tag:linuxfr.org,2005:/tags/donottrack/publicLinuxFr.org : les contenus étiquetés avec « donottrack »2023-02-13T22:17:10+01:00/favicon.pngtag:linuxfr.org,2005:Bookmark/59212023-02-13T22:17:10+01:002023-02-13T22:17:10+01:00problèmes de gestion de la vie privée sous Debian<a href="https://wiki.debian.org/PrivacyIssues">https://wiki.debian.org/PrivacyIssues</a> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/130301/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/krunch/liens/problemes-de-gestion-de-la-vie-privee-sous-debian#comments">ouvrir dans le navigateur</a>
</p>
Krunchhttps://linuxfr.org/nodes/130301/comments.atomtag:linuxfr.org,2005:Diary/387472019-10-30T14:39:33+01:002019-10-30T14:39:33+01:00Gitlab - pour Halloween, faut-il aussi prévoir du PopCorn ?Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-le-feu-aux-poudres">Le feu aux poudres</a></li>
<li><a href="#toc-historique">Historique</a></li>
<li><a href="#toc-aujourdhui">Aujourd'hui</a></li>
</ul>
<p>Salut Nal,</p>
<p>J'ai rien vu passer sur LinuxFr.org au sujet de l'introduction de la « télémétrie » dans GitLab. Ou bien le changement d'heure a affecté les moules et ça roupille par ici, ou bien y a un problème de compatibilité entre moi et la fonction recherche du site.</p>
<p>Alors comme tu le sais peut-être déjà GitHub a été récemment acheté par Microsoft. Quelques libristes se plaisaient à raconter que ça allait inciter nombre de clients à se tourner vers d'autres plate-formes de développement, au bénéfice de GitLab. Sauf que ben voilà : à l'époque GitLab avait déjà levé des thunes auprès de divers « fonds d'investissement » dont Google. Et aujourd'hui, GitLab est plus que jamais l'objet de spéculations et <a href="https://about.gitlab.com/blog/2019/09/17/gitlab-series-e-funding/">brasse des centaines de millions de dollars</a>. Ça, c'est pour le décor.</p>
<h2 id="toc-le-feu-aux-poudres">Le feu aux poudres</h2>
<p>Le 10 octobre dernier, c'est une <a href="https://about.gitlab.com/blog/2019/10/10/update-free-software-and-telemetry/">communication officielle de GitLab</a> sur son blog qui vient mettre le feu aux poudres. On peut y lire :</p>
<blockquote>
<p>To make GitLab better faster, we need more data on how users are using GitLab. SaaS telemetry products, which provide analytics on user behavior inside web-based applications, have come a long way in the past few years. They are an important tool for rapidly improving user experiences because you can understand what users are doing (or not doing) in the app. GitLab has a lot of features, and a lot of users, and it is time that we use telemetry to get the data we need for our product managers to improve the experience.</p>
</blockquote>
<p>Si on résume en français : « pour votre bien on va analyser votre comportement lorsque vous utilisez GitLab ».</p>
<p>Il faut au moins jeter un coup d'œil aux discussions pour comprendre l'historique, c'est assez savoureux.</p>
<h2 id="toc-historique">Historique</h2>
<p>Par exemple, on peut lire qu'il y a 4 mois, la personne chargée de relire le code contribuant à surveiller les utilisateurs a gentiment envoyé paître son monde :</p>
<blockquote>
<p>@ashmckenzie I am happy with the code changes, I am unhappy with the change overall. This effectively changes our snowplow integration from being an anonymous aggregated thing to a thing that tracks user interaction. Ethically I have problems with this and legally this could have a big impact privacy wise (GDPR). I hereby declare my highest degree of objection to this change that I can humanly express.<br>
Edit: Just bringing it up to be rather safe than sorry.En résumé en français : du point de vue de la réalisation technique pas de soucis, mais sur le fond c'est de la belle saloperie que vous faites là.</p>
</blockquote>
<p>Alors derrière les « Product Manager » et « Security Manager » se demandent si juridiquement ça passe, comme changement, notamment au regard du RGPD. Donc à ce stade on sait que « c'est sécurisé », mais on sait pas encore si « c'est légal ». C'est là qu'intervient la « Directrice du risque global et de la conformité ». Bon, déjà, c'est elle qu'a le titre qui en jette le plus à ce stade, elle met les deux autres grave minables. Mais elle a l'outrecuidance de faire <a href="https://gitlab.com/gitlab-org/gitlab/merge_requests/14182#note_185762038">un commentaire pertinent</a> :</p>
<blockquote>
<p>Saying we want the UID for easy ID and deletion is one thing. If we actually intend to track and do something, then that is another issue. This former benefits the user, the latter benefits us. Because we stand to get a benefit, users should opt-in. We will also need to amp up our privacy policy. There needs to be full disclosure in what we gather, why we gather and with whom we share.</p>
</blockquote>
<p>En résumé et en français : « faut pas la faire à l'envers, pister les utilisateurs c'est dans notre intérêt à nous, pas dans celui des utilisateurs. Du coup on peut pas activer ça par défaut et faut informer sur les données qu'on pompe et à qui on les refourgue ».</p>
<p>Deux mois s'écoulent, on se demande si le consentement doit être présupposé ou non (« opt in » vs « opt out ») pour arriver jusqu'à <a href="https://gitlab.com/gitlab-org/gitlab/merge_requests/14182#note_203849107">cette réponse</a> :</p>
<blockquote>
<p>I don’t understand. This should not be an opt in or an opt out. It is a condition of using our product. There is an acceptance of terms and the use of this data should be included in that.</p>
</blockquote>
<p>En résumé et en français : « qu'on ajoute ça à nos conditions d'utilisation et que ceux qui sont pas contents aillent tous se faire foutre ».</p>
<p>Je vous laisse admirer la série d'émoticones auquel cette brave personne a eu droit. Mais c'est qui, c'est personne ? Paul Machle, dont le profil Gitlab ne dit <a href="https://gitlab.com/pmachle">strictement rien</a>. Sauf que le mec, il est « CFO ». Alors attention, ça ça en jette encore carrément plus que tout ce qu'on a vu jusqu'à présent, parce que lui il est « directeur administratif et financier ». Autant vous dire que c'est un important, un vrai…</p>
<h2 id="toc-aujourdhui">Aujourd'hui</h2>
<p>Suivre les discussions est difficile, elles sont éclatées dans différents tickets (sans qu'on comprenne trop pourquoi). Les arguments contre ce changement ont été clairement exposés sur <a href="https://gitlab.com/gitlab-com/www-gitlab-com/issues/5672">le ticket ouvert le 24 octobre</a>, notamment <a href="https://gitlab.com/gitlab-com/www-gitlab-com/issues/5672#note_235182171">par un développeur de GitLab</a> basé aux Pays-Bas. </p>
<p>Vous l'avez compris, il y a eu une levée de boucliers d'une frange des utilisateurs, voire de salariés et prestataires de Gitlab, ce qui a contraint la direction à geler le projet le 24 octobre dernier, puis rétropédaler hier. Mais pour combien de temps ? </p>
<p>Aujourd'hui l'incendie n'est toujours pas totalement éteint et ça continue de crépiter dans ce ticket comme dans d'<a href="https://gitlab.com/gitlab-org/gitlab/issues/34833">autres</a>.</p>
<div><a href="https://linuxfr.org/users/thamieu/journaux/gitlab-pour-halloween-faut-il-aussi-prevoir-du-popcorn.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/118487/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/thamieu/journaux/gitlab-pour-halloween-faut-il-aussi-prevoir-du-popcorn#comments">ouvrir dans le navigateur</a>
</p>
thamieuhttps://linuxfr.org/nodes/118487/comments.atomtag:linuxfr.org,2005:Diary/374042017-07-14T16:13:10+02:002017-08-05T00:01:18+02:00Polémique concernant le recours à Google Analytics sur la page about:addons de FirefoxLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Chronologie de quelques faits :</p>
<ul>
<li>
<a href="https://www.shaftinc.fr/mozilla-vie-privee.html">billet de John Shaft</a> le 8 juillet ;</li>
<li>
<a href="https://twitter.com/NicolasPetton/status/884694176515936256">Interpellation de Mozilla par Nicolas Petton sur touiteur</a> le 11 juillet ;</li>
<li>
<a href="https://github.com/mozilla/addons-frontend/issues/2785">rapport de bogue concernant le site <em>addons.mozilla.org</em> par Matthew Riley MacPherson, alias <em>tofumatt</em>, employé de Mozilla</a> le 12 juillet</li>
<li>
<a href="https://github.com/mozilla/addons-frontend/commit/1312536f6e1b075c508bccb2de7f050876eba172">correctif du code du site <em>addons.mozilla.org</em> par Matthew Riley MacPherson</a> le 13 juillet.</li>
</ul><h3 id="le-problème">Le problème</h3>
<p>Le recours à Google Analytics dans Firefox même, sur la page <em>about:addons</em> (onglet <em>Catalogue</em>), fait polémique auprès des utilisateurs attachés au respect de leur vie privée et qui utilisent Firefox principalement pour cette raison.</p>
<h3 id="détail">Détail</h3>
<p>Techniquement, cette page interne à Firefox contient dans une <em>iFrame</em> des suggestions venant du site Web <em>addons.mozilla.org</em> qui recourt à Google Analytics.</p>
<p>À noter d’une part que <a href="https://github.com/mozilla/addons-frontend/issues/2785#issuecomment-314807534">ce recueil de données ne semble pas pouvoir être bloqué avec la version WebExtension de votre bloqueur habituel</a>, d’autre part que le navigateur Tor est aussi concerné.</p>
<h3 id="discussion">Discussion</h3>
<p>Matthew Riley MacPherson, employé de Mozilla, s’est défendu en rappelant <a href="https://github.com/mozilla/addons-frontend/issues/2785#issuecomment-314769510">qu’ils utilisaient Google Analytics avec la promesse de Google de traiter les données de manière anonyme</a> (via la version entreprise de Google Analytics, <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=858839#c21">si j’ai bien compris</a>) :</p>
<blockquote>
<p>« <em>We now have an option to opt‐out of Google doing anything with the data that Google Analytics collections on Mozilla websites. GA tracking is anonymous and at the aggregate level and we use it to improve the experience of our websites.</em> »</p>
</blockquote>
<p>Or, <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=858839">il y a déjà quatre ans, Erik Vold (ancien employé de Mozilla) attirait déjà l’attention (en vain) sur un problème lié à celui que Mozilla vient de rencontrer</a>, à savoir que l’activation, côté utilisateur, de la préférence « Ne pas me pister » du navigateur, n’empêche pas Mozilla de transmettre des données de consultation du site <em>addons.mozilla.org</em> à Google via Google Analytics. Et peu importe la nuance selon laquelle seules des données anonymes seraient recueillies par Google. Ce problème, insuffisamment pris au sérieux à l’époque, est aujourd’hui aggravé par le fait que le site addons.mozilla.org est dorénavant repris à l’intérieur même de Firefox via une <em>iFrame</em>.</p>
<h3 id="dénouement-à-ce-stade">Dénouement (à ce stade)</h3>
<p>Finalement, un correctif a été conçu dans l’urgence le 13 juillet par Mozilla, qui bloque l’envoi de données à Google lorsque le visiteur de <em>addons.mozilla.org</em> a activé la fonction « Ne pas me pister » du navigateur.</p>
<p>Activer cette fonction empêche alors le recueil de données, que ce soit directement sur la page Web <em>addons.mozilla.org</em> ou indirectement par la page <em>about:addons</em> de Firefox.</p>
<p>Par ailleurs, <a href="https://trac.torproject.org/projects/tor/ticket/22900">l’onglet <em>Catalogue</em> de la page <em>about:addons</em> sera purement et simplement supprimé de Tor browser</a>, pour cette raison et d’autres.</p>
<h3 id="mon-avis">Mon avis</h3>
<h4 id="premièrement">Premièrement</h4>
<p>Ce problème aurait pu être en grande partie évité s’il avait été traité il y a quatre ans en tenant d’avantage compte du point de vue de l’utilisateur et de ses attentes lorsqu’il active la fonction « Ne pas me pister ».<br>
Mettre en avant des nuances selon laquelle faire remonter des informations de consultation de site à un tiers peut ne pas être du pistage selon les cas est <strong>une erreur majeure</strong> lorsque l’on développe un navigateur dont la communication repose sur la confiance à placer dans Mozilla pour le respect de sa vie privée comme argument différenciateur de la concurrence.</p>
<p>Ça, c’est du côté des sites Web détenus par Mozilla et de l’image de Mozilla</p>
<h4 id="deuxièmement">Deuxièmement</h4>
<p>Confronté à cette nouvelle polémique, Mozilla a donc finalement décidé d’offrir le choix à l’utilisateur, mais selon la technique de l’<em>opt‐out</em>. S’agissant de collecte de données à l’intérieur du navigateur, le choix de la technique de l’<em>opt‐in</em> aurait sans doute été plus éthique.</p>
<p>Or, ce que je comprends c’est que le problème n’a été traité du côté de Mozilla que par une personne responsable des sites de Mozilla. Or, il concerne également le navigateur, ainsi que nous l’avons vu. À problèmes différents, des solutions différentes sont parfois nécessaires. Je n’ai pas connaissance d’une personne en charge de la vie privée qui se soit encore préoccupée de ce problème côté navigateur. <strong>C’est un problème</strong>.</p>
<p>Ça, c’est du côté du navigateur lui‐même.</p>
<p>Dans tous les cas, le degré de priorité accordé au respect de la confiance placée par les utilisateurs dans Mozilla face à d’autres enjeux (efficacité, praticité…) se pose (je ne parle pas seulement du respect de leur vie privée, mais du respect de leur confiance qui ne peut s’embarrasser des nuances mises en avant comme du contrat liant Google et Mozilla).</p>
<p>La façon dont cet épisode s’est déroulé n’apporte pas une réponse pleinement satisfaisante en ce qui me concerne.</p>
<p>Je termine ce journal par cet article <a href="https://alistapart.com/article/dark-patterns-deception-vs.-honesty-in-ui-design"><em>Dark Patterns: Deception vs. Honesty in UI Design</em></a>, signalé à l’époque par Erik Vold.</p><div><a href="https://linuxfr.org/users/antistress/journaux/polemique-concernant-le-recours-a-google-analytics-sur-la-page-about-addons-de-firefox.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/112296/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/antistress/journaux/polemique-concernant-le-recours-a-google-analytics-sur-la-page-about-addons-de-firefox#comments">ouvrir dans le navigateur</a>
</p>
antistresshttps://linuxfr.org/nodes/112296/comments.atomtag:linuxfr.org,2005:Diary/357882015-04-15T10:16:44+02:002015-04-15T10:16:44+02:00Do not track !Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Nal ! De bon matin, ça boom ? <strong>Boom !</strong></p>
<p>As-tu entendu parlé de <a href="https://donottrack-doc.com/fr/"><strong><s>do not track</s></strong></a>, un web-documentaire interactif, <strong>produit par Arte</strong> (entre autres).</p>
<p>C'est en 7 épisodes. Le premier a été diffusé hier soir.</p>
<p>Ce web-doc propose au téléspectateur de lâcher, au cours des épisodes, quelques informations persos.<br>
Grâce à elles, il tente de nous démontrer <strong>à quel point nous sommes trackés</strong>.<br>
Son but, surtout, est de nous expliquer, vulgairement, comment ce <em>tracking</em> de masse fonctionne, quels en sont les acteurs et les conséquences.</p>
<p>Je trouve que c'est une très bonne initiative, pour l'internaute lambda qui n'a que peu conscience de ces problématiques.</p>
<p>En tout cas, grosses pubs hier, sur Arte, pour cette web-série documentaire.</p>
<p><strong>N.B. :</strong> Le web-doc ne semble pas fonctionner sous Firefox. Qu'en est-il chez vous ?</p>
<p><strong>N.B. 2 :</strong> Perso, je le trouve beaucoup trop lourd, dans la forme (les web-docs sont souvent des usines à gaz).</p>
<p><strong>N.B. 3 :</strong> Allez donc voir, sur <em>future.arte.tv</em>, l'article <a href="http://future.arte.tv/fr/les-paquets-de-donnees-en-transit"><strong>« Les paquets en transit »</strong></a>.<br>
Ça parle de <strong>surveillance d'internet</strong>, de <strong>Big Data</strong>, de <strong>Do not track</strong>, etc.</p>
<p>En ce moment, gros travail technique et journalistique sur ces problématiques-là. C'est dans l'air du temps, que voulez-vous !</p><div><a href="https://linuxfr.org/users/freepius/journaux/do-not-track-c32bc5e6-76a3-4960-9812-ddc973f10beb.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/105439/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/freepius/journaux/do-not-track-c32bc5e6-76a3-4960-9812-ddc973f10beb#comments">ouvrir dans le navigateur</a>
</p>
freepiushttps://linuxfr.org/nodes/105439/comments.atomtag:linuxfr.org,2005:Diary/341782013-08-01T15:19:58+02:002013-11-28T22:40:16+01:00Option "Do Not Track" de Firefox et sites de la Mozilla Foundation<p>NdM : contenu réécrit suite à une purge de compte</p>
<p>Pionnier sur le "Do Not Track" avec Firefox, les sites de la Mozilla Foundation ne <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=858839">respecterait pas l'option</a>.</p><div><a href="https://linuxfr.org/users/anonyme/journaux/option-do-not-track-de-firefox-et-sites-de-la-mozilla-foundation.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/99257/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/anonyme/journaux/option-do-not-track-de-firefox-et-sites-de-la-mozilla-foundation#comments">ouvrir dans le navigateur</a>
</p>
Anonymehttps://linuxfr.org/nodes/99257/comments.atomtag:linuxfr.org,2005:Diary/327372012-06-20T16:37:47+02:002012-06-20T16:37:47+02:00Do Not TrackLicence CC By‑SA http://creativecommons.org/licenses/by-sa/3.0/deed.fr<p>L'option Do Not Track est un nouveau champ des entête HTTP en cours de standardisation par le W3C et qui a pour objectif d'indiquer à quiconque sur le web que l'on ne veux pas que notre navigation soit tracé par les annonceurs. Cette sécurité basé sur la confiance (sic) semble avoir un succès grandissant avec l'inclusion progressive dans tout les gros navigateurs (Opera, Firefox, Safari, Chrome et Internet Explorer). Les publicitaires du web ont fait savoir qu'ils ne joueraient le jeu que si l'option n'était pas activé par défaut (opt-out). Le W3C compte dans la spécification intégrer cette demande.</p>
<p>Et là coup de théâtre c'est notre ami Microsoft habitué du non respect des normes qui indique qu'il ne respectera pas cette indication et activera l'option par défaut à fin de protéger ses utilisateurs (non non ce n'est pas pour embêter des concurrents comme Google).</p>
<p>Si on fait un petit récapitulatif du support de cette option dans les navigateurs :</p>
<ul><li>Internet Explorer la supportera dans sa version 10</li>
<li>Google Chrome via une extension (je ne sais pas si le lien marche <a href="https://chrome.google.com/webstore/detail/hhnjdplhmcnkiecampfdgfjilccfpfoe?hl=fr">https://chrome.google.com/webstore/detail/hhnjdplhmcnkiecampfdgfjilccfpfoe?hl=fr</a>)</li>
<li>Firefox depuis la version 4 je crois (voici comment faire : <a href="https://support.mozilla.org/fr/kb/comment-activer-option-ne-pas-pister">https://support.mozilla.org/fr/kb/comment-activer-option-ne-pas-pister</a>)</li>
<li>Opera 12 (<a href="http://my.opera.com/desktopteam/blog/2012/02/10/core-dnt-mail-themes">http://my.opera.com/desktopteam/blog/2012/02/10/core-dnt-mail-themes</a>)</li>
<li>Safari 5.1 d'après wikipedia <a href="https://fr.wikipedia.org/wiki/Safari_%28logiciel%29">https://fr.wikipedia.org/wiki/Safari_%28logiciel%29</a></li>
</ul><p>Je n'ai pas trouvé d'infos pour konqueror, epiphany, uzbl, luakit, surf, links et lynx.</p>
<p>Pour avoir plus d'informations sur Do Not Track Mozilla a une page plutôt bien foutue : <a href="http://www.mozilla.org/en-US/dnt/">http://www.mozilla.org/en-US/dnt/</a></p>
<p>Source : <a href="http://www.developpez.com/actu/45095/Dot-Not-Track-ne-doit-pas-etre-active-par-defaut-pour-le-W3C-Microsoft-campe-sur-sa-position-et-maintient-son-activation-dans-IE-10/">http://www.developpez.com/actu/45095/Dot-Not-Track-ne-doit-pas-etre-active-par-defaut-pour-le-W3C-Microsoft-campe-sur-sa-position-et-maintient-son-activation-dans-IE-10/</a></p><div><a href="https://linuxfr.org/users/barmic/journaux/do-not-track.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/94580/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/barmic/journaux/do-not-track#comments">ouvrir dans le navigateur</a>
</p>
barmichttps://linuxfr.org/nodes/94580/comments.atom