santé, et de ton dossier médical si elle assure aussi ton crédit immobilier?

            Ce que je veux dire, c'est que le monde est plein d'entreprises privées qui possèdent beaucoup, beaucoup de données sur toi. Rien que ton FAI connait plus de trucs sur toi que Google. Si le gouvernement s'intéresse à toi, il demande à ta banque, à la sécu, et à ton FAI, et il a toutes les données qu'il souhaite, et bien plus encore. La seule différence, c'est que tu n'est pas un vrai client de Google. Mais sur le fond, ça fait des décennies que des entreprises ont des données sur ta vie privée, et qu'il faut juste espérer qu'elles respectent la loi, qu'elles stockent bien ces données de manière à ce qu'un tiers ne puisse pas y accéder, etc.

            Mais c'est planqué dans des recoins bien perdus et tu dois souvent le faire plusieurs fois suivant les services utilisés.

            Je parlais des conditions d'utilisation de Google analytics, qui sont assez claires : il est dit que les cookies sont anonymes, qu'il est impossible de traquer les utilisateurs entre les sites, etc. Encore une fois, je ne nie pas que Google aurait la possibilité de recueillir toutes ces données s'il le voulait, et s'il ciblait particulièrement certains internautes. Mais ça ne pourrait se faire qu'au prix de mensonges énormes et de violation des lois sans commune mesure avec ce qu'il leur est reproché par les CNIL européennes, par exemple.

            Avec beaucoup moins de budgets et de personnels, la NSA arrive à analyser près de 1% du trafic mondial. En tout cas des méta-données.

            Je pense que c'est ça l'astuce : aucune entreprise ou organisation ne pourrait traiter autant de données, mais la NSA a des pouvoirs spéciaux : elle peut croiser les données traitées individuellement par les FAI, par Google, par les opérateurs télécom, etc. Ce n'est pas les données brutes qu'elle récupère, mais des données déja analysées—et ça, ça me parait tout à fait possible. Si tu sniffes internet au hasard, tu vas te taper des flux de streaming, des bouts de fichiers excel attachés à des emails dont tu n'as pas la fin… Le vrai défi, c'est l'analyse des données. Le fait de disposer de pétabytes de données brutes non contextualisées me semble finalement peu inquiétant, sauf pour l'analyse a posteriori.

            • [^] # Re: Qu'est-ce que la vie privée?

              Posté par (page perso) . Évalué à 7.

              La seule différence, c'est que tu n'est pas un vrai client de Google. Mais sur le fond, ça fait des décennies que des entreprises ont des données sur ta vie privée, et qu'il faut juste espérer qu'elles respectent la loi, qu'elles stockent bien ces données de manière à ce qu'un tiers ne puisse pas y accéder, etc.

              Cette différence est selon moi non seulement vitale, mais tu en oublis une autre. Mon FAI et ma banque sont normalement liés au droit français, droit français qui est décidé notamment en partie par moi.
              Google dépend du droit américain sur lequel je n'ai aucune véritable influence car n'étant pas citoyen américain je n'ai aucun moyen de faire entendre ma voix là bas réellement (je ne peux pas me présenter dans leur processus législatif alors qu'en France je peux le faire). Et quand tu vois que l'État américain est un des États avec des dispositifs puissants pour collecter et analyser les données librement, oui c'est important.

              Je sais que l'État français n'a pas autant de pouvoir ce qui rend ce type d'actions non légitimes. Sans compter que théoriquement je peux influer l'État français sur la question.

              Et que mon FAI et ma banque aient des données, c'est normal, je suis client et j'utilise leur service. Si demain je ne suis pas content je vais voir ailleurs et ma vie privée sera associée à une autre entreprise (ou personne, si je vais dans un FAI associatif et que je me passe de la banque…). Alors que Google étant présent partout, même sans être client chez eux je suis pisté. la seule solution étant soit de filtrer les pages avec Google (d'où les extensions), soit éviter ces sites (ce qui est je pense une solution anormale). Disons que dans un cas je choisis de donner mes données, dans l'autre pas. Et personnellement je fais plus confiance à ma banque concernant mes données personnelles où légalement il ne peut pas en faire grand chose et qui gagne son argent autrement que Google qui a besoin de ces données et de les vendre pour vivre.

            • [^] # Re: Qu'est-ce que la vie privée?

              Posté par (page perso) . Évalué à 4.

              Je pense que c'est ça l'astuce : aucune entreprise ou organisation ne pourrait traiter autant de données, mais la NSA a des pouvoirs spéciaux : elle peut croiser les données traitées individuellement par les FAI, par Google, par les opérateurs télécom, etc. Ce n'est pas les données brutes qu'elle récupère, mais des données déja analysées—et ça, ça me parait tout à fait possible. Si tu sniffes internet au hasard, tu vas te taper des flux de streaming, des bouts de fichiers excel attachés à des emails dont tu n'as pas la fin… Le vrai défi, c'est l'analyse des données. Le fait de disposer de pétabytes de données brutes non contextualisées me semble finalement peu inquiétant, sauf pour l'analyse a posteriori.

              Ce qui intéresse Google, la NSA est autre ne sont pas les données brutes mais les métadonnées. C'est assez simple de virer "le bruit" pour garder l'essentiel.
              Par exemple on sait très bien que le volume des métadonnées par utilisateur varie peu au cours du temps contrairement aux données brutes qui explosent car le multimédia pèse de plus en plus lourd à cause de la qualité des données. Google ne s'intéresse pas aux bits de données concernant la vidéo HD de Ypoutube que tu regardes, mais à son titre, sa date de demande, sa fréquence de visite, etc. Et ça c'est rien en volume et à traiter par rapport aux images, sons et vidéos qui pèsent lourds mais n'intéressent personnes.

              Donc si ils peuvent largement collecter assez d'informations, en évitant d'analyser les données pour se concentrer sur les métadonnées. Et pour faire ça à l'échelle planétaire ils ont largement les moyens.

          • [^] # Re: Qu'est-ce que la vie privée?

            Posté par . Évalué à 2.

            Faut-il les croire quand derrière le PDG dit que la vie privée est un concept inexistant et que sa recommandation est "si vous n'avez rien à vous le reprochez, ne le chercher pas sur le Web ?".

            C'est quoi la source pour "le PDG dit que la vie privée est un concept inexistant"?

            Pour info la citation complete sur la deuxieme partie c'est:

            Q: People are treating Google like their most trusted friend. Should they be?

            A: I think judgement matters… If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place. But if you really need that kind of privacy, the reality is that search engines including Google do retain this information for some time, and it’s important, for example that we are all subject in the United States to the Patriot Act. It is possible that that information could be made available to the authorities.

  • # Et le referer ?

    Posté par . Évalué à 1.

    Je ne sais pas si cela apparaît à tout le monde comme une attaque sur la vie privée, mais le referer HTTP permet aussi d’obtenir des informations.
    En tous cas, personnellement, j’en envoie systématiquement un faux (via l’extension RefControl de Firefox).

  • # Faire passer le message

    Posté par . Évalué à -5.

    L'affaire Snowden et les spy files de wikileaks montrent que la plus grande menace sur notre vie privée n'est pas de recevoir des SPAMS ciblés, mais bel et bien nos gouvernements. Il faut inciter leurs agents à suivre l'exemple de Snowden avec des signatures du genre:

    À tout agent des services secrets qui lisez ce message, veuillez considérer que le meilleur moyen de lutter contre les ennemis intérieurs et extérieurs de votre nation est de suivre l'exemple de Snoden.

    Aux agents des services secrets qui lisez ce message, veuillez considérer que défendre votre nation contre ces ennemis interieurs et extérieurs implique de suivre l'exemple de Snowden.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.