Changeons ces logiciels open source qui nous espionnent

Posté par  (site Web personnel) . Édité par Benoît Sibaud, Ysabeau, Florent Zara et Pierre Jarillon. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
32
14
jan.
2021
Communauté

Bonne année chères amies et chers amis du libre,

Et si pour changer notre planète, nous essayions de changer le logiciel ? Je veux dire en créant des tickets et en soumettant des changements respectueux des utilisateurs aux projets libres, non ? (NdM: l’auteur de la dépêche évoque notamment les services de statistiques, de télémétrie, l’obligation d’accepter des conditions d’utilisation de services tiers, et le fait que les requêtes vers ces services tiers fournissent beaucoup d’information sur l’utilisateur, le tout sur trois projets libres dont deux proviennent de Google et un de Microsoft).

Bonne idée de résolution pour ce début de nouvelle année. ¯_(ツ)_/¯

Sommaire

Flutter SDK (BSD-3 clauses)

Avec des amis, nous nous sommes lancés dans le développement d’un serveur et de son application web. Après avoir hésité sur quelques cadriciels web, après avoir commencé à développer une ébauche Vue2/JavaScript, puis un PoC Vue3/TypeScrypt, nous avons fait le choix de la technologie Dart/Flutter (notamment pour nous éviter de déboguer la CSS).

Mais sur la page Get started (Débuter) de flutter.dev, nous pouvons lire :

The flutter tool uses Google Analytics to anonymously report feature usage statistics and basic crash reports. […]
To disable reporting, type flutter config --no-analytics. […]
If you opt out of analytics, an opt-out event is sent, and then no further information is sent by the Flutter tool.

Avec un peu d’exagération, nous pourrions traduire par :

L’outil Flutter utilise Google Analytics pour suivre anonymement l’utilisation des fonctionnalités et les plantages logiciels. […]
Pour désactiver l’envoi de ces rapports statistiques, tapez flutter config --no-analytics. […]
Si vous vous désactivez l’envoi de ces rapports statistiques, l’outil Flutter envoie quand même cette information de désactivation à Google.

Un ticket (issue) a donc été créé sur le projet Flutter et cela pourrait vous intéresser.

Pour vous éviter de vous connecter sur GitHub voici un copier-coller du ticket en anglais:


The get started page of flutter.dev says:

The flutter tool uses Google Analytics to anonymously report feature usage statistics and basic crash reports. […]
To disable reporting, type flutter config --no-analytics. […]
If you opt out of analytics, an opt-out event is sent, and then no further information is sent by the Flutter tool.

According to the GDPR and a recent German court decision, analytics are defined as non-necessary services and require explicit, voluntary consent before flutter can send any data. Providing a CLI flag or a first-run opt-out is illegal in the EU/EEC.

🙏 Please, make fluter never send an opt-out event when the user opts out of analytics.
🙏 Please disable analytics by default. You may fix that by adding a CLI flag:

flutter config --enable-analytics

🙏 Please, Alphabet employees, respect the law, don't be evil.

User's privacy matters, please respect them.
I wish you a happy, respectful New Year 2021.


Selon le RGPD, confirmée par une récente décision de justice allemande1, les rapports de statistiques, mêmes (soit-disant) anonymisés, sont définis comme des services non nécessaires et nécessitent un consentement explicite et volontaire avant l’envoie de ces données.

Par conséquent, une option obligatoire dans la ligne de commande pour la désactiver, ou même une option à devoir cocher lors du premier lancement est illégale dans l’Union européenne.   (╯°□°)╯︵ ┻━┻

Je risque donc d’apprendre à coder en Dart avec une première contribution à Flutter (Pull Request). Soit je change de techno, soit je change le logiciel : j’ai choisi la seconde solution. J’espère ne pas devoir maintenir une variante (fork) !   ┬──┬¯╲_(ツ)

De plus, je n’aime pas du tout la phrase suivante, également présente sur la page Get started du site flutter.dev :

By downloading the Flutter SDK, you agree to the Google Terms of Service.

En français :

En téléchargeant le SDK Flutter, vous acceptez les conditions d’utilisation de Google.

C’est triste. Le fait de publier Flutter en open source (sur GitHub), mais d’exiger des utilisateurs qu’elles/ils sacrifient leur vie privée et de se soumettre aux CGU du service Google lors du téléchargement, est exactement la raison pour laquelle les logiciels libres ont été inventés. Don't be evil qu’ils disaient !   ( ఠൠఠ )ノ

Là encore, faudrait créer un ticket…

Visual Studio Code (propriétaire) → VSCodium (MIT)

Si vous utilisez Visual Studio Code (Microsoft), sachez que la version officielle (l’exécutable) n’est pas libre. Le logiciel se base sur du code source libre (licence MIT), mais n’est pas libre. D’ailleurs le site web officiel code.visualstudio.com ne dit pas que c’est open source :

Free. Built on open source. Runs everywhere.

Traduction :

Gratuit. Construit sur de l’open source. S’exécute partout.

Et bien sûr, Visual Studio Code intègre de base son module de télémétrie.réf.

Heureusement, la communauté libriste maintient des variantes (forks) plus respectueuses des utilisateurs, notamment :

  1. VSCodium (celle que j’utilise) ;
  2. Code OSS via AppImage ou via Flatpak ;
  3. Theia IDE de la fondation Eclipse.

J’utilise avec bonheur VSCodium, mais je n’ai pas réussi à l’utiliser via Flatpak, notamment l’extension Go qui a besoin d’accéder à l’exécutable go, même avec l’aide de Flatseal et en passant les arguments --filesystem=/lib --filesystem=/lib64.

Une solution est d’installer go dans /home/$USER, mais j’ai préféré la simplicité : utiliser Snap et l’option --classic qui signifie que VSCodium n’est pas confiné et peut accéder à beaucoup trop de choses. Attention, peut-on faire confiance ?

Installation de VSCodium avec les deux gestionnaires mentionnés précédemment&nbsp:

  1. flatpak install com.vscodium.codium
  2. sudo snap install codium --classic

Google Chrome (propriétaire) → Chromium (principalement BSD) → ungoogled-chromium (principalement BSD)

C’est le même délire avec Google Chrome : ce n’est pas libre, bien que ce soit constitué d’une majorité de code open source. Et pire, que Visual Studio Code, partout le code fait appel aux services de Google en contournant les paramètres DNS du système. Même la version libre, Chromium, est engluée de services Google !

Là encore, notre belle communauté libriste maintient plusieurs variantes, dont ma préférée, ungoogled-chromium installable avec APT et Flatpak :

  1. sudo apt install ungoogled-chromium ungoogled-chromium-common ungoogled-chromium-driver ungoogled-chromium-keepassxc ungoogled-chromium-privacy-badger ungoogled-chromium-sandbox ungoogled-chromium-shell ungoogled-chromium-ublock-origin
  2. flatpak install com.github.Eloston.UngoogledChromium

Vos autres astuces ?

Et vous, quels sont les logiciels que vous devez utiliser et qui traquent votre activité ? Partageons nos astuces dans les commentaires.


  1. [NDM] sur des jurisprudences concernant le RGPD, les premières sanctions concernant un hôpital portugais, un réseau social allemand et Google en France (2018 et 2019), les données personnelles, Facebook et l’autorité de la concurrence allemande (mars et août 2019, Facebook l’a emporté en appel). Toujours en Allemagne, le scandale H&M ou comment le RGPD protège les salariés (novembre 2020). 

Aller plus loin

  • # Navigateur Brave

    Posté par  . Évalué à 4 (+4/-1).

    Je sais que Brave est aussi basé sur Chromium. Je ne connais ni Brave ni ungoogled-chromium et donc je me pose la question suivante : est-ce que Brave, fortement orienté vers la "vire privée", aurait-il aussi supprimé les dépendances vis-a-vis des services Google ?

    • [^] # Re: Navigateur Brave

      Posté par  . Évalué à 9 (+9/-0).

      Ça semble être un mythe que Brave respecte la vie privée. Celui-ci enregistre un identifiant unique pour t'afficher les pubs proposé par la régie publicitaire de Brave.

      C'est un navigateur qui bloque la pub des autres pour afficher la sienne.

    • [^] # Re: Navigateur Brave

      Posté par  . Évalué à 3 (+1/-0).

      Personnellement, Brave me donne d'être autant orienté vie privée que Adblock Plus.

      Sinon, le fait qu'un navigateur web utilise Blink (le moteur de rendu) n'expose pas spécialement la vie privée de l'utilisateur.

      Emacs le fait depuis 30 ans.

    • [^] # Re: Navigateur Brave

      Posté par  . Évalué à 1 (+0/-1). Dernière modification le 19/01/21 à 17:33.

      J'ai trouvé plusieurs pistes et réponses dans les vidéos de présentation d'un certain Rob Braxman : https://youtu.be/dsu9b5FqK_0 et https://youtu.be/fZTXGUjHTJc . Sa chaîne est dédiée à la vie privée sur internet.

  • # Mauvais nom

    Posté par  . Évalué à 1 (+0/-1).

    A ma place de 'Visual Code Source', il faut bien comprendre 'Visual Studio Code'.

    J'ai tiqué quelques instants donc je me suis permis la remarque…

  • # Autre moyen de télécharger VSCodium

    Posté par  (site Web personnel) . Évalué à 5 (+4/-0).

    Il existe un projet sur gitlab, qui permet d'installer, pour les distros courantes VSCodium : https://gitlab.com/paulcarroty/vscodium-deb-rpm-repo/

  • # Emacs, Firefox

    Posté par  . Évalué à 10 (+10/-0). Dernière modification le 14/01/21 à 23:35.

  • # Et si pour changer notre planète, nous essayions de changer le logiciel ?

    Posté par  (site Web personnel) . Évalué à 4 (+1/-0).

    Et si pour changer notre planète, nous essayions de changer le logiciel ?

    Cela peut se décliner dans différents domaines, d'ailleurs.

    Comme ce rapport de bogue pour Firefox (Redesign print preview should allow to hide pictures (for environmental reasons)) pour lequel vous pouvez voter ;)

    Bravo pour votre initiative en tout cas !

  • # Android SDK

    Posté par  . Évalué à 7 (+5/-0).

    Là aussi, il faut accepter une licence à la con.

    Un travail de recompilation a lieu ici : https://android-rebuilds.beuc.net/

    Il y a encore du chemin, en particulier sur les versions du NDK disponibles et le sdkmanager qui sert à automatiser l'installation, mais ça permet déjà de faire des choses.

    il y a aussi toutes ces applications libres qui ont la fâcheuse tendance sous Android à contenir des blobs propriétaires, on peut retrouver des versions déblobées sur F-Droid.

    Et sinon, comme alternative à l'écosystème Android, il y a les téléphones sous GNU/Linux qui pointent le bout de leur nez et qui sont prometteurs à défaut d'être à 100% utilisables.

    • [^] # Re: Android SDK

      Posté par  . Évalué à 4 (+3/-0).

      eOS propose une version dégoogleisée d'Android (en dégoogleisant LineageOS); on peut suivre notamment l'avancement ici.

      • [^] # Re: Android SDK

        Posté par  . Évalué à 4 (+2/-0).

        Je n'ai pas utilisé eOS (c'est bien /e/ ?), mais je suppose que ça ressemble pas mal à LineageOS + microG que j'ai utilisé, niveau utilisabilité. Je crois que /e/ inclut microG par défaut.

        Pour quelqu'un comme moi qui a toujours refusé d'utiliser des applications propriétaires sur le téléphone, c'était plutôt bien. Je recommande à quiconque ayant besoin de rester sur Android pour le moment d'utiliser ça, ou LineageOS + microG.

        Cela dit, il y a un truc que tous ces systèmes ne dégooglisent pas : c'est la feuille de route d'Android. C'est important, parce qu'il n'est pas dans l'intérêt de Google. En pratique, dans les conséquences, on a :

        • des fonctionnalités (de plus en plus ?) Google qui ne sont pas implémentées en libre (le Face Unlock par exemple, le Gesture typing, et certainement plein d'autres choses)
        • des choses appréciées qui sont retirées (la possibilité d'exécuter des programmes qu'on compile sur le téléphone lui-même, si on utilise Termux par exemple), ou un système chrooté (?)

        J'ai beaucoup d'espoir que les systèmes libres alternatifs à Android et iOS décollent et deviennent utilisables / fiables au quotidien pour un assez grand nombre de gens, et qu'ils permettent de faire confortablement ce qu'on attend aujourd'hui d'un téléphone : appels, SMS, Navigation GPS, surf, Photos, chat… On n'y est pas encore, mais il y a eu un sacré progrès avec la communauté qui s'est formée autour du PinePhone et du Librem 5.

        • [^] # Re: Android SDK

          Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

          "J'ai beaucoup d'espoir que les systèmes libres alternatifs à Android et iOS décollent et deviennent utilisables / fiables au quotidien pour un assez grand nombre de gens,"
          Patience, c'est comme le bureau Linux pour le grand public et son adoption massive, ça va venir…

          • [^] # Re: Android SDK

            Posté par  . Évalué à 6 (+5/-1).

            Justement, un niveau de confort tel que celui d'un bureau Linux d'aujourd'hui m'irait amplement :-P

  • # Précisions sur la décision allemande pour les rapports de statistiques

    Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

    Selon le RGPD, confirmée par une récente décision de justice allemande1, les rapports de statistiques, mêmes (soit-disant) anonymisés, sont définis comme des services non nécessaires et nécessitent un consentement explicite et volontaire avant l’envoie de ces données.

    Je voudrais plus d'explication à ce sujet. Les liens que tu donnes à ce sujet ne mentionne rien quant à l'anonymisation ou aux rapports de statistiques.

    Ensuite, des données anonymisées (je dis bien anonymisées, et non pseudonymisées) ne sont pas des données à caractères personnelles, et donc… non soumises au RGPD !

    Par contre, l'accès à un service non essentiel qui doit, pour pouvoir fonctionner, déposer un "cookie" par exemple, doit reposer sur le consentement de l'utilisateur. Cela n'a rien à voir avec le RGPD, mais avec ePrivacy.

    Ce qui ne change absolument rien sur le fond où je suis tout à fait d'accord : cela devrait être de l'opt-in, et non de l'opt-out.

    Et quitte à aller jusqu'au bout, pourquoi ne citer que des projets avec Google/Microsoft ? La fondation Mozilla ne fait pas mieux avec son navigateur Firefox par exemple !

    • [^] # Re: Précisions sur la décision allemande pour les rapports de statistiques

      Posté par  (site Web personnel) . Évalué à -3 (+1/-6).

      Sommaire

      Bonjour Francesco et Bonne Année,

      Je comprends que tu souhaites en savoir plus, mais, désolé, je ne suis pas juriste, et lire le RGPD et sa jurisprudence dans différents pays européens ne me passionne pas.

      Je suis désolé que tu n'ai pas trouvé ton bonheur dans les liens données dans la dépêche. Néanmoins, je rappelle quelques uns des liens données en fin de dépêche au cas où ils t'auraient échappés :

      1. Cookies and other tracking tehcnologies, April 2020 (rapport de l'équivalent de la CNIL irlandaise)
      2. Le RGPD, un an après (NextInpact)
      3. Est-ce que Google analytics est compatible avec le RGPD ?
      4. Comment rendre votre appli mobile compatible avec le RGPD

      Attention, le premier lien télécharge directement un PDF sans afficher de page web, ce qui peut donner l'impression que le lien ne fonctionne plus être (la redirection pointe sur http://dataprotection.ie/sites/default/files/uploads/2020-04/Guidance%20note%20on%20cookies%20and%20other%20tracking%20technologies.pdf).

      À la page 5 de ce PDF, le terme "cookies" est utilisé dans son sens très très large et y inclue toute forme de collecte de donnée, même de façon inscidieuse avec le fingerprinting qui consiste, par exemple, à prendre la taille de votre écran (souvent le browser est en plein écran), les versions de l'OS/browser, les polices de caractères…

      What other types of tracking technologies are in use?

      The cookies most internet users are aware of are typically browser, or http, cookies.
      However, other types of cookies and tracking technologies include local storage objects (LSOs) or ‘flash’ cookies, software development kits (SDKs), pixel trackers (or pixel gifs), ‘like’ buttons and social sharing tools, and device fingerprinting technologies. The law on cookies generally applies to all of these tools.

      Cookies and other tracking technologies, including pixels, location tracking and device fingerprinting generally require the consent of the user because they involve access to information, or the placing of information on, a user’s device or terminal equipment.
      There are only two circumstances where cookies are exempt from the requirement to obtain consent and these are outlined in detail below.

      À la page 7, nous pouvons lire cette question/réponse:

      Yes. Analytics cookies are used as a measuring tool for websites, including to provide information on the number of unique visitors and the pages they browse during their visits. Some analytics may use first-party cookies with the analytics function carried out by the controller or by another party on behalf of the controller. The Article 29 Working Party has clarified that this other party will be a joint controller or a processor, depending on whether it uses the data for its own purposes or whether it is prohibited from doing so by contractual arrangements.

      Third-party analytics carried out by parties other than the controller, sometimes for their own purposes, may be considered to represent a greater privacy risk to the user.

      The Article 29 Working Party considers that first-party analytics cookies are not likely to create a privacy risk when they are strictly limited to first-party aggregated statistical purposes, and when they are used by websites that already provide clear information about such cookies in their privacy policy, as well as adequate privacy safeguards. This should include a user-friendly mechanism to opt out of any data collection for analytics.

      It is unlikely that first-party analytics cookies would be considered a priority for enforcement action by the DPC.

      Un extrait de la traduction en français :

      Les cookies statistiques nécessitent-ils un consentement ?

      Oui. Les cookies statistiques sont utilisés comme un outil de mesure pour les sites web […].

      Les analyses effectuées par des tiers (comme Google Analytics) […], peuvent être considérées comme présentant un risque plus important pour la vie privée de l'utilisateur.

      Le groupe de travail "Article 29" considère que les cookies gérés directement par le site web ne sont pas susceptibles de créer un risque pour la vie privée lorsqu'ils sont strictement limités à des fins statistiques agrégées (anonymes). […] Il convient d'inclure un mécanisme convivial permettant de refuser toute collecte de données.

      Plus loin, à la page 7, le document mentionne aussi la régmentation ePrivacy Regulations.

      De ma compréhension, les statistiques anonymes utilisées directement par le site web sont compatibles avec le RGPD, du moins avec l'intérprétation du groupe de travail "Article 29". Par contre, quand ces données sont anonymisées par un tiers, comme Google Analytics, c'est considéré comme beaucoup plus dangeureux pour la vie privée. Dans tous les cas, toujours selon ma compréhension, le consentement de l'utilisateur/utilisatrice doit être demandé pour la transmission de toute données non nécessaire au fonctionnement de l'application.

      Merci de ne plus me poser de questions sur ces régementations, je ne suis pas juriste. Merci de lire toi même ces documents, et d'aller en chercher d'autres si tu n'y trouves pas ta réponse. Désolé, mais je n'ai pas envie de refaire ce travail à ta place, je n'ai ni l'envie, ni le temps pour le faire. Par contre, pose la question à l'ensemble du lectorat LinuxFr.org, dont de très nombreuses personnes sont bien meilleures que moi sur le sujet.

      Je veux bien que tu nous en dises plus sur Mozilla/Firefox, c'est justement le sujet de cette dépêche.

      Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)

      • [^] # Re: Précisions sur la décision allemande pour les rapports de statistiques

        Posté par  (site Web personnel) . Évalué à 10 (+9/-0).

        Je comprends que tu souhaites en savoir plus, mais, désolé, je ne suis pas juriste, et lire le RGPD et sa jurisprudence dans différents pays européens ne me passionne pas.

        J'entends très bien que tu n'es pas juriste (c'est également mon cas) et que cela ne te passionne pas (c'est aussi mon cas, mais je suis obligé de faire avec pour mon boulot).

        Néanmoins, balancer des affirmations comme (et je te cite) :

        Selon le RGPD, confirmée par une récente décision de justice allemande1, les rapports de statistiques, mêmes (soit-disant) anonymisés, sont définis comme des services non nécessaires et nécessitent un consentement explicite et volontaire avant l’envoie de ces données.

        Avec une note de bas de page laissant croire au lecteur que dans la note, se trouve la justification de ce que tu es en train de dire alors qu'il n'en est rien, et ensuite oser répondre

        Merci de ne plus me poser de questions sur ces réglementations, je ne suis pas juriste. Merci de lire toi même ces documents, et d'aller en chercher d'autres si tu n'y trouves pas ta réponse. Désolé, mais je n'ai pas envie de refaire ce travail à ta place, je n'ai ni l'envie, ni le temps pour le faire. Par contre, pose la question à l'ensemble du lectorat LinuxFr.org, dont de très nombreuses personnes sont bien meilleures que moi sur le sujet.

        J'avoue que c'est fort de café. Je ne te demande pas de faire le "boulot à ma place", mais au moins de lire les documents que tu cites. Aucun ne parle d'une décision de justice allemande confirmant que les statistiques anonymes sont définies comme des services non nécessaires. C'est une question sur ce que tu as écris, pas sur les documents. Donc oui, la question, c'est à toi que je l'adresse. Car si tu as compris cela ainsi, je veux savoir pourquoi. Est-ce une erreur de ta part, de ma part, est-ce que je suis passé à côté de quelque chose, etc…

        Vu l'ensemble de ta réponse, j'ai ma réponse : tu as fais une dépêche (merci !) sur un sujet que tu es très loin de maitriser (c'est pas évident). Mais dans ce cas, tu le dis (tout le monde peut faire des erreurs, moi le premier !) mais ne renvois pas les gens dans les cordes de manière condescendante dès qu'on te pose une question.

        Si l'idée initiale de la dépêche me semble intéressante, c'est en réalité un "foutoir" de lien, avec des "débrouillez-vous" pour comprendre.

        Donc, maintenant, plusieurs précisions :
        * une donnée anonyme n'est pas soumis au RGPD, qui ne concerne que des données personnelles
        * une statistique anonymisée dès son recueil est sûr pour le respect de la vie privée (ce que propose Matomo par exemple)
        * une statistique anonymisée par un tiers n'est pas sûr et nécessaire un consentement. Car le transfert au tier est considéré comme un traitement, et comme c'est le tiers qui anonymise, cela veut dire qu'il a accès aux données non anonymisées
        * non, l'envoi de statistiques d'utilisation ou des rapports de crash ne sont pas forcément soumis à consentement de l'utilisateur. Si les données sont anonymes, en l'état actuel des choses, aucune obligation. L'envoi de la pile d'appel au moment du crash par exemple ne nécessite absolument rien. Si par contre, le rapport contenait des informations comme le nom du PC, l'OS, les programmes en cours d'exécution, etc… alors là oui, il faudrait le consentement de l'utilisateur car les données ne seraient plus anonymes mais seulement pseudonymisées (et donc à caractère personnel).

        Je veux bien que tu nous en dises plus sur Mozilla/Firefox, c'est justement le sujet de cette dépêche.

        Je suis taquin, mais je te répond en te citant :

        Merci de lire toi même ces documents, et d'aller en chercher d'autres si tu n'y trouves pas ta réponse. Désolé, mais je n'ai pas envie de refaire ce travail à ta place, je n'ai ni l'envie, ni le temps pour le faire. Par contre, pose la question à l'ensemble du lectorat LinuxFr.org, dont de très nombreuses personnes sont bien meilleures que moi sur le sujet.

        Désolé, mais c'est de bonne guerre. Tu ne peux pas dire "démerde toi" à quelqu'un et lui demander 2 lignes après de faire ce que tu as refusé de faire ;)

        • [^] # Re: Précisions sur la décision allemande pour les rapports de statistiques

          Posté par  (site Web personnel) . Évalué à 1 (+0/-1).

          Tu as raison Francesco, j'ai créé un rapport de bug sur Flutter et une dépêche sur un sujet que je suis loin de maîtriser. Je me suis basé sur le message de Geir Aalberg (geira) du 23 juillet 2020 https://github.com/dart-lang/sdk/issues/39233#issuecomment-662982518

          That is not enough. According to the GDPR and a recent German court decision, analytics are defined as non-necessary services and require explicit, voluntary consent before you can send any data. Opt-out after the fact is illegal in the EU/EEC.

          Also, posting code on GitHub as open source but requiring users to sacrifice their privacy and submit to the Google Service TOS before downloading is exactly the reason why Free (Libre) Software was invented in the first place.

          Je m’excuse de ne pas l'avoir dit plus tôt. Et je serai d'avantage transparent à l'avenir. Désolé aussi de t'avoir répondu sèchement. En ce moment, je préfère investir mon temps disponible sur le projet, et ne pas passer du temps sur les réglementations RGPD et ePrivacy.

          D'autant plus que dans le cadre professionnel le détail de ces réglementations ne m'intéresse pas, car sur notre site web et notre web app, c'est simple, il n'y aura aucune collecte de donnée (pas d'analytics), et pour la création d'un compte tout devrait être optionnel. Nous souhaitons respecter nos utilisatrices/utilisateurs, et ne pas accéder à leurs données personnelles, sauf si celles/ceux-ci nous le demandent (pour les contacter, par exemple, si nous détectons un dysfonctionnement). Et ces données seront supprimées dès qu'elles ne seront plus nécessaires au bon fonctionnement de l'application.

          Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)

  • # Rigolo comment on peut s'inventer sa réalité

    Posté par  (site Web personnel) . Évalué à 10 (+10/-2).

    est exactement la raison pour laquelle les logiciels libres ont été inventés

    C'est rigolo ça, parce que RIEN dans la définition du libre ne parle de vie privée.
    Vraiment pas de chance quand même, le libre créé "oublie" donc la raison exacte en route?
    C'est quand même fou le nombre de fois où je lis que le libre a été exactement créé pour contrer un truc dont le libre ne parle jamais dans sa définition, et bizarrement cette raison exacte est toujours différente :-D.
    Ou alors tu t'es créé une idée sur le libre qui n'a rien à voir avec la réalité…

    De plus, il faudrait un peu plus de contenu sur l'argument que des stats anonymes seraient contraire au RGPD, le RGPD s’intéressant aux données non anonymes.
    Pour contre-argumenter, Matomo a des méthodes pour être conforme au RGPD (virer les derniers octets de l'IP etc) et quand même faire des stats. Es-tu certain de ce que tu avances?

    PS : ça ne veut pas dire que je trouve bien ce que fait Flutter, surtout la partie "vous désactivez donc on envoie quelque chose", juste que je doute que ce soit en lien avec le libre ou RGPD.

    • [^] # Re: Rigolo comment on peut s'inventer sa réalité

      Posté par  . Évalué à 4 (+3/-0).

      Je pense surtout que à l'origine du mouvement du libre il y avait comme très forte problématique de se réapproprier du contrôle, les GAFAM n'existant pas à l'époque concernant l'aspect vie privée.
      Puis le terme opensource pour faire du business.
      Aujourd'hui un joli mélange.
      Enfin c'est comme ça que je l'ai compris quand j'ai mit les pieds dedans à l'époque.

      • [^] # Re: Rigolo comment on peut s'inventer sa réalité

        Posté par  . Évalué à 2 (+1/-0). Dernière modification le 15/01/21 à 19:15.

        Un peu normal que beaucoup de gens l'aient compris comme toi : les défenseurs/défenseuses de la vie privée et utilisateurs/utilisatrices de logiciels ouverts ou libres, ont souvent (voir systématiquement) joué de ces confusions pour défendre leur propos. À décharge pour eux/elles, la frontière n'est (en fait ne semble) pas très claire. En effet, les quatre libertés du LLibre permettent de garantir la vie privée …si c'est le choix qui est fait (l'inverse est possible et comme c'est libre c'est transparent et réversible ou migrable) ; bref, un effet de bord ou une conséquence induite.

    • [^] # Re: Rigolo comment on peut s'inventer sa réalité

      Posté par  (site Web personnel) . Évalué à 5 (+9/-6).

      Bonjour Zenitram et Bonne Année,

      Ton intention de faire remarquer que le libre n'avait pas été créé pour se protéger des GAFAM est très bien. Mais ta façon de t'y prendre est agressive : ton expression "Rigolo comment on peut s'inventer sa réalité" me donne la sensation que tu m'insultes de rigolo et que je m'invente ma réalité. Je ne pense pas que tu souhaites m'insulter, mais je pense que c'est l'interprétation naturelle des personnes qui te lisent en général. Tu es désagréable et cela te dessert.

      Je ne sais pas ce que tu as enduré pendant ta jeunesse, les frustrations que tu as dû subir pour avoir un comportement aussi méprisant, mais, s'il te plaît, fait un effort quand tu postes un message, surtout sur un site communautaire dont tu apprécies ses buts. Tu peux montrer ton désaccord sans casser tes interlocuteurs.

      Concernant l'argument que des stats anonymes seraient contraires au RGPD, je ne suis pas juriste, et je ne me passionne ni pour le RGPD, ni le ePrivacy, donc je ne suis pas certain de ce que j'avance. Mais cela ne m'empêche pas d'essayer de changer le monde avec une issue GitHub et une dépêche pour sensibiliser la communauté LinuxFr.org.

      Néanmoins, analysons les raisons de la compatibilité de Matomo avec le RGPD, ci-dessous la traduction en français de la page https://matomo.org/gdpr-analytics/ qui liste les conformités avec le RGPD et la CNIL. J'ai mis en gras les parties qui me semblent se distinguer de Google Analytics :

      Comment pouvons-nous garantir la conformité avec le RGPD ?

      • Anonymisation des données ;
      • Responsable RGPD ;
      • Les utilisateurs peuvent refuser tout suivi ;
      • Cookies de première partie par défaut ;
      • Les personnes peuvent consulter les données collectées ;
      • Possibilité de supprimer les données des visiteurs sur demande ;
      • Les données ne sont pas utilisées à d'autres fins (par rapport à Google Analytics) ;
      • Anonymisation de l'IP ;
      • Le journal des visiteurs et les profils peuvent être désactivés ;
      • Les données sont stockées dans l'UE (Matomo Cloud) ou dans le pays de votre choix (Matomo On-Premise).

      En outre, si vous respectez les règles de la Commission nationale de l'informatique et des libertés (CNIL), vous devrez également vous y conformer :

      • Supprimer les données personnelles après 25 mois ;
      • Activez l'anonymiseur IP ;
      • Offrir l'opt-out ;
      • Désactiver le journal des visites et le profil des visiteurs ;
      • Accepter de ne pas exporter les données RAW vers d'autres systèmes tels que le CRM ou l'entrepôt de données sans consentement.

      De ma compréhension, l'expression "cookies de première partie" indique que les données collectées restent sur les serveurs du propriétaire du site web, ce qui n'est quand Google Analytics est utilisé. Comme je l'ai expliqué dans ma réponse à Francesco, ce point semble très important pour le groupe de travail "Article 29" (ce groupe est, sans doute, constitué d'experts de cette réglementation).

      Donc, je suppose que l'anonymisation ne suffit pas pour être compatible avec le RGPD + ePrivacy. De plus, d'après ce que je comprends, le logiciel client ne doit pas envoyer de données non nécessaires à son fonctionnement sans le consentement explicite et volontaire de la personne qui l'utilise, même si ces données sont anonymisées.

      Ne m'en demande pas plus, ce n'est pas mon domaine d'expertise. Demande plutôt au lectorat de LinuxFr.org, ou sur d'autres sites web (forums), ou cherche toi-même les réponses à tes questions. Si tu trouves des informations pertinentes, merci de nous les faire partager. Et le plus important, la prochaine fois que tu t'adresses à une personne, sois bienveillant.

      Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)

      • [^] # Re: Rigolo comment on peut s'inventer sa réalité

        Posté par  (site Web personnel) . Évalué à 0 (+9/-11).

        me donne la sensation que tu m'insultes de rigolo et que je m'invente ma réalité

        Insulter : tu inventes, je te défies de montrer un mot d'insulte.
        Que tu inventes : je l'affirme, oui, je te défie de me montrer une seule ligne de la définition du libre qui parle de ce dont tu parles.

        Que tu le prennes en insulte une affirmation montre que tu n'as pas vraiment envie de chercher à comprendre le libre, soit. Mais laisse le libre en dehors de ça, ça ne le concerne pas, il est neutre sur tes idées.

        Je ne sais pas ce que tu as enduré pendant ta jeunesse, les frustrations que tu as dû subir pour avoir un comportement aussi méprisant

        Merci du compliment. En effet, je prend en compliment le fait que tu sentes le besoin d'attaquer ma personne plutôt que mes idées, ça montre que tu n'as aucun argument contre mes idées.

        Tu inventes donc bien une idée que le libre a une quelconque lien avec ce dont tu parles, en ayant aucune base solide pour ça (forcément, vu que le libre s'en fout).

        Il est vraiment chiant ce libre, il se fout de votre morale, de vos autres idées… Juste pour info, on peut utiliser le libre, y compris ton propre code, pour te piquer des données etc… Et tu as dit oui à ça quand tu fais du libre.

        Tu peux montrer ton désaccord sans casser tes interlocuteurs.

        Ce n'est pas un désaccord, c'est une affirmation factuelle :). Si tu n'es pas au courant, je t'informe donc. Mais prendras-tu la peine de t’intéresser au libre suite à cette information?

        Mais surtout, te poseras-tu la question de pourquoi tu as balancé que la Terre est plate sans t'être informé avant sur la forme de la Terre? Le problème ici est que tu balances un truc complètement hors sujet comme "exactement pour ça" comme si c'était évident.

        je ne me passionne ni pour le RGPD, ni le ePrivacy, […] Ne m'en demande pas plus, ce n'est pas mon domaine d'expertise. […]

        Donc tu n'y connais rien mais tu affirmes que c'est illégal. Euh…
        C'est bien le problème : tu affirmes bien beaucoup de choses pour quelqu'un qui n'y connait rien.
        Je rejoins ce commentaire.

        tu affirmes une chose que je sais être factuellement fausse (que le libre n'a rien à voir avec ce que tu affirmes), comment puis-je croire le reste?

        Et le plus important, la prochaine fois que tu t'adresses à une personne, sois bienveillant.

        Je le fais déjà, avec les gens qui n'essayent pas de me "vendre" leurs idées en trafiquant la réalité qui ne leur convient pas.
        Penses-tu qu'en attaquant ma personne (jeunesse maltraitée etc) tu fais ce que tu me demande de faire?

        Mais surtout, penses-tu que tu aurais accepté de te renseigner juste 5 minutes sur le libre si j'avais été "bienveillant"?

        En fait, je ne m'adressais absolument pas à toi, mais aux lecteurs du journal, pour indiquer que l'auteur du journal racontait des conneries. tu l'as pris comme une insultes à ta personnes, mais… Pourquoi n'as-tu pas simplement appliqué ce que tu me demandes, soit être bienveillant envers moi et m'expliquer en quoi je me trompe?

        Oui, je sais, je n'ai pas été "gentils", encore une fois, moinssez pour compenser la première note, mais je n'arrive pas à être gentil avec une réponse qui n'a pas vraiment cherché à comprendre le sujet du commentaire répondu mais attaque, invente, à la place. Retenez juste que plein de monde peut essayer de vous faire croire plein de choses sur le libre mais que le libre est bien plus tolérant que ceux que les gens voudraient, le libre permet tant de choses, tant de liberté, trop de libertés pour certains.

        PS : je ne dis pas que lutter contre ces stats anonymes est pas bien (même si ne comprend pas bien le problème quand c'est anonyme, bon la ils abusent avec l'envoi de stats pour dire qu'on ne veut pas de stats), juste qu'il ne faut pas forcément croire que le libre ou le RGPD est avec les gens qui se battent la dessus. Pour le libre je suis 100% sûr que non, pour le RGPD je demande à être convaincu et pour le moment ben les explications sont loin d'être convaincantes.

        • [^] # Re: Rigolo comment on peut s'inventer sa réalité

          Posté par  (site Web personnel) . Évalué à 7 (+6/-1).

          Ce que je comprends de ce qu'il dit c'est que ta manière de communiquer blesse les gens (sans que cela ne dise quoi que ce soit de tes intentions).

          Il se trouve (enfin c'est ce que je crois) que les êtres humains ne sont pas des machines mais ont des émotions et un ego. Tu fais le choix, quand tu communiques, de ne pas prendre soin des gens.

          Pour moi la question est de savoir quel est ton objectif et si cela t'épanouit. Si ton objectif est d'avoir raison et de montrer que les êtres humains sont pleins de faiblesses et de contradictions, alors il me semble que ta manière de faire est assez efficace. Si ton objectif est de d'avoir des discussions fertiles et des relations épanouissantes, alors il me semble que d'autres croyances et d'autres techniques de communications permettrait une meilleure efficacité pour atteindre cet objectifs.

          Je pense que l'on pourrait facilement reformuler ton premier commentaire pour le rendre plus recevable par la personne que tu cites. Je suis prêt à me prêter à cet exercice si cela t'intéresse.

          Je ne sais pas ce que tu as enduré pendant ta jeunesse, les frustrations que tu as dû subir pour avoir un comportement aussi méprisant

          Merci du compliment. En effet, je prend en compliment le fait que tu sentes le besoin d'attaquer ma personne plutôt que mes idées, ça montre que tu n'as aucun argument contre mes idées.

          Je ne le comprends pas comme une attaque mais comme une tentative (plus ou moins maladroite) de ne pas associer tes comportements à ton identité ou ta personnalité. Il s'agit de dire que ta manière de communiquer n'est pas « qui tu es ».

          En quoi est-ce une attaque pour toi ? En quoi supposer que quelqu'un a dû endurer des souffrances et vivre des frustrations est une attaque ? (c'est une vraie question, je suis curieux)

          • [^] # Re: Rigolo comment on peut s'inventer sa réalité

            Posté par  (site Web personnel) . Évalué à -4 (+4/-10).

            Je pense que l'on pourrait facilement reformuler ton premier commentaire pour le rendre plus recevable par la personne que tu cites. Je suis prêt à me prêter à cet exercice si cela t'intéresse.

            Je serai intéressé de me prêter à l’exercice si j'avais un espoir que l'auteur de la phrase s’intéresse à la réalité. Sa réaction me conforte dans mon non espoir.
            Comme dit dans ma réponse, je ne m’intéressais pas vraiment à l'auteur de la phrase car j'ai 0 espoir de le faire comprendre la réalité, je communiquais plutôt à ceux qui pourraient tomber dans le panneau.

            Si ton objectif est d'avoir raison et de montrer que les êtres humains sont pleins de faiblesses et de contradictions, alors il me semble que ta manière de faire est assez efficace.

            Dans le cas présent, oui. Mais :

            Si ton objectif est de d'avoir des discussions fertiles et des relations épanouissantes, alors il me semble que d'autres croyances et d'autres techniques de communications permettrait une meilleure efficacité pour atteindre cet objectifs.

            Quand j'ai en face une personne que j'arrive à imaginer qui pourrait douter, qui pourrait écouter, j'ai une communication largement différente. Il m'est souvent relevé ma communication "tu es rigolo dans ton discours factuellement faux", mais les gens qui lisent toutes mes réponses peuvent faire la différence entre quand je vois de la mauvaise foi (associer le libre, qui ne parle jamais de vie privée et ne s’intéresse qu'à la liberté de la personne qui reçoit, y compris la liberté de faire des outils contre la vie privée, c'est trop gros quand même; mais bon, ça a passé tranquille la modération quand même ;-) ) et quand je pense qu'il y a un espoir que mon commentaire soit analysé par l'auteur du commentaire auquel je répond.

            Je ne le comprends pas comme une attaque mais comme une tentative (plus ou moins maladroite) de ne pas associer tes comportements à ton identité ou ta personnalité. Il s'agit de dire que ta manière de communiquer n'est pas « qui tu es ».
            En quoi est-ce une attaque pour toi ? En quoi supposer que quelqu'un a dû endurer des souffrances et vivre des frustrations est une attaque ? (c'est une vraie question, je suis curieux)

            Tu es bien crédule… Sortir l'enfance d'une personne est une tactique classique pour rabaisser son interlocuteur, lui enlever l'idée qu'il peut penser par lui-même aujourd'hui, qu'il n'est que la victime de son enfance et que donc il ne peut être un individu en entier. Et si l'auteur de ce commentaire voulait être gentil avec moi, toute sa réponse est plus que très maladroite, avec aucun argument et aucune réflexion sur le sujet, en plus d'utiliser sans le vouloir une tactique classique de gens qui cherchent à rabaisser leur interlocuteur quand il n'y a pas d'autre porte de sortie autre que de se rendre compte d'avoir sorti une grosse connerie fantaisiste mais qui permet de s'inventer une "réalité alternative" quand la réalité ne plaît pas (et je ne doute pas que tu auras remarqué même en lisant ici que pas mal de monde adapte le libre à ses idées, parfois anti-capitaliste car on est France Insomise, souvent bien que pour le code mais surtout pas pour l'art car on a des potes artistes, etc)

            Je te retourne les questions : vois-tu dans sa réponse à mon commentaire la moindre tentative de chercher à comprendre le problème, vois-tu un espoir que la personne change d'avis? Si tu y crois, je suis curieux : reformule mon commentaire en mode "gentils", et voyons si l'auteur de la phrase rigolote comprend mieux pourquoi la phrase est rigolote. Pour moi le critère de succès de ta méthode est que l'auteur réponde "ok, j'ai compris, je demande à éditer la dépêche pour retirer cette phrase effectivement hors sujet". Si pas ce succès, j'avoue ne pas voir pourquoi je changerai, faute de gain à le faire (sans changer, j'espère faire comprendre aux autres à défaut de l'auteur de la phrase à laquelle je répond le rigolo de la phrase, et j'ai peur de perdre plus des autres sans aucun gain en étant "gentil"; que l'auteur comprenne serait clairement un meilleur gain, mais inatteignable à mon avis surtout vu la réaction qui est classique aussi).

            Et rappelons une chose : il y a des notes. Si on me trouve pertinent ou inutile, on peut le dire. Je n'ouvrirai pas d'autre compte si mon "karma" tombe en négatif. Bon, je triche un peu, j'ai appris au fur et à mesure du temps à arrêter de donner trop de surface dans un thread car ma première réponse cinglante prend souvent une bonne note (la majorité des gens la lise) mais quand je répond pour expliquer ma première réponse face à des arguments encore plus rigolos il ne reste pas assez de gens positifs pour lire et plus de monde pour moisser (voir par exemple les notes des 2 commentaires ici, forts différentes, je ne répond à ton commentaire que parce qu'il me posait une question sans animosité, mais je préviens que je ne compte pas laisser trop de surface de moinssage en répondant encore plus, le principal a déjà été dit).

      • [^] # Re: Rigolo comment on peut s'inventer sa réalité

        Posté par  (site Web personnel) . Évalué à 10 (+10/-0).

        Je ne sais pas ce que tu as enduré pendant ta jeunesse, les frustrations que tu as dû subir pour avoir un comportement aussi méprisant

        Juste après lui avoir reproché sa façon de s'adresser à toi c'est dommage, ça dessert ton propos …

  • # Flutter et le libre...

    Posté par  . Évalué à 10 (+14/-0).

    Loin de moi l'idée de vouloir remettre une pièce dans le juke-box open source != libre, mais quand même…

    Flutter est conçu pour permettre de verrouiller le contenu dont il assure le rendu. Cette technologie fantastique permet d'interdire de sélectionner et de copier du texte d'une page rendue avec cette technologie.
    Après l'Encrypted Media Extension pour le son et la vidéo, voici flutter pour le texte et les images. Ça reste contournable vu que c'est du javascript mais c'est autrement plus complexe et non utilisable par des machines. J'attends une version web assembly bien obscurcie pour que cela devienne infaisable. Sauf pour google sans doute, il ne faudrait pas qu'il ne puisse plus alimenter leur moteur de recherche ou en faire profiter l'autre technologie fabuleuse, AMP.

    Hypert Text Markup Language v5, la bonne blague, bienvenue sur le WEBlob.

    • [^] # Re: Flutter et le libre...

      Posté par  . Évalué à 1 (+0/-0).

      C'est un framework mobile à l'origine, ce qui peut expliquer certaines limitations bizarres. Le web avec flutter est toujours en beta. On peut imaginer que ça changera

      • [^] # Re: Flutter et le libre...

        Posté par  . Évalué à -1 (+0/-3). Dernière modification le 17/01/21 à 18:30.

        Le web avec flutter est toujours en beta.

        Ben, le truc en fait, c'est que le web, il est toujours en alpha, donc bon, déjà atteindre le stade beta c'est un exploit pour moi…

        Parce que beta ça veut dire:

        La phase bêta commence généralement lorsque le logiciel est assez complet, mais susceptible de contenir un certain nombre de bugs

        Hors, si je ne m'abuse, le web semble ne toujours pas être assez complet. On est donc bien dans de l'alpha perpétuelle.

    • [^] # Re: Flutter et le libre...

      Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

      Merci Capitaine 👍 pour ta mise en garde sur la difficulté de sélectionner et de copier du texte, comme si c'était volontaire de la part de Google, et que cela pourrait rendre la tâche d'indexation plus difficile aux autres moteurs de recherche…

      On n'a pas envie de participer à construire le nouveau Flash en mode black box appartenant a Google. On utilisera Dart/Flutter quand ce sera véritablement devenu ouvert.

      Donc, nous investiguons Vue3/TypeScript pour notre web app. Pour info, nous avons trouvé deux frameworks libres pour Vue3 : PrimeVue et Element+ Plus.

      Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)

      • [^] # Re: Flutter et le libre...

        Posté par  . Évalué à 2 (+1/-0).

        Pourquoi pas nuxtjs ? C'est français en plus

        • [^] # Re: Flutter et le libre...

          Posté par  (site Web personnel) . Évalué à 2 (+0/-0). Dernière modification le 28/01/21 à 10:14.

          Pourquoi pas NuxtJS ?

          Je ne sais pas trop. La personne qui met les mains dans le cambouis front-end connaît bien Vue, ce qui est cohérent avec NuxtJS. De plus nous souhaitons coder en TypeScript plutôt qu'en JavaScript, ce qui semble être possible avec NuxtJS : https://typescript.nuxtjs.org/

          C'est français en plus

          Ah oui, c'est top 👍 je vais lui en parler.

          Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)

        • [^] # Re: Flutter et le libre...

          Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

          Salut

          Pour Nuxt, nous n’avons pas vraiment investigué (d’où mon retour tardif). Il semble que ça marche bien pour des features frontend avancées comme les PWA, et des trucs pour le référencement d’après notre compréhension.

          Sans l’avoir utilisé, Nuxt nous parait un peu un framework de niche, non ? On ne voit pas trop l’avantage de Nuxt pour notre landing page (présentation du projet), ni pour notre webapp. En utilisant directement Vue3, nous pensons avoir plus de liberté.

          Pourquoi Nuxt pourrait nous simplifier la vie ?
          Quels sont les avantages d’utiliser Nuxt pour un site web statique (site institutionnel du style One-Page Website) ? pour une webapp avec des interactions avec l’API backend ?

          Commentaire sous licence Creative Commons Zero CC0 1.0 Universal (Public Domain Dedication)

  • # Approbation Flutter

    Posté par  . Évalué à 2 (+2/-0). Dernière modification le 15/01/21 à 10:52.

    L'approbation pour ces statistiques n'est pas donnée justement par la phrase suivante ?

    By downloading the Flutter SDK, you agree to the Google Terms of Service.

    Il faudrait voir ce qu'il y a dans les Terms of Service de Google, mais c'est un tâche pour une autre vie ça j'imagine.

    • [^] # Re: Approbation Flutter

      Posté par  . Évalué à 3 (+4/-1).

      Le consentement, au sens du RGPD, doit être libre, spécifique, éclairée et univoque. Et ne peut donc pas être caché dans un vague «j'accepte les conditions d'utilisations».

      • [^] # Re: Approbation Flutter

        Posté par  . Évalué à 2 (+2/-0).

        En théorie oui. De la même manière qu'il est censé être aussi simple de retirer son contentement que de le donner, ce qu'on ne voit jamais (en particulier chez Google).

        Il est aussi simple de retirer que de donner son consentement.

        Source : RGPD article 7 § 3

  • # ...

    Posté par  (site Web personnel) . Évalué à 3 (+4/-3).

    Et si on regardait par l'autre côté.
    Mais pour ça il faut commencer par se poser la question suivante : à quoi servent ces données ? Note : je parle des données type crash report, stats d'utilisations des outils.

    L'idée derrière ce n'est pas de traquer les utilisateurs (tout le monde s'en fout), c'est de comprendre ce qu'ils font, comment ils utilisent les outils, quelles actions par contre sont peu/pas utilisées et de pouvoir s'en servir pour

    • fournir de meilleurs outils en améliorant ce qui est utilisé
    • supprimer ce qui semble inutile et coûte (en maintenance, complexité, etc)
    • savoir qu'une fonctionnalité très intéressante est trop peu utilisée donc la mettre plus en avant

    Alors oui dans un monde binaire c'est le Mal, dans les fait c'est un des outils qui permet de construire de meilleurs logiciels.

    • [^] # Re: ...

      Posté par  . Évalué à 8 (+7/-1).

      Le plus important dans ton commentaire c'est ton 4e point :

      Il annule toutes les justifications précédentes.

      Le problème n'est pas seulement que le recueil d'information soit fait dans un but légitime (améliorer le logiciel), mais qu'il faut aussi pouvoir faire confiance à celui qui annonce ce but.

  • # OMG

    Posté par  . Évalué à 2 (+2/-0).

    Ah, en effet, je ne connaissait pas cette dépendance…

    Un grand merci pour ce ticket, c'est du bon boulot !

  • # Correcteur orthographique Google

    Posté par  . Évalué à 8 (+7/-0). Dernière modification le 15/01/21 à 12:58.

    Je vais en faire pleurer certains quand ils vont se rendre compte de la fuite qu'ils ont subit, mais attention, par défaut, (facilement configurable/désactivable), Roundcube et différents CMS utilisant certaines versions de TinyMCE), dont certaines versions de Wordpress utilisent Google pour la correction orthographique. Non seulement ça fait doublon avec le correcteur intégré dans nos navigateurs, mais c'est un choix idiot puisque des solutions existe, alors peut être pour certains grands débutants, mais ça les piège sans rien leur dire (ainsi que ceux qui écrivent dans les commentaires, les auteurs du site enfreignent alors RGPD sans le savoir). Il faudrait vérifier dans les modules équivalents d'autres CMS.

    Dans Roundcube (config/defaults.inc.php) : $config['spellcheck_engine'] = 'googie'; (à remplacer par pspell ou enchant en local (+ dictionnaires aspell ou )

    Sur Wordpress (un ancien, je sais pas si c'est toujours le cas mais ça vaut le coup de vérifier, wp-includes/js/tinymce/plugins/spellchecker/config.php) : $config['general.engine'] = 'GoogleSpell'; à remplacer par PSpell ou PSpellShell

    • [^] # Re: Correcteur orthographique Google

      Posté par  . Évalué à 5 (+5/-0). Dernière modification le 15/01/21 à 21:04.

      Concernant Roundcube, quand je regarde la configuration par défaut (enfin, celle que j'ai depuis une installation par défaut qui date de je ne sais plus quand), je vois

      // Set the spell checking engine. Possible values:
      // - 'googie'  - the default (also used for connecting to Nox Spell Server, see 'spellcheck_uri' setting)
      // - 'pspell'  - requires the PHP Pspell module and aspell installed
      // - 'enchant' - requires the PHP Enchant module
      // - 'atd'     - install your own After the Deadline server or check with the people at http://www.afterthedeadline.com before using their API
      // Since Google shut down their public spell checking service, the default settings
      // connect to http://spell.roundcube.net which is a hosted service provided by Roundcube.
      
      // For a locally installed spellcheker, specify the URI to call it, for example:
      // 'http://' . $_SERVER['HTTP_HOST'] . '/spellchecker.php?lang='
      // Get Nox Spell Server from http://orangoo.com/labs/?page_id=72 or
      // the After the Deadline package from http://www.afterthedeadline.com.
      // Leave empty to use the public API of service.afterthedeadline.com
      $config['spellcheck_uri'] = '';
      
      

      Apparemment, ça n'utilise plus Google.

      J'ai fait un essai : il a fallu que je clique expressément sur le bouton de vérification de l'orthographe pour que l'OS communique avec service.afterthedeadline.com (sur le port 80), mais Roundcube m'a affiché une erreur.
      Apparemment, ce que répond le serveur ne plaît pas à Roundcube.

      La bonne nouvelle, c'est que le texte tapé n'est pas automatiquement envoyé. Je n'avais jamais pensé à utiliser cette fonction de vérification de l'orthographe.

  • # Un outil : pi-hole

    Posté par  . Évalué à 5 (+4/-0). Dernière modification le 15/01/21 à 21:46.

    Merci pour cette dépêche.

    C'est parfois difficile de savoir si les logiciels qu'on utilise ont des fuites (que ce soit des données personnelles au sens du RGPD ou de « simples » méta-données) : si par définition les sources de nos logiciels opensources/libres sont accessibles, qui osera dire qu'il a vérifié l'intégralité des sources des logiciels installés sur sa machine ? :D

    J'ai découvert récemment un outil très pratique : Pi-hole, à installer quelque part sur votre réseau, cela permet d'intercepter les requêtes DNS et donc de faciliter l'identification de communications non-désirées lorsque vous utilisez un logiciel donné.
    Par la suite vous pouvez bloquer les noms de domaines « indésirables ». Le tout via une jolie interface web. Bien sûr ce n'est pas parfait : parfois c'est difficile de retrouver quel logiciel fait la requête DNS; parfois un logiciel peut légitimement avoir à se connecter à un ndd alors qu'un autre non… mais ça aide à dégrossir.

    Quelques belles prises dans mon filet lors du dernier mois :
    - Firefox : detectportal.firefox.com : >32k requêtes bloquées
    - Thunderbird : incoming-telemetry.thunderbird.net : >5k requêtes bloquées
    - Redshift-gtk : faisait régulièrement appel à un service de géolocalisation à mon insu (mais modifiable par fichier de conf)
    - Element (client matrix) : se connecte aux serveurs vector.im et matrix.org même sans utiliser de compte matrix.org.

    • [^] # Re: Un outil : pi-hole

      Posté par  (site Web personnel) . Évalué à 4 (+4/-2). Dernière modification le 15/01/21 à 22:19.

      • Firefox : detectportal.firefox.com : >32k requêtes bloquées

      c'est une fonctionnalité plus que pratique, elle est même nécessaire.
      Que ce soit considéré comme une "belle prise" montre la problématique quand on peut se faire attaquer pour une fonctionnalité impossible à implémenter autrement (si tu penses pouvoir faire autrement, Mozilla sera sans doute intéressé).

      Tirer dans le tas ne va pas vous aider à rendre votre combat contre les fuites de données légitime (au contraire).

      • [^] # Re: Un outil : pi-hole

        Posté par  . Évalué à 3 (+2/-0).

        Certes, c'est une fonctionnalité utile pour un nombre certain. Certes, ce n'est qu'une petite méta-donnée (quand est-ce que mon navigateur tourne).

        Ça ne reste pas moins une fuite de méta-donnée, dont un certain gars a montré qu'elles étaient suffisantes pour porter atteinte à la vie privée, affectant l'ensemble des utilisateurs. Si ni le RGPD (pas de donnée personnelle prise séparément) ni aucune licence libre (comme très justement rappelé plus haut) ne peut obliger le fournisseur du logiciel respecter l'information et le recueil du consentement préalable à la fuite, il me semble que c'est une exigence supplémentaire que nous, pour qui la notion de vie privé à un sens, devons désormais exiger de nos logiciels, libres ou non.

        Ce n'est pas qu'un doux rêve : VLC le fait depuis plusieurs années.

        • [^] # Re: Un outil : pi-hole

          Posté par  (site Web personnel) . Évalué à -1 (+1/-4). Dernière modification le 17/01/21 à 16:35.

          Ce n'est pas qu'un doux rêve : VLC le fait depuis plusieurs années.

          Bah, ça fera comme les bandeaux RGPD : les gens trouveront que les emmerdeurs vie privée sont vraiment bien des emmerdeurs, et râleront de ne pas trouver un équivalent à I don't care about cookies. Trop de demandes tuent la demande.

          A un moment, il faut peut-être se demander si on ne va pas trop loin. Critiquer une fonctionnalité parce qu'elle permettrait une fuite de donnée sans pour autant proposer d'alternative, c'est comme les libristes qui critiquent du proprio sans proposer d'alternative (viable, hein, on a l'habitude des alternatives libres pourries), ça dégoûte plus qu'autre chose.

          PS : ton lien n'est pas apprécié par l'hébergeur de l'image, faut copier/coller le lien, mais oui je connais ce message… Fait pour 1% des gens, les 99% autres cliquent machinalement sur "OK" en se disant que c'est chiant mais bon pas trop donc ça passe. Bon, si ce message peut faire plaisir et calmer les râleurs… Dommage pour quand il y a aura une demande de consentement pour plus que des stats anonymes, ça sera noyé dans l'océan de clics, mais bon si c'est ça que les gens pour la protection de la vie privée veulent… Soit (mais je m'attendais à ce que la vie privée soit importante, mais croire se battre pour la vie privée l'est plus, OK OK… Rien de nouveau, certes, faut juste vivre avec).

          • [^] # Re: Un outil : pi-hole

            Posté par  . Évalué à 5 (+4/-0).

            A un moment, il faut peut-être se demander si on ne va pas trop loin. Critiquer une fonctionnalité parce qu'elle permettrait une fuite de donnée sans pour autant proposer d'alternative, c'est comme les libristes qui critiquent du proprio sans proposer d'alternative (viable, hein, on a l'habitude des alternatives libres pourries), ça dégoûte plus qu'autre chose.

            Je n'ai pas critiqué la fonctionnalité, j'ai reconnu au contraire qu'elle était utile pour beaucoup. Je critique le fait que l'utilisateur n'est pas informé de la fuite de métadonnées engendrée.

            Bah, ça fera comme les bandeaux RGPD : les gens trouveront que les emmerdeurs vie privée sont vraiment bien des emmerdeurs, et râleront de ne pas trouver un équivalent à I don't care about cookies. Trop de demandes tuent la demande.

            1. en nuisances collatérales il y a une différence notable entre être pollué par un bandeaux RGPD à chaque visite d'un site et pollué par un dialogue au premier lancement d'un logiciel.
            2. je peux comprendre que certains n'en n'ont rien à faire et voudraient pouvoir tout accepter sans réfléchir. On peut très bien envisager une variable d'environnement I_dont_care_about_metadata_leaks=True à vérifier par chaque logiciel, qui bypasserait alors le dialogue.
  • # Petite blague...

    Posté par  . Évalué à 1 (+1/-0).

    "Et si pour changer notre planète, nous essayions de mieux sélectionner nos logiciels ?"

    N'oublions pas qui sont les GAFAM et leurs intérêts… ;-)

    Même si je n'ai jamais eu l'intention d'utiliser Chromium ou VSC, je trouve la démarche intéressante dans le sens où elle révèle les jeux de mots et fait tomber les masques…

    Tiens nous au courant de la suite…

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.