Journal Logiciel libre et vie privée

Posté par  . Licence CC By‑SA.
22
19
avr.
2020

Sommaire

Suite à un journal s'étonnant de la fonction télémétrie de Firefox, ce journal tente de démystifier l’ambiguïté persistante entre le logiciel libre et le respect de la vie privée, notamment en s'appuyant sur la notion des anti-fonctions (anti-features).

Anti-fonctions, de quoi parle-t-on en fait ?

Le terme n'est pas très répandu (et uniquement en langue anglaise) ce qui laisse penser qu'au final ce problème n'est pas souvent abordé ou formalisé :

  • Pour la FSF (par le biais d'un seul papier datant de 2007) : désigne de manière générale l'intérêt d'un vendeur (matériel ou logiciel) à implémenter des restrictions des capacités fonctionnelles, par exemple à visée commerciale dans le cas de Microsoft. L'idée que ce concept puisse concerner des logiciels libres n'est pas évoqué. En fait ça ne correspond pas vraiment, les problèmes de vie privée viennent plutôt de fonctions additionnelles dont on se passerait bien. Par ailleurs le cas des logiciels privateurs ne m'intéresse pas ici.
  • Pour F-Droid : comportement indésirable possible du point de vue de l’utilisateur, servant souvent l’intérêt du développeur ou d’un tiers, étiquetés via 10 catégories parmi lesquelles nous intéressent en particulier :
    • N°2. télémétrie, dès lors qu'elle est activée par défaut
    • N°3. dépendance à des services réseaux « non-libres »
    • N°8. inclu des failles de sécurités connues
    • N°10. disparition des sources

Mon point de vue sur les critères F-Droid :

  • N°1. La publicité n'est pas un problème pour la vie privée tant qu'elle n'est pas concernée par les critères N°3. ou N°2.
  • N°2. Tout logiciel effectuant par défaut des transmissions en dehors des fonctions principales évidentes devrait être inclus dans cette catégorie. Remarque : on ne s'intéresse ici pas au fait que la télémétrie peut servir l'utilisateur, et elle ne devrait donc pas toujours être considérée comme une anti-fonction. Cependant en matière de vie privée, la protection passe par la présomption d'atteinte à la vie privée tant que le contraire n'est pas démontré (finalité de la collecte, transparence, vérifiabilité, …).
  • N°3. La notion de réseau « non-libre » me semble ambiguë. De manière générale toute dépendance à un service externe qui n'est pas de confiance est susceptible de porter atteinte à notre vie privée. Je pense que c'est plutôt à comprendre comme « dépendance à un réseau centralisé ».
  • N°4. et N°5. la dépendance ou la promotion d'extensions non-libre, c'est un problème de récursivité, qui n'a à mon avis pas vraiment de sens avec un gestionnaire de paquet. Les dépendances et extensions sont des logiciels à part entière qui doivent être analysés séparément avec les même critères.
  • N°6. et N°7. ne m'intéressent pas dans ce journal.
  • N°8. ça semble évident, du moins pour les failles conduisant à une vulnérabilité depuis l'extérieur.
  • N°9. spécifique au process Android (?)
  • N°10. évident pour une question de vérifiabilité.
  • Accessoirement je verrais une 11ème catégorie complémentaire, sur le caractère difficilement auditable du code (qui affecte l'énergie à dépenser pour s'assurer du respect de la vie privée); mais ce n'est pas forcément binaire ou plutôt subjectif.
  • Et une 12ème qui comprendrait les logiciels comprenant des fonctions auxquelles l'utilisateur ne s'attend pas (et qui, en passant, éloignent le logiciel du principe KISS) : le bonnet de père noël dans VLC en fin d'année, le démineur dans Aptitude, mode développeur de Firefox… mais ce pourrait être un troll bonus pour ceux qui ne zappent pas les longues listes à puces.

Quelques exemples de logiciels libres posant (ou ayant posé) des questions sur la vie privée

  • Chromium : nombreuses dépendances/appels aux services Google par défaut (nb : le gros de ce qui était désactivable semble désormais être désactivé par défaut dans Debian) (N°2,3)
  • Firefox : télémétrie (nb : désactivé par défaut dans Debian) (N°2)
  • Telegram : dépendance à un serveur centralisé non libre (N°3)
  • Riot/Matrix : audio/vidéo et transmission des contacts à un serveur centralisé (corrigé en 2019 ?) (N°3)
  • Wordpress : dépendance de thèmes par défaut aux polices Google (N°2)
  • Visual Studio Code : télémétrie activée par défaut (N°2)
  • Unity Dash : les recherches sont transmises à Amazon via proxy Canonical (jusqu'en 2016) (N°2)
  • Searx : dépend directement des moteurs de recherche (N°2,3)
  • gmpc : connexion à différents services de paroles sans consentement préalable de l'utilisateur. Ce n'est pas une mauvaise fonction mais une mauvaise mise en oeuvre à la différence de VLC qui affiche une boite de dialogue à la première utilisation. (N°2,3)

Ce n'est qu'une petite liste de logiciels pour ordinateurs / serveurs juste pour montrer que ce n'est pas un problème marginal et touchant tous les domaines; je n'ai pas pris le temps de regarder dans les jeux, mais je pense qu'on peut y trouver des surprises en matière de télémétrie.

Le cas des logiciels libres pour nos ordiphones

L'utilisation des dépôts F-Droid (sur un téléphone libéré des anti-fonctions au niveau de l'OS comme par exemple LineageOS ou /e/OS) permet précisément d'être informé avant l'installation des anti-fonctions présentes et repérées.
En complément et dans le cas d'utilisation d'applications en dehors de F-Droid, on peut citer le système d'audit automatique Exodus qui permet de fournir une idée des anti-fonctions présentes.

Une parenthèse sur un sujet chaud : la probable future application de suivi des contacts des cas de Corona en France, sera certainement Open Source mais pose néanmoins forcément la question l'atteinte à notre vie privée. Et La Quadrature du Net de rappeler que « la publication du code de l’application sous une licence libre, ainsi que l’utilisation de méthodes de compilation reproductibles, seraient des exigences indispensables contre ces abus, mais elles-mêmes insuffisantes. ».

Peut-être un manque dans la base F-Droid : ce n'est pas parce qu'un logiciel n'est pas étiqueté qu'il n'inclut pas d'anti-fonctions. Ajouter un statut « Non analysé » pourrait être pertinent, pour limiter les futures mauvaises surprises. Suivant les choix d'affichage du gestionnaire de paquet, il pourrait être indiqué si la version qui va être installée a été explicitement analysée ou le nombre de commits séparant de la dernière analyse (pour un mode parano).

En résumé

Le monde Android me semble actuellement mieux outillé pour protéger notre vie privée que nos PC tournant sous nos distributions Linux préférées. À ma connaissance, à part Tails qui fournit une base propre vérifiée pour un usage très sécurisé mais basique, rien de systématique n'existe pour un usage quotidien sur PC (Tails permet ensuite d'installer « librement » les paquets Debian). Les problèmes de vie privée sont traités (ou pas) au gré des rapports de bugs.

Je pense donc qu'il y aurait un intérêt pour les distributions Linux soucieuses de la vie privée de leurs utilisateurs de leur fournir un moyen efficace pour cela, par exemple en s'inspirant de la notion d'anti-fonctions proposée par F-Droid. Avant de me lancer dans des idées d'implémentations, je serais particulièrement intéressé de connaître vos avis :

  • Existe t'il déjà un tel projet que je ne connaîtrais pas ayant cette finalité pour les distributions Linux ?
  • Transposabilité des critères F-Droid au domaine général des distributions Linux. En particuliers :
    • les critères F-Droid n°2, 3, 8, 10 me semblent indispensables; mais sont ils suffisants pour le monde des PC ?
    • quelle part possible de subjectivité dans les critères ?
  • des avis d'éditeurs de logiciels libre « conséquents » s'il y en a qui me lisent ici; car plus susceptible de contenir des anti-fonctions et touchant un plus grand nombre d'utilisateurs.
  • # anti-fonctionnalité

    Posté par  (site Web personnel) . Évalué à 10 (+8/-1).

    Je pense que le terme serait plutôt anti-fonctionnalité
    Il y a deux excellentes conférences à ce sujet (que je résume sur mon blogue : http://libre-ouvert.toile-libre.org/?article189/les-anti-fonctionnalites) : une de Benjamin Mako Hill et une autre de Benjamin Bayart

  • # Beaucoup (trop) de mots

    Posté par  . Évalué à 5 (+4/-0).

    pour décrire des notions qui ne sont finalement qu'une acceptation de situations qu'on aurait considérées comme intolérables il y a encore peu.
    Enfin c'est mon avis.

    • [^] # Re: Beaucoup (trop) de mots

      Posté par  . Évalué à 0 (+1/-3). Dernière modification le 20/04/20 à 06:23.

      Définit “il y a peu”. Pour autant que je sache, l’analytics, qu’il soit marketing ou produit, ça fait bien 10-15 ans grand mini qu’il yen a un peu partout.
      Google analytics date de 2005…

      On peut aussi parler des webmails qui datent a l’aise du début des années 2000 et qui avaient toute ta liste de contact, tes mails etc.

      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

  • # L’ambiguïté persiste

    Posté par  (site Web personnel) . Évalué à 2 (+16/-16). Dernière modification le 19/04/20 à 21:19.

    ce journal tente de démystifier l’ambiguïté persistante entre le logiciel libre et le respect de la vie privée

    Mmm… J'ai l'impression que la "cible" est loupée, car tu fais comme les autres : tu associes 2 sujets complètement orthogonaux.

    Pour éviter une ambiguïté, il faut être clair : il n'y a aucun lien entre libre et vie privée, les 2 sont 2 notions complètement orthogonales comme le libre est utilisable autant en démocratie qu'en dictature.

    Il faut arrêter de fantasmer sur une "idéologie" du libre : la FSF a une idéologie, pas le libre, et que la FSF ne fasse pas la différence est mauvais pour le libre (la FSF utilise le libre pour autre chose que ce pour quoi le libre est connu et utilisé; ne vous étonnez pas que les gens s'éloignent du mot "libre" pour lui préférer le mot "open source" qui dit clairement qu'il est neutre sur tout ce qui ne touche pas le libre).

    Si on veut résumer : un outil libre qui ferait tout ce que vous détestez sur tous les autres sujets n'est pas moins libre qu'un outil libre qui ferait tout ce que vous aimez, car ce que vous aimez ou détestez n'a rien à voir avec le libre hormis le fait que vous n'avez pas le droit d'interdire ce que vous n'aimez pas.

    Parlez de "anti-fonctions" à fond, mais n'y mêlez pas le libre qui est neutre dessus sauf pour ceux qui veulent vous manipuler.

    • [^] # Re: L’ambiguïté persiste

      Posté par  . Évalué à 10 (+14/-1).

      il n'y a aucun lien entre libre et vie privée

      Il y a complètement un lien. Dans le cas d'un soft proprio, on est obligé d'accepter, ou de refuser, un package complet, avec tout ce qui y est planqué.
      Dans le cas d'un outil libre, on peut (théoriquement) supprimer ce qui ne nous plaît pas.

      • [^] # Re: L’ambiguïté persiste

        Posté par  . Évalué à 5 (+4/-1).

        Et étudier le code pour constater la présence ou l'absence des anti-fonctionnalités (en fait, pour ça, libre n'est pas nécessaire, juste suffisant : un logiciel dont les sources sont disponibles permet aussi cela).

        Avec un logiciel dont les sources ne sont pas disponibles, il ne reste que les techniques de rétro-ingénierie (qui peuvent s'appliquer à un logiciel dont les sources sont disponibles aussi).

        Le logiciel libre, lui, donne le droit de diffuser une version modifiée sans les anti fonctionnalités.

        D'ailleurs (je digresse), ces versions modifiées peuvent être rendues plus ou moins inutiles par l'éditeur original, si le rôle du logiciel est de se connecter à un service et que l'éditeur interdit la diffusion d'un logiciel non officiel qui se connecte au service. Exemple : Signal (dont la version Android est compilée avec les bibliothèques propriétaires Google). Ce mécanisme pourrait lui-même être qualifié d'anti-fonctionnalité (mais il se rapporte au service et non au logiciel lui-même).

        Zenitram a raison sur le fait qu'un logiciel libre peut contenir des anti fonctionnalités, d'ailleurs c'est pour ça que ça existe dans F-Droid, mais je pense comme toi que les notions ne sont pas complètement orthogonales malgré tout.

        • [^] # Re: L’ambiguïté persiste

          Posté par  (site Web personnel) . Évalué à 9 (+8/-1).

          Et étudier le code pour constater la présence ou l'absence des anti-fonctionnalités (en fait, pour ça, libre n'est pas nécessaire, juste suffisant : un logiciel dont les sources sont disponibles permet aussi cela).

          Non, il faut pouvoir prouver que le binaire que tu exécutes a été compilé à partir des sources dont tu disposes.

          Donc il te faut :

          • le code source ;
          • la chaîne de compilation complète (voir l’environnement complet, avec les mêmes versions des bibliothèques, etc.) ;
          • et le plus important : le droit de compiler toi même le logiciel.

          C’est pas impossible qu’un éditeur t’accorde tout ça, mais c’est pas vraiment le cas commun non plus.

          À moins de ce lancer dans un débat sémantique chiant, je pense qu’on peut très bien résumer en : seul le logiciel libre permet de s’assurer que ce qu’on exécute correspond à ce que l’ont veut exécuter.

          • [^] # Re: L’ambiguïté persiste

            Posté par  . Évalué à 3 (+1/-0). Dernière modification le 20/04/20 à 08:13.

            Oui, d'accord avec toi, par sources disponibles je sous entendais que tout était là pour compiler toi-même (sinon ce n'est pas vraiment disponible).

            En fait, il faut même que la compilation soit reproductible si tu veux utiliser les binaires fournis, condition nécessaire aussi avec du logiciel libre. Beaucoup de projets libres n'ont pas de compilation reproductible, d'où l'initiative reproducible-builds.

            Quant à l'interdiction de compiler soi même quand on a les sources, je ne l'ai jamais rencontrée. Ça peut être difficile si on n'a pas toutes les infos ou s'il manque des outils, mais ce n'est à ma connaissance jamais interdit et le problème se pose aussi avec du logiciel libre. On parlait ici il y a quelques dépêches de OnlyOffice qui par un temps ne fournissait pas toute la chaîne de compilation, problème corrigé maintenant. On peut mentionner le sdk d'Android, dont la recompilation est un vrai casse tête (merci beuc !).

            Des logiciels à sources disponibles pas libres il y en a quelques uns, il y a par exemple unrar-nonfree, le navigateur Vivaldi et le compilateur Open Watcom, utilisé pour construire le BIOS de VirtualBox (qui est dans la position intéressante d'être considéré open source par l'OSI mais pas libre par Debian qui utilise essentiellement la même définition que l'OSI, ni par la FSF et d'autres distributions).

            On joue sur les mots, mais le débat est déjà sémantique et il y a des cas concrets derrières ces réflexions :-)
            Je ne suis pas fan de simplifier le problème de manière incorrect, pour moi ça sème le trouble.

          • [^] # Re: L’ambiguïté persiste

            Posté par  (site Web personnel) . Évalué à -1 (+6/-9). Dernière modification le 20/04/20 à 08:55.

            À moins de ce lancer dans un débat sémantique chiant,

            Ce que tu appelles débat sémantique chiant, c'est mélanger le seul droit de compiler avec le droit de modifier et distribuer.

            Heureusement que pas foule ne pense comme toi, sinon le libre serait mort rapidement avec des réticentes aux logiciels libres qui auraient filé du code compilable que par celui qui reçoit et personne d'autre, non modifiable, et c'est tout.

            Bref, ce que tu appelles débat sémantique est une grosse différence entre non libre et libre.

            seul le logiciel libre permet de s’assurer que ce qu’on exécute correspond à ce que l’ont veut exécuter.

            Absolument pas : le droit de compiler toi-même suffit, et c'est une toute petite partie des droits du libre.

            Dur le libre, il ne fait pas ce qu'on fantasme sur ce qu'il fait et il propose tellement plus que le droit de compiler…

            PS : en fait, ce n'est même pas inclusif, le libre ne dit pas de fournir "la chaîne de compilation complète", c'est à toi de te débrouiller, un logiciel compilable que par un compilateur à 1 milliard d'€ reste libre. Sémantique? Non, juste un rappel sur ce qu'est le libre, et Debian par exemple peut compiler et vérifier que parce qu'il ajoute un critère supplémentaire sur la dispo du compilateur (ou peut modifier le code source, libre, pour adapter, il y a souvent des patches).

            • [^] # Re: L’ambiguïté persiste

              Posté par  . Évalué à 6 (+4/-0). Dernière modification le 20/04/20 à 10:16.

              le libre ne dit pas de fournir "la chaîne de compilation complète"

              Yep et parfois ça "délibre" un logiciel à lui tout seul en fait. Certains en font même un business model tellement que c'est chiant à compiler.

              Tu as raison de le rappeler : le Libre c'est 4 libertés précises, ni plus ni moins. Le reste c'est du fantasme perso.

              Et l'origine du Libre (Stallman au MIT qui ensuite donnera le projet GNU) est clairement purement technique : il voulait pouvoir compiler et debugger son pilote d'imprimante, sans devoir attendre un hypothétique fix du fabriquant, point barre.

              En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

              • [^] # Re: L’ambiguïté persiste

                Posté par  (site Web personnel) . Évalué à 6 (+4/-0).

                Et l'origine du Libre (Stallman au MIT qui ensuite donnera le projet GNU) est clairement purement technique : il voulait pouvoir compiler et debugger son pilote d'imprimante, sans devoir attendre un hypothétique fix du fabriquant, point barre.

                Euh, je pense plutôt que ce moment là a été le moment où la notion de logiciel libre a été formalisée.

                * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

                • [^] # Re: L’ambiguïté persiste

                  Posté par  . Évalué à 3 (+1/-0).

                  Oui bien sûr, en soit le libre a existé bien avant le non-libre.

                  En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: L’ambiguïté persiste

      Posté par  . Évalué à 9 (+8/-1).

      la FSF a une idéologie, pas le libre,

      Définis « le libre »…

      la FSF utilise le libre pour autre chose que ce pour quoi le libre est connu et utilisé; ne vous étonnez pas que les gens s'éloignent du mot "libre" pour lui préférer le mot "open source" qui dit clairement qu'il est neutre sur tout ce qui ne touche pas le libre

      Heu… La FSF a une certaine définition du libre car c'est son fondateur qui l'a formalisé (je ne dis pas « inventé » car Stallman lui-même, comme d'autres, dit que c'était un « esprit » qui était déjà présent avant la création de la GPL et de la FSF), donc c'est assez cavalier (mais habituel chez toi) de dire que ce n'est pas la définition « connu[e] et utilisé[e] ». Mais du coup oui alors, que ceux qui ne défendent pas les valeurs de liberté et de vie privée se mettent à utiliser un mot comme « open source », très bien ! Ça désigne effectivement plutôt bien ce qu'ils défendent.

      Mais attention, « défendre » ne veut pas forcément dire intriquer de manière incurable des choses qu'on a du mal à mettre par écrit dans une licence (la « philosophie ») : Stallman a choisit comme outil les quatre libertés, de manière pragmatique, qui ne forcent effectivement pas à être « bon » ; comment pourrais-tu définir ça juridiquement ? C'est très intelligent stratégiquement parlant.

      Encore une fois, tu veux enlever au libre ce pour quoi il a été créé. Je ne sais pas pour qui tu te prends en voulant décréter ça.

      • [^] # Re: L’ambiguïté persiste

        Posté par  (site Web personnel) . Évalué à -1 (+4/-7). Dernière modification le 21/04/20 à 09:31.

        Définis « le libre »…

        Pourquoi donc à chaque que je rappelle la définition du libre telle que définie par tous (FSF, OSI, Debian…), on e demande de la définir?

        Prend la définition de la FSF, ça me va.
        Ouiais, c'est con hein, je ne dis pas que je définis, j'utilise la définition de la FSF…

        Stallman a choisit comme outil les quatre libertés, de manière pragmatique, qui ne forcent effectivement pas à être « bon » ; comment pourrais-tu définir ça juridiquement ?

        Sérieusement, tu ne vois pas? J'en vois plein.
        Par contre, une licence libre réservée aux bons est… non libre, par définition du libre par la FSF :).

        C'est très intelligent stratégiquement parlant.

        J'avoue que oui c'est intelligent stratégiquement parlant… Que de réussir à te faire fournir ton code à des "méchants" en pensant que tu œuvres pour le "bien".

        clap clap.

        Encore une fois, tu veux enlever au libre ce pour quoi il a été créé.

        Tu adaptes la réalité à ce qui t'arrange. Je veux juste te montrer ce qu'est le libre tel que défini et utilisé et utilisable (= interdire d'interdire de limiter aux "gentils", tout le contraire de l'affichage que tu en fais).

        Tu n'aimes peut-être pas le libre, mais ça ne change pas la réalité.
        Après, ce que tu penses n'a pas d'impact sur moi, tant que tu fais de la pub ou du code en libre, vu que tu fais exactement ce que le libre est, et pas ce que tu penses qu'il est.

        Pour revenir à la stratégie… la "stratégie" de RMS ou la tienne me vont, mais j'avoue ne pas savoir comment tu ne vois pas que le libre que tu fais est tout le contraire de ce que tu dis qu'il est… Pas un peu masochiste? En attendant, merci pour ton code libre qui est aussi libre que ce que moi je dis et pas limité comme toi tu voudrais.

        • [^] # Re: L’ambiguïté persiste

          Posté par  . Évalué à 0 (+3/-5).

          T'es chiant, tu fais toujours exprès de pas comprendre, c'est pas comme si on avait pas toujours les même conversations : le libre, c'est être maître de sa machine, avoir le contrôle de son informatique. Ainsi, en contrôlant les programmes, on protège sa vie privée, qui est je le rappelle un droit fondamental défendu par la Déclaration Universelle des Droits de l'Homme. Bien sûr, tout le combat est sur les nuances de ce qui respecte exactement ta vie privée, mais je n'ai pas encore vu de discussion là-dessus ici. Le moyen d'y arriver par les logiciels est de respecter les quatre libertés. Ces quatre libertés sont un moyen d'arriver à un but, putain !

  • # lib de droit ?

    Posté par  . Évalué à 5 (+2/-0). Dernière modification le 20/04/20 à 13:05.

    Peut être que tu peux fournir un lib fine de gestion de droit centré sur le privacy by design.
    On peut imaginer plusieurs niveaux de "privacy by design". Le niveau le plus haut n'aurait pas d'accès à Internet (genre appli de lampe de poche, ou un lecteur de qr code), le suivant n'aurait pas d'accès aux documents qu'il n'a pas créé, etc… On peut suivre les exemples du RGPD.

    android s'est un peu amélioré quand il a rendu possible le fait d'installer un logiciel mais refuser les droits.

    Typiquement demander le droit GPS, uniquement pour une obscure fonction wifi (pour la détection du pays pour les fréquences ?), c'est n'importe quoi.

    Donner l'accès complet aux contacts, uniquement pour avoir le nom d'une personne quand on a le numéro, c'est n'importe quoi, alors qu'il suffit d'avoir un getName(numéro) qui retourne le nom ou un vide.

    Idem pour l'accès complet aux systèmes de fichier (et donc à toutes les photos et document) pour stocker 3 fichiers de cache !

    Bien sûr, il est facile de contourner une telle lib open source. Par contre, un audit devrait très facilement voir le problème (appel système sans appel à lib ou lib modifiée)

    "La première sécurité est la liberté"

  • # Android mieux que PC ?

    Posté par  . Évalué à 6 (+4/-0).

    Bonjour, je tenais juste à réagir à cette remarque :

    "Le monde Android me semble actuellement mieux outillé pour protéger notre vie privée que nos PC tournant sous nos distributions Linux préférées."

    C'est peut être du à une grande méconnaissance d'android et de ce qu'il peut m'offrir, mais j'ai quan dmême cette impression que j'ai plus de possibilités de me protéger sur ma distribution linux.
    Je prends un exemple, au boulot, pour les conférences virtuelles, on utilise un logiciel propriétaire qui fait un peu parler de lui en ces periodes de confinement que j'appellerai "grossissement".
    Maintenant que je suis en télétravail, j'ai deux solution pour assister à ces réunions :
    1) installer le dit logiciel sur mon téléphone android, lui accorder tous les droits qu'il réclame (en gros, quasiment tous) et m'en servir allègrement sans savoir ce qu'il en fait (même si j'ai bien une idée ou deux)
    2) de l'autre coté, sur un PC fixe fonctionnant avec ma distrib préférée, je crée un nouvel utilisateur pour l'occasion, je récupère un installeur que je décompresse dans son home et j'installe les dépendances à la main (ils ont le bon gout de fournir un .deb, ça facilite un peu la tâche), pour le lancer, je n'ai plus qu'à me faire un petit script à base de partage de connection à mon serveur X en lançant l'executable avec les droits de l'autre utilisateur (sudo -i par exemple). Des soucis de sécurité sont tout de même présent (accès au serveur X) mais je trouve ça bien plus limité qu'un accès dont je ne sais rien sur téléphone.

    • [^] # Re: Android mieux que PC ?

      Posté par  . Évalué à 4 (+3/-0).

      3) Utiliser ton navigateur préféré en mode privé (et/ou un autre navigateur/session navigateur) sur le site de "grossissement"

      • [^] # Re: Android mieux que PC ?

        Posté par  . Évalué à 5 (+3/-0).

        C'est une autre solution c'est vrai, je ne l'utilise pas pour deux raisons :
        1) De mon expérience (qui date) dans les réunions avec beaucoup de monde j'ai l'impression qu'il y a plus de soucis de lag avec la version web.
        2) j'utilise beaucoup la navigation privée firefox, et il a le mauvais goût d'être dans le même sandbox pour toutes mes fenêtre et tous mes onglets :/

        Dans l'ideal pour mon utilisation et mes habitudes, j'aimerai pouvoir lancer une fenêtre privée dans une sandbox différente des autres fenêtre privées, mais que chaque onglet de cette fenetre partage la même sandbox (pour les sites avec login, j'utilise beaucoup les onglets)

        Si quelqu'un a sous le coude le nom d'une extension qui saurait me faire ça, ou même juste une option en ligne de commande pour lancer firefox dans ce mode, je prends volontiers.

        • [^] # Re: Android mieux que PC ?

          Posté par  . Évalué à 4 (+3/-0). Dernière modification le 20/04/20 à 19:10.

          J'ai bien une solution mais elle implique de travailler avec un autre profile (à moins que ?):
          1. créer un nouveau profile (about:profiles), sans le mettre par défaut, par exemple "toto"
          2. lancer firefox via la commande (voire créer un lanceur):

          firefox -private-window -P "toto"

          Normalement avec ça, il y a peu de chances que les sites puissent communiquer d'une fenêtre à l'autre.

          Peut-être même que le paramètre "-new-instance" permettrait de faire la même sans créer un nouveau profil.

        • [^] # Re: Android mieux que PC ?

          Posté par  . Évalué à 5 (+4/-0).

          Si quelqu'un a sous le coude le nom d'une extension qui saurait me faire ça, ou même juste une option en ligne de commande pour lancer firefox dans ce mode, je prends volontiers.

          Tu peux peut-être regarder du côté de https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/ (développée par Mozilla).

          • [^] # Re: Android mieux que PC ?

            Posté par  . Évalué à 2 (+0/-0).

            merci à vous deux, je commence par tester cette extension et je garde la solution multi profile de flavien sous le coude.

            • [^] # Re: Android mieux que PC ?

              Posté par  . Évalué à 4 (+2/-0). Dernière modification le 21/04/20 à 18:01.

              Ma solution :

              • Je me suis créé un profil supplémentaire dans Firefox nommé 'Anon' ( about:profiles )
              • Il est paramétré avec l'option "Always use private browsing mode"
              • J'ai créé un simple bash script 'anon' contenant firefox -P Anon &, placé dans mon $PATH

              et dès que j'ai ai besoin je tape anon et voilà.

              Optionnel : je l'ai aussi synchronisé avec Firefox Sync mais uniquement pour les mots de passe. Comme ça mes mots de passe sont accessibles sur mes divers profils FF, l'autre profil conservant également les marques-pages, l'historique et les plugins.

              Ça permet aussi d'avoir un profil supplémentaire pour le développement par exemple quand je dois débloquer uBlock ou Noscript pour accéder à des pages Facebook ou à la console Google de certains clients. Donc j'ai un profil supplémentaire qui ne retient rien mais qui ne bloque rien. Et tout disparaît à la fermeture.
              Ça permet également de gérer les plugins différemment selon le profil. Mon profil FF de travail utilise LeechBlock pour bloquer mon réflexe d'ouvrir Reddit ou linuxfr.org dès que j'ai une baisse d'attention/motivation. C'est curieusement efficace, j'ouvre vraiment DLFP par réflexe, sans même y penser donc ça me remet sur "le droit chemin". Maintenant si je veux procrastiner sur DLFP je dois ouvrir un nouveau profil et juste ce step supplémentaire me dissuade… parfois 🙃

    • [^] # Re: Android mieux que PC ?

      Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

      "Le monde Android me semble actuellement mieux outillé pour protéger notre vie privée que nos PC tournant sous nos distributions Linux préférées."

      A priori Android contient plus de parties non libres que n'importe quelle distribution, en outre le système est développé par une entreprise qui n'est pas nécessairement amie de la vie privée. Donc non, Android n'est pas mieux outillé. Surtout que F-Droid ne couvre pas tous les besoins, donc on se retrouve rapidement à installer une application qui empiète sur la vie privée, ce qui est plus rare avec ta distribution qui a des équivalents pour presque tout.

      • [^] # Re: Android mieux que PC ?

        Posté par  . Évalué à 2 (+1/-0).

        Le monde Android était à comprendre via F-Droid sur LineageOS ou /e/OS. Je l'avais précisé plus haut, il est clair que F-Droid seul n'a pas de sens sur une base douteuse.
        Concernant la disponibilité des applications dans F-Droid c'est assez dépendant des usages mais personnellement je ne me sens pas plus contraint que sur Debian.

    • [^] # Re: Android mieux que PC ?

      Posté par  . Évalué à 2 (+1/-0).

      Comme indiqué dans le journal, les logiciels propriétaires ne m'intéressaient pas ici.
      La question de l'isolation d'un logiciel suspect est cependant intéressante. Et il est probable là dessus que le monde PC ait plus d'outils qu'Android. Je n'ai pas testé car je n'utilise que des app libres avec des anti-fonctions qui me paraissent acceptables, mais il semble qu'il existe pour cela sur Android un système de Work Profile et une appli Shelter dans F-Droid.

      • [^] # Re: Android mieux que PC ?

        Posté par  . Évalué à 3 (+1/-0).

        Dans ce cas là je comprends mieux ton approche, et c'est moi qui ai répondu un peu à coté.

        Du coup ça me fait plus penser, dans le monde linux, aux capabilities. Même si cela à l'air d'être à un niveau plus bas.
        Sinon pour se prévenir de logiciels malveillants ou de bug, l'approche android est pas si mal. Faire tourner les logiciels suspets dans une sandbox et ne leur donner un accès que très restreint au ressources de la machine à travers une API contrôlée.
        je ne sais pas si la granularité des capabilities sur les appels systèmes serait suffisante pour faire cela. Et dans tous les cas, je ne vois pas la possibilité de limiter l'acces au système de fichier seulement à un dossier. Sauf à exécuter dans une sandbox, ce qui revient à la solution android au final.

  • # Label libre cohérent?

    Posté par  (site Web personnel) . Évalué à 6 (+5/-2).

    Pendant longtemps on avait un état d'esprit un peu flou mais globalement favorable aux utilisateurs et à leurs libertés.

    Petit à petit le libre s'est réduit au strict respect de quelques licences et points juridiques.

    Certains en ont profité pour faire un libre lavage et ajouter des antifritures.

    Il s'est produit la même chose lorsque l'agriculture biologique s'est structurée pour aboutir à un label largement répandu mais limité (le label bio européen) et des labels plus exigeants (Bio Cohérence).

    Peut être qu'il est temps de créer un label "libre cohérent" qui engage les auteurs d'un logiciel libre à ne pas lui adjoindre des antifritures?

    Incubez l'excellence sur https://linuxfr.org/board/

    • [^] # Re: Label libre cohérent?

      Posté par  . Évalué à 4 (+3/-0).

      Est-ce un label "cohérent" du libre qui est le plus souhaitable ou bien de garder le label libre tel qu'il est aujourd'hui et définir à côté de cela un label antifriture ?

      Il me semble que ce serait plus clair d'avoir ces deux "labels" sur des propriétés différentes que d'avoir deux labels du libre, celui des "industriels" et celui des "fundis".

      Surtout, ne pas tout prendre au sérieux !

    • [^] # Re: Label libre cohérent?

      Posté par  (site Web personnel) . Évalué à -7 (+2/-11). Dernière modification le 22/04/20 à 09:51.

      Pendant longtemps on avait un état d'esprit un peu flou mais globalement favorable aux utilisateurs et à leurs libertés.

      Pendant longtemps certaines personnes ont fantasmé sur plus que ce qu'est le libre ne le nommant libre.

      Peut être qu'il est temps de créer un label "libre cohérent" qui engage les auteurs d'un logiciel libre à ne pas lui adjoindre des antifritures?

      Chiche!
      Par contre, petit avertissement : tu va te fritter avec beaucoup de monde, qui considérera que ton "libre cohérent" ne l'est pas.
      Par exemple "libre cohérent" ça comprend art libre ou pas? Si la réponse et non j'éclaterai de rire sur ta supposée cohérence libriste car tu exclus des logiciels libre les jeux vidéos par exemple ou juste les interface graphique un peu poussées et si la réponse est non RMS te boudera pour te dire que c'est pas l'important et qu'il est hors de question que ses discours soient libres.
      Ou le non commercial, tu l’acceptes ou pas? Pas mal de gens qui disent aimer le libre pour ses "idées" (sic) voudraient que le non commercial soit accepté. C'est 0% libre, mais parait que ce n'est pas incohérent (ha ha ha).
      Et celui qui veut utiliser ton code pour construire une bombe nucléaire, il est dans ton "libre cohérent" ou pas? Quel critère si tu ne le souhaite pas?

      des antifritures?

      Définit "antifritures". Par exemple quelques personnes définissent de la bête télémétrie anonyme comme une atteinte gigantesque à leur vie privée quand d'autre ne voient aucun rapport.

      alors chiche, amuse-toi à tenter ton label, perso je me pose et profiterai du spectacle où personne ne sera d'accord, et compter le faible nombre des gens qui y adhèrent.

      Note : rien de nouveau avec le libre, on peut par exemple regarder les "protecteurs des travailleurs" qui sont tous contre les "méchant employeurs" mais quand il faut proposer une alternative et donc du concret plutôt que des grandes paroles bien contre mal, ils présentent un joli spectacle avec 36 partis politiques qui disent que le voisin n'a pas la bonne définition de "gentils" et au final c'est Macron qui passe par la par hasard et gagne.

      Il s'est produit la même chose lorsque l'agriculture biologique s'est structurée pour aboutir à un label largement répandu mais limité (le label bio européen) et des labels plus exigeants (Bio Cohérence)

      J'ai lu sur le "Bio Cohérence" une dimension environnementale, mais je n'arrive pas à trouver d'info sur le vin, peux-tu me dire la "règle" sur le vin, les vins bios que je connais étant une insulte à l'environnement (pour éviter le sulfite il balancent une tonne de cuivre dans les terres et les producteurs de vin bio se frittent avec l'UE qui veut réduire l'usage du cuivre pour limiter la pollution)?

      oui, il y a l'affichage de "cohérence" et puis la réalité avec quelques incompatibilités entre les 36 "priorités" mis ensemble… :-D


      Le libre tel que tu le connais a du succès car il est bien plus large que ce que tu veux en imaginer. Réduit le à ce que tu imagines, et il n'y a plus foule. Perso j'aimerai tellement que tu réussisses à créer ton label "libre cohérent" car il permettrait de voir qui est libriste et qui est non libriste en réalité (oui, je parie que ton code qui aura une licence "libre cohérent" ne sera pas considéré libre par les acteurs du libre comme Debian, Fedora, ou même F-Droid). J'aimerai que tu définisses ton "libre cohérent" déjà pour savoir si il est du libre avec des idées en plus pour faire "mieux" sans être incompatible avec le libre où si c'est juste incompatible.

      Car la réalité est sans doute que pas mal de monde se disant libriste n'aime en réalité pas les 4 libertés du libre qui laissent bien trop de libertés, juste qu'ils ne veulent pas montrer qu'ils ne sont pas vraiment libristes alors que c'est à la mode.

      • [^] # Re: Label libre cohérent?

        Posté par  . Évalué à 3 (+2/-1).

        On est d'accord que tu es en train de descendre en flammes un truc qui n'existe pas, mais surtout dont on ne connaît pas la teneur ? Le seul truc qu'on sait sur son idée c'est "qui engage les auteurs d'un logiciel libre à ne pas lui adjoindre des antifritures"
        Oui, le libre ce sont les 4 libertés mais est-ce qu'il faut pour autant se priver de réfléchir sur des évolutions possibles si on constate des dérives sur "des trucs" (obligé d'utiliser un vocabulaire flou vu que toute l'idée est flou…) D'ailleurs il y a plein de manières différentes de faire du libre puisqu'il existe X licences libres qui ne sont pas toutes identiques donc il y a bien moyen de respecter les 4 libertés et préciser "des trucs."
        Ou ptêt même, comme ceux qui aiment le NC, qu'il veut adjoindre un label qui casse le libre. Il a le droit ou pas ? Tu étais le 1er à critiquer ceux qui ne jurent que par le libre en leur faisant remarquer que leur BIOS ne l'était pas. Bin on peut aimer des aspects du libre et pas d'autres : NC, trop de libertés aux fabriquants de bombes, antifritures, que sais-je… Perso je m'en fous mais pourquoi tuer le débat sous prétexte de "T'as cassé une des 4 libertés => c'est pas libre => dégage".

        • [^] # Re: Label libre cohérent?

          Posté par  (site Web personnel) . Évalué à -2 (+0/-5).

          C'est Zenitroll, il milite pour une version restrictive du libre parce que c'est rigolo de défendre les DRM, le tracking ou la torture d'enfants.

          Incubez l'excellence sur https://linuxfr.org/board/

    • [^] # "Bio Cohérence" et tes principes

      Posté par  (site Web personnel) . Évalué à -6 (+2/-10). Dernière modification le 22/04/20 à 10:18.

      Parlons des tes principes, devnewton, toi qui a parlé d'un truc "bien" comme "bio cohérence" tout en voulant parler de vie privée dans le libre

      et des labels plus exigeants (Bio Cohérence).

      J'ai tenté de lire
      https://www.biocoherence.fr/bio-coherence/les-grands-principes

      note le s à https, mais… Ils me redirigent vers http, vie privée volontairement (et sans donner mon consentement à ce qu'ils disent à mon FAI la page que je visite) à 0 par rapport à mon FAI qui voit la page que je consulte et peux la modifier sur la route.
      Firefox bloque connect.facebook.com, vie privée 0 sans le bloqueur Firefox
      Firefox bloque google-analytics.com, vie privée 0 sans le bloqueur Firefox
      Tu parles d'éthique… Et ça c'est en analyse très rapide, sans essayer de challenger le bel affichage qu'ils ont sur le bio lui-même.

      Bref, ton "bio cohérence" te dis un gros "rien à foutre" sur ta vie privée, chose que j'avais cru important pour toi, quelle cohérence as-tu à parler en bien d'un truc opposé à un principe important pour toi?

      • [^] # Re: "Bio Cohérence" et tes principes

        Posté par  . Évalué à 1 (+5/-6).

        Oh, ta gueule, tu deviens lourd à répéter la même chose en boucle aux mêmes personne.

        Tu t’attends à quoi? Que devnewton te réponde “ah oui, effectivement, t’as raison je me suis trompé”?
        Ca fait plus de dix ans que tu répètes les meme 4 trolls éculés plusieurs fois par jours aux mêmes intervenants, avec les mêmes résultats (a savoir, aucun).

        Tourne la page.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.