L'article fait vraiment le tour de ce qui ne va pas avec F-Droid, sans pour autant dire que c'est impossible de corriger le tir.
Mais je trouve qu'il minimise grandement le problème Play Store. Il est :
- Impossible de savoir si une application est libre, et de trouver son code source
- Impossible de savoir si une application pratique le suivi des utilisateurs
- Difficile de savoir si les recommandations ne sont pas là pour nous faire baver
F-Droid télécharge un index complet, local, et on peut faire des recherches dedans. Sans compte. La critique sur Aurora Store est particulière :
I’d recommend against using the shared “anonymous” accounts feature: you should make your own throwaway account with minimal information.
Je ne devrais même pas avoir besoin d'un compte chez un tiers pour installer un logiciel sur une machine qui m'appartient. Surtout quand ce tiers a la possibilité de supprimer ces mêmes applications sans ma permission.
Le Playstore est tellement bordelique et pollué par des apps néfastes qu'il est plus facile de chercher des apps sur duckduckgo et github et d'utiliser le lien qui pointe sur le playstore que de les chercher directement dessus.
Par exemple, quand je lis : « F-Droid requires that the source code of the app is exempt from any proprietary library or ad service, according to their inclusion policy. Usually, that means that some developers will have to maintain a slightly different version of their codebase that should comply with F-Droid’s requirements. Besides, their “quality control” offers close to no guarantees as having access to the source code doesn’t mean it can be easily proofread. » Rien que ça me fait dire que son avis est partisane. Tourner les choses de sorte à faire croire que les deux gus (je prends ce nombre pour aller dans son sens et en partant du principe qu'il a aussi peu de ressources chez F-Droid pour faire le taf) qui vont revoir le code en plus de la relecture initiale du dev ne compte pas… Histoire que le quidam qui lit rapidement pense que l'auto-review du dev se suffit ou que la boutique de G fait mieux (alors qu'aucun humain ne va jamais regarder.) Et la pleurniche que les développeurs doivent maintenir deux versions ; si c'est si dérangeant pourquoi ne pas maintenir que la seule version propre (sans pisteurs) ? Et les devs qui ont une version à pub et une version payante sur l'infâme store G ont deux têtes ?
Dans le même paragraphe, il/elle poursuit par : « Saying Play Store is filled with malicious apps is beyond the point: the false sense of security is a real issue. Users should not think of the F-Droid main repository as free of malicious apps, yet unfortunately many are inclined to believe this. » Je ne vois pas le souci quand on parle de « sentiment de sécurité » vu que ça reste du ressenti… De plus, glisser ça là et en gras alors le paragraphe commence en rappelant le contrat morale, c'est un peu comme un Z qui ramène tous les maux (y compris le réchauffement climatique) aux muslmans. Il s'agit du « respect de la vie privée » avant tout, et perso quand une appli ne me piste pas et respecte mes données je me sens plus en confiance avec elle.
Plein de coups de canifs comme ça, comme si de rien n'était, après avoir commencé son article en jurant qu'il ne fait pas d'attaque gratuite et d'idéologie. Tout ça pour quand même, à coup de sophismes, remettre le choix du respect de la vie privée en cause. Ça me va très bien que ce soit F-Droid qui signe les paquets sur lesquels il s'engage : ce n'est pas une relation tri-partite comme il a voulu laisser croire …parce-que si j'ai confiance en le/la dév, et qu'il/elle génère ses paquets, je n'aurais eu qu'à récupérer les paquets sur leur site/dépôt. …la seule autorité de confiance ici c'est F-Droid, et avec elle, je sais que je vais avoir la fameuse seconde version sans la pomme empoisonnée sur le gâteau !
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Auteur ici. J'apprécierais (vraiment) si l'on évite les rapprochements douteux avec des opinions politiques, car si certains pensent que chacun est politisé, les actions ne le sont pas forcément. L'écriture de cet article n'a aucune motivation politique, mais elle suit effectivement une démarche personnelle et n'a pas eu vocation à être partagée massivement.
J'explique justement, parfois en longueur, mon approche pragmatique de la vie privée. Je n'incite pas à se livrer en pâture à Google ou n'importe quelle big tech sans raison. Je demande simplement que l'on regarde objectivement les défauts des solutions FOSS actuelles, ce qu'on peut faire de mieux, et de potentielles alternatives.
la seule autorité de confiance ici c'est F-Droid, et avec elle, je sais que je vais avoir la fameuse seconde version sans la pomme empoisonnée sur le gâteau
C'est faux, et je ne sais pas pourquoi ce mythe est souvent répandu de la même façon pour les paquets des distributions classiques Linux. L'article explique justement que ce principe ne tient pas la route et que vous devez quoiqu'il arrive faire confiance aux développeurs upstreams, et que pour votre vie privée, vous avez davantage intérêt à faire confiance aux garanties offertes par l'OS qu'une vérification très basique du code source (et je suis gentil). C'est juste, à mon sens, du bon sens. Encore une fois, je suis tout à fait compréhensif de la culture libre, mais ce n'est vraiment pas la vision de cet article.
Encore une fois, j'aimerais que les réponses soient plus pertinentes que des "meh biais/sophisme" sans prendre la peine de bien lire les articles et ses références, bien qu'il est évident que nous avons un désaccord de principe (et ce n'est pas la fin du monde, il y a bien pire qui se passe actuellement).
Il va de soi que nos actions quotidiennes ne sont pas politiques en apparence. Mais comme nos actions sont fortement empreintes par nos conditionnements parfois inconscients, il se trouve que nous faisons de la politique à chaque instant à notre insu. Ceci dit, la motivation politique ou non sous-jacente n'est pas questionnée dans mon propos ; je pointe juste une vision (politique ?) sous-jacente qui peut être consciente ou pas.
La preuve est que faire le constat amère que les « garanties offertes par l'OS » ne sont pas suffisantes valent d'être taxé de propager un mythe. :-) Un grand point de désaccord est donc que moi je considère que la seule confiance dans des garanties qui ont fait les choux gras de la presse ne suffit pas, et qu'une vérification du code (même si elle n'est que sommaire pour l'instant) est un plus que je prends allègrement. À l'inverse, vous considérez (de ce que je comprends de la réponse ici) que les deux aspects s'excluent mutuellement. J'entends le fait bien que n'y adhérant pas. De même moi je considère qu'il y a des « fonctionnalités » dont je n'ai pas besoin et que je n'ai pas de raison de les avoir même offertes gracieusement, là où vous estimez que je dois prendre tout ce qu'on me refourgue et faire confiance aux développeurs. J'entends bien le point et dis juste que dans d'autres référentiels de pensée il y a d'autres façons de voir les choses. Désolé de vous avoir heurté.
J'oubliais. L'un des problèmes du web est qu'on ne sait pas forcément quelle portée ce qu'on publie va avoir, et on peut avoir la surprise d'être lu massivement (ou l'inverse quand on s'attend à être lu.) Partant, on peut se retrouver confronté à des cultures dont les valeurs sont diamétralement à l'opposé des nôtres. Et je parle aussi sans considération politique (enfin je crois et espère) et sans lien avec la culture libre de prime abord, mais voilà j'ai du mal à faire confiance à des développeurs (et du code) qui n'ont pas certaines valeurs éthiques. :-/
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Nous avons effectivement des référentiels de pensée différents, peut-être opposés (nous ne sommes pas allés dans le détail non plus), et vraiment je n'ai aucun problème avec cela. La diversité d'opinions est une bonne chose. Malgré tout, je ne pense pas que tout peut être relativisé. Il y a des faits dont peut vérifier l'authenticité. Je ne dis pas que mes articles sont dépourvus de biais, car évidemment des biais même inconscients peuvent se glisser dans ma façon d'agir. J'essaie quand même au maximum de promouvoir les analyses objectives, qui sont parfois froides, mais nécessaires. Je vais essayer d'expliquer brièvement ma pensée sur le sujet.
Pour remettre dans le contexte, Android est un système d'exploitation moderne qui se démarque des autres systèmes traditionnels par son application des bonnes pratiques, notamment un écosystème d'applications signées qui sont contenues dans des sandbox très restreintes. Ce dernier permet l'établissement d'un modèle de permissions qui se modernise au fur et à mesure des itérations d'Android. Ce sont les garanties "fortes" dont je parle. Si je souhaite qu'une application n'ait pas accès à mes contacts, elle ne doit pas avoir accès. Si je souhaite qu'elle ait accès à un dossier, je lui donne la permission pour ce dossier seulement.
Je pense effectivement que la disponibilité du code source ne doit pas être une préoccupation majeure dans le cadre d'une approche pragmatique (et pas forcément éthique), tant le code source peut être complexe à comprendre et auditer. De plus, les applications Android sont souvent précompilées en bytecode Dalvik, qui peut toujours se soumettre à l'ingénierie inverse. Le modèle de développement d'un logiciel quel qu'il soit ne doit pas être un feu vert automatique pour savoir que ce dernier fait seulement ce qu'on attend de lui, ou ne contient pas de code vulnérable inconnu du développeur. C'est pour cela que j'insiste sur les garanties fortes permises par des OS modernes. Je vous assure qu'elles sont suffisantes pour l'écrasante majorité des cas, il incombe ensuite à l'utilisateur de décider des permissions à accorder. Les permissions invasives ne sont jamais octroyées par défaut sur de tels OS.
Pour revenir à F-Droid : par leur "contrôle qualité offrant peu de garanties", j'entends que beaucoup de personnes se contentent de F-Droid en tant qu'autorité pour déterminer si une app est sûre ou non. La réalité est que F-Droid n'audite en rien le code source, et lance simplement des scripts pour chercher des trackers connus ; ce qui encore une fois, est une approche que je trouve faible. J'insiste donc sur le fait que F-Droid est une partie intermédiaire qui ne se substitue en rien à la confiance au développeur upstream. Et on ne peut pas leur en vouloir, il n'est pas raisonnable de se lancer dans des audits de code source qui sont humainement laborieux et imprécis.
Je propose donc de placer cette confiance, pour ceux qui souhaitent suivre une approche pragmatique encore une fois, dans le modèle de sécurité robuste de l'OS. C'est évidemment encore mieux sur GrapheneOS qui ajoute un toggle permettant de révoquer la permission INTERNET (coupant cout les tentatives d'exfiltration), et un autre permettant de fournir des données de capteur nullifiées. Mais même Android upstream s'améliore comme dit : cf. les permissions Nearby Devices, et l'ajout à venir d'un sélectionneur granulaire de photo dans MediaProvider, le scoped storage en vigueur depuis le niveau d'API 30. Même s'il y a exfiltration, l'application ne peut avoir accès qu'aux permissions qu'on lui donne à la base, et donc à des types de données précis. Il est tout à fait possible qu'en pratique les applications open-source soient plus enclines à respecter la vie privée. Cependant, je propose tout simplement de ne pas placer cette forme de confiance tout en haut de la hiérarchie, car elle relève de l'appréciation personnelle et du modèle de menace de chacun.
Je n'ai évidement aucun problème avec le logiciel libre et la culture libre dans son ensemble. Il est vrai qu'à titre personnel je ne m'y reconnais plus bien qu'elle ait bercé mon adolescence (je lisais d'ailleurs linuxfr depuis plus de 10 ans), et je lui dois la découverte de nombreux projets. Dans cet article je m'adresse seulement à des faiblesses de F-Droid, et je souhaite réellement voir émerger d'autres alternatives plus en accord avec le modèle de sécurité pensé par et pour Android, qu'elles viennent de GrapheneOS ou d'ailleurs. Les gens sont libres de continuer à utiliser F-Droid, de leur faire confiance, j'expose simplement quelques problèmes dont certains peuvent être réglés par F-Droid pour le bénéfice de tous.
Posté par jyes .
Évalué à 8.
Dernière modification le 27 février 2022 à 10:20.
C’est la même rengaine que lors du journal sur GrapheneOS. Vous présentez une vision de la sécurité qui se focalise presque exclusivement sur la chaîne de confiance et particulièrement sur sa mise en œuvre cryptographique. Sur un site avec un lectorat (au moins en grande partie) libriste, forcément ça passe mal. Par exemple, en début de crise Covid les applications de visio comme Zoom étaient très décriées ici, la « sécurité » de les savoir signées par leurs développeurs plutôt que par le magasin d’applications n‘apporte pas plus que de savoir que ces applis tournent sur un système dont le boot est signé. Sur Android, la principale menace ce sont les applications, et une solution qui convainc forcément mieux les libristes que les signatures cryptographiques, c’est d’essayer de proposer des applications de qualité et respectueuses des utilisateurs.
Personnellement je suis convaincu que pour cela, publier le code source et effectuer un recensement des antifonctions comme le fait F-Droid est plus efficace qu’une solution crytpographique, aussi élégante soit elle sur le papier. Bien sûr, comme toujours, c’est limité par la faible capacité d’audit de la communauté. D’ailleurs, même dans des communautés beaucoup plus grandes que F-Droid il y a de jolis ratés (OpenSSL chez Debian, ça a marqué les esprits). Mais ce n’est pas en surprimant la possibilité d’auditer qu’on améliore la situation, comme le pointait Gil Cot dans son commentaire, ce à quoi j’ajoute que ce n’est pas en faisant signer par ses développeurs un paquet non audité qu’on l’améliore non plus.
Alors accuser F-Droid de “weakening the Android security model”, ouais, c’est biaisé et un peu génant quand même. De toutes les applis signées par leurs développeurs disponibles sur le Play Store, il n’y en a pas beaucoup que j’installerais sans craindre pour la sécurité de mes données et de ma vie privée.
Je vais faire fi de la simplification douteuse que vous faites de ma vision de la sécurité, car non, ça ne se résume pas à une "chaîne de confiance cryptographique". Il ne faut pas tout mélanger, même si effectivement ce journal était déjà la preuve d'un désaccord fondamental.
Vous partez également du postulat que la disponibilité publique du code source est une nécessité pour être audité. C'est simplement faux, ce serait oublier que le code source peut être disponible sur demande, que l'ingénierie inverse existe, et plus particulièrement dans le domaine dans le sécurité des outils comme le fuzzing et les MITM. Avoir le code source c'est bien, mais étudier le code qui est distribué, c'est tout à fait possible. Ce billet résume assez bien ma pensée : https://seirdy.one/2022/02/02/floss-security.html
Il n'y a rien à voir avec une "solution cryptographique" là-dedans, c'est simplement comment les choses fonctionnent dans la vie réelle.
Alors accuser F-Droid de “weakening the Android security model”, ouais, c’est biaisé et un peu génant quand même. De toutes les applis signées par leurs développeurs disponibles sur le Play Store, il n’y en a pas beaucoup que j’installerais sans craindre pour la sécurité de mes données et de ma vie privée.
Biaisé par rapport à votre vision de la sécurité informatique, peut-être, mais certainement pas biaisé par rapport à la documentation qui fait état du modèle de sécurité d'Android et des device/user management APIs qui considèrent qu'un store = une source et pas autrement. F-Droid court-circuite fondamentalement cela. Il n'y a rien de compliqué à comprendre, et ça n'a rien à voir avec le débat que j'évoque ci-dessus en soi. Je veux idéalement des solutions FOSS qui ne font pas des compromis qui ne sont pas nécessaires.
Sur un site avec un lectorat (au moins en grande partie) libriste, forcément ça passe mal.
Je n'ai jamais demandé à ce que mes articles soient publiés ici, car je sais d'avance que le lectorat libriste a ses propres valeurs qui ne sont pas les miennes. Bien évidemment, je ne peux contrôler comment mes articles sont partagés donc encore une fois, je n'en veux pas aux personnes de mal réagir. Je déplore simplement une perte de temps des deux côtés, et, de mon côté en tout cas, parfois de la stupéfaction et de la déception.
C'est exactement cela : des référentiels de pensée différents :-) Et des biais, j'en ai aussi (dont je n'ai pas toujours conscience malheureusement.)
Je ne remets pas en cause le système du robot vert et ses « garanties "fortes" » (même si la présence/possibilité de choses comme Pegasus de NSO font que ma confiance ne dépasse pas les 90% pour être gentil…) J'entends que le modèle de permission se modernise à chaque itération (et si je donnais un pourcent de plus à chaque fois, il en reste dix pour que je sois complétement acquis ; sans compter qu'il faut changer de matériel à chaque itération et que je ne trouve pas ça très écologique mis à part les problèmes —et améliorations— qu'apportent les nouveaux modèles… mais c'est un autre débat, refermons la parenthèse qui montre qu'en terme de référentiels j'ai déjà un souci d'adhérence aux fondamentaux économico-industriels.)
Je comprends aussi que la gestion des permissions vous suffise et cela montre la différence de nos approche. Dans le cas d'espèce on est en aval alors que je préfère être en amont. Pour faire une analogie, c'est comme dire « il n'y a rien à craindre de ces fauves puisque vous avez les clés de la cage et le fouet » [à la maison comme au cirque] alors que pour moi on ne devrait simplement pas avoir ces molosses chez soi : ça ne remet pas en cause les mécanismes de sécurité. De plus, le réglage fin des permissions n'est pas encore répandu [i.e fragmentation/renouvellement du parc] et les permissions par défaut n'ont jamais été satisfaisantes (de plus certaines ne seront jamais remises en cause car intégré au business-model de G [on l'a évoqué aussi ici]
Je suis d'accord que que F-Droid ne fait pas un « audit de sécurité » (seul sens dans lequel les réponses et l'article réduisent le mot « audit » hélas) et il m'arrive souvent de reprendre des gens autour de moi sur ce point. Leur objectif et leur outillage n'est pas pour rechercher des failles de sécurité et l'équipe, déjà réduite, ne s'amuse pas à réécrire le s codes selon un certain nombre de bonnes pratiques sécuritaires. F-Droid fait un « audit éthique » et cet aspect est aussi important pour des personnes comme moi. On peut trouver « l'approche faible » quand on en a rien à cirer de l'éthique ; c'est comme les consommateurs de produits hyper transformés qui se moquent des adeptes de produits bio… (-:
Il ne faut pas voir la chose forcément sous l'angle « logiciel libre » ; ce serait un autre biais que celui de piétiner l'éthique au nom d'un certain pragmatisme. Pour ma part, j'ai quelques rares applications non libres d'une part. D'autre part, une institution en laquelle j'ai assez confiance pour leur confier mon argent, je ne veux pas installer pour autant leur application qui n'a pas certaines valeurs éthiques et de respect de la vie privée ; choses qui m'importent plus qu'un pseudo-pragmatisme. Concernant les permissions qu'on peut refuser/retirer, je préfère encore une fois que l'application n'ait pas besoin de ça, et quand le contrat de base ou cahier des charges ne convient pas c'est un stop purement et simplement pour moi.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Le modèle de sécurité de Android est quand même vachement bien pensé et implémenté. Il a mis longtemps à arriver dans cet état, mais voilà, on finit avec quelque chose qui tient la route, tant du point de vue de l'utilisateur que de la sécurité (la fameuse histoire du compromis).
Le Google Play Store est toxique, et c'est ce que j'essaye de mettre en avant. Il demande un compte, même « factice » qui permet de suivre mes usages. Et il donne accès à une autorité tierce pour supprimer sans ma permission des logiciels. Je ne sais même pas pourquoi ce n'est pas encore envisagé comme angle d'attaque dans le monde juridique actuel. Bref.
Les magasins alternatifs tels que F-Droid sont nés de ce constat, et ont donc évité soigneusement ces écueils. Comme tous les libristes, j'ai des grosses œillères quand il s'agit de voir les défauts d'un logiciel libre et promouvant ses valeurs. Donc j'apprécie fortement ces contrepoints. Qui en plus sont techniquement recevables, et proposent des solutions : il est coûteux de le faire, mais faire évoluer le modèle de confiance de F-Droid est possible.
Rien que pour ça, j'ai « pertinenté » les commentaires. Le point de vue est différent, les arguments sont détaillés. Ils peuvent ne pas plaire, mais pour une fois que c'est ouvert à la discussion, laissons là s'installer.
Je ne pourrais pas me passer de la liberté d'installer les logiciels que je souhaite sur mon ordinateur. Quand je vois le chemin qu'emprunte Windows 11, je suis abasourdi. Et en même temps, je constate qu'importer le modèle de sécurité des systèmes mobiles sur les ordinateurs de bureau ne serait pas … inutile.
Tout à fait, Android a fait un long chemin ! Il devient au fur et à mesure une référence en matière d'OS robuste pour la sécurité et la vie privée, sans sacrifier à l'usage. Et en plus, c'est open-source : peut-être pas "libre" au sens où la communauté de LinuxFr l'entend au sens où il y a peu de place à la contribution communautaire, mais open-source quand même. Je pense que c'est un plus, je le décris même dans mon idéal de la sécurité basée sur l'évidence soutenue par la fameuse Zero Trust Security comme diraient les anglophones.
Quant au Play Store, vous avez le droit de soulever des problématiques à l'encontre de ce service. Le but de cet article n'est pas de glorifier l'usage du Play Store, en fait, je le compare dans certains aspects à F-Droid pour mettre à mal ce dernier. Oui, ça fait mal, c'est normal. Mais ici il n'est pas question de manquer de respect à une éthique ou une culture (libre en l'occurence) quelle qu'elle soit : vous pouvez même voir cet article comme une contribution. Tout est question de perspective. Pour ma part, j'ai choisi de mettre en lumière ces défauts et de contribuer à une alternative qui reprendra depuis le début avec des choix radicalement différents, expliquant que je ne puisse pas contribuer à F-Droid directement. Mais je leur souhaite tout le meilleur, vraiment.
Pour revenir au Play Store, oui, il est loin d'être parfait. Oui, des questions de vie privée ont parfaitement le droit de se poser dès lors qu'un compte est demandé pour accéder à un service essentiel sur Android. Rien de tout cela n'est remis en question, je comprends l'existence de F-Droid. Je mentionne même que je conseille l'utilisation du Play Store sur GrapheneOS car il n'y est pas privilégié, dans le sens où je ne serais moi-même pas forcément à l'aise si je venais à l'utiliser sur un autre OS qui l'intègre dans une sandbox dédiée moins restreinte. GrapheneOS illustre parfaitement que c'est possible, et Google aurait dû le faire comme ça : oui, les services Play (même reproche fait à microG) affaiblissent aussi dans un sens le modèle de sécurité d'Android.
Pour finir, il faut évidemment considérer la sensibilité de chacun : son modèle de menace, sa culture, ses préférences. Mais parfois, certaines analyses froides sont nécessaires, justement pour informer un maximum de personnes, les aider dans ce choix, et contribuer in fine à développer des solutions respectueuses sur tous les plans. C'était simplement mon intention, je comprends qu'elle puisse susciter de vives réactions car j'ai occulté des aspects importants qui méritent vraiment d'autres articles.
# Désaccord de principe
Posté par Glandos . Évalué à 10.
L'article fait vraiment le tour de ce qui ne va pas avec F-Droid, sans pour autant dire que c'est impossible de corriger le tir.
Mais je trouve qu'il minimise grandement le problème Play Store. Il est :
- Impossible de savoir si une application est libre, et de trouver son code source
- Impossible de savoir si une application pratique le suivi des utilisateurs
- Difficile de savoir si les recommandations ne sont pas là pour nous faire baver
F-Droid télécharge un index complet, local, et on peut faire des recherches dedans. Sans compte. La critique sur Aurora Store est particulière :
Je ne devrais même pas avoir besoin d'un compte chez un tiers pour installer un logiciel sur une machine qui m'appartient. Surtout quand ce tiers a la possibilité de supprimer ces mêmes applications sans ma permission.
Enfin, il pointe vers une future application (https://github.com/GrapheneOS/Apps) qui est prometteuse. Et vers une tentative de dépôt d'applications qui corrigerait les manquements de F-Droid et Aurora Store (https://nitter.fdn.fr/lberrymage/status/1475307653089792003), même si ce n'est qu'un projet. C'est quand même une bonne note de fin.
[^] # Re: Désaccord de principe
Posté par Psychofox (Mastodon) . Évalué à 8.
Le Playstore est tellement bordelique et pollué par des apps néfastes qu'il est plus facile de chercher des apps sur duckduckgo et github et d'utiliser le lien qui pointe sur le playstore que de les chercher directement dessus.
[^] # Re: Désaccord de principe
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 9.
Article quand même biaisé je trouve.
Par exemple, quand je lis : « F-Droid requires that the source code of the app is exempt from any proprietary library or ad service, according to their inclusion policy. Usually, that means that some developers will have to maintain a slightly different version of their codebase that should comply with F-Droid’s requirements. Besides, their “quality control” offers close to no guarantees as having access to the source code doesn’t mean it can be easily proofread. » Rien que ça me fait dire que son avis est partisane. Tourner les choses de sorte à faire croire que les deux gus (je prends ce nombre pour aller dans son sens et en partant du principe qu'il a aussi peu de ressources chez F-Droid pour faire le taf) qui vont revoir le code en plus de la relecture initiale du dev ne compte pas… Histoire que le quidam qui lit rapidement pense que l'auto-review du dev se suffit ou que la boutique de G fait mieux (alors qu'aucun humain ne va jamais regarder.) Et la pleurniche que les développeurs doivent maintenir deux versions ; si c'est si dérangeant pourquoi ne pas maintenir que la seule version propre (sans pisteurs) ? Et les devs qui ont une version à pub et une version payante sur l'infâme store G ont deux têtes ?
Dans le même paragraphe, il/elle poursuit par : « Saying Play Store is filled with malicious apps is beyond the point: the false sense of security is a real issue. Users should not think of the F-Droid main repository as free of malicious apps, yet unfortunately many are inclined to believe this. » Je ne vois pas le souci quand on parle de « sentiment de sécurité » vu que ça reste du ressenti… De plus, glisser ça là et en gras alors le paragraphe commence en rappelant le contrat morale, c'est un peu comme un Z qui ramène tous les maux (y compris le réchauffement climatique) aux muslmans. Il s'agit du « respect de la vie privée » avant tout, et perso quand une appli ne me piste pas et respecte mes données je me sens plus en confiance avec elle.
Plein de coups de canifs comme ça, comme si de rien n'était, après avoir commencé son article en jurant qu'il ne fait pas d'attaque gratuite et d'idéologie. Tout ça pour quand même, à coup de sophismes, remettre le choix du respect de la vie privée en cause. Ça me va très bien que ce soit F-Droid qui signe les paquets sur lesquels il s'engage : ce n'est pas une relation tri-partite comme il a voulu laisser croire …parce-que si j'ai confiance en le/la dév, et qu'il/elle génère ses paquets, je n'aurais eu qu'à récupérer les paquets sur leur site/dépôt. …la seule autorité de confiance ici c'est F-Droid, et avec elle, je sais que je vais avoir la fameuse seconde version sans la pomme empoisonnée sur le gâteau !
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Désaccord de principe
Posté par Wonderfall (site web personnel) . Évalué à 3. Dernière modification le 26 février 2022 à 23:15.
Auteur ici. J'apprécierais (vraiment) si l'on évite les rapprochements douteux avec des opinions politiques, car si certains pensent que chacun est politisé, les actions ne le sont pas forcément. L'écriture de cet article n'a aucune motivation politique, mais elle suit effectivement une démarche personnelle et n'a pas eu vocation à être partagée massivement.
J'explique justement, parfois en longueur, mon approche pragmatique de la vie privée. Je n'incite pas à se livrer en pâture à Google ou n'importe quelle big tech sans raison. Je demande simplement que l'on regarde objectivement les défauts des solutions FOSS actuelles, ce qu'on peut faire de mieux, et de potentielles alternatives.
C'est faux, et je ne sais pas pourquoi ce mythe est souvent répandu de la même façon pour les paquets des distributions classiques Linux. L'article explique justement que ce principe ne tient pas la route et que vous devez quoiqu'il arrive faire confiance aux développeurs upstreams, et que pour votre vie privée, vous avez davantage intérêt à faire confiance aux garanties offertes par l'OS qu'une vérification très basique du code source (et je suis gentil). C'est juste, à mon sens, du bon sens. Encore une fois, je suis tout à fait compréhensif de la culture libre, mais ce n'est vraiment pas la vision de cet article.
Encore une fois, j'aimerais que les réponses soient plus pertinentes que des "meh biais/sophisme" sans prendre la peine de bien lire les articles et ses références, bien qu'il est évident que nous avons un désaccord de principe (et ce n'est pas la fin du monde, il y a bien pire qui se passe actuellement).
[^] # Re: Désaccord de principe
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Bien le bonjour,
et bienvenue sur LinuxFr.
Il va de soi que nos actions quotidiennes ne sont pas politiques en apparence. Mais comme nos actions sont fortement empreintes par nos conditionnements parfois inconscients, il se trouve que nous faisons de la politique à chaque instant à notre insu. Ceci dit, la motivation politique ou non sous-jacente n'est pas questionnée dans mon propos ; je pointe juste une vision (politique ?) sous-jacente qui peut être consciente ou pas.
La preuve est que faire le constat amère que les « garanties offertes par l'OS » ne sont pas suffisantes valent d'être taxé de propager un mythe. :-) Un grand point de désaccord est donc que moi je considère que la seule confiance dans des garanties qui ont fait les choux gras de la presse ne suffit pas, et qu'une vérification du code (même si elle n'est que sommaire pour l'instant) est un plus que je prends allègrement. À l'inverse, vous considérez (de ce que je comprends de la réponse ici) que les deux aspects s'excluent mutuellement. J'entends le fait bien que n'y adhérant pas. De même moi je considère qu'il y a des « fonctionnalités » dont je n'ai pas besoin et que je n'ai pas de raison de les avoir même offertes gracieusement, là où vous estimez que je dois prendre tout ce qu'on me refourgue et faire confiance aux développeurs. J'entends bien le point et dis juste que dans d'autres référentiels de pensée il y a d'autres façons de voir les choses. Désolé de vous avoir heurté.
J'oubliais. L'un des problèmes du web est qu'on ne sait pas forcément quelle portée ce qu'on publie va avoir, et on peut avoir la surprise d'être lu massivement (ou l'inverse quand on s'attend à être lu.) Partant, on peut se retrouver confronté à des cultures dont les valeurs sont diamétralement à l'opposé des nôtres. Et je parle aussi sans considération politique (enfin je crois et espère) et sans lien avec la culture libre de prime abord, mais voilà j'ai du mal à faire confiance à des développeurs (et du code) qui n'ont pas certaines valeurs éthiques. :-/
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Désaccord de principe
Posté par Wonderfall (site web personnel) . Évalué à 2. Dernière modification le 27 février 2022 à 03:58.
Nous avons effectivement des référentiels de pensée différents, peut-être opposés (nous ne sommes pas allés dans le détail non plus), et vraiment je n'ai aucun problème avec cela. La diversité d'opinions est une bonne chose. Malgré tout, je ne pense pas que tout peut être relativisé. Il y a des faits dont peut vérifier l'authenticité. Je ne dis pas que mes articles sont dépourvus de biais, car évidemment des biais même inconscients peuvent se glisser dans ma façon d'agir. J'essaie quand même au maximum de promouvoir les analyses objectives, qui sont parfois froides, mais nécessaires. Je vais essayer d'expliquer brièvement ma pensée sur le sujet.
Pour remettre dans le contexte, Android est un système d'exploitation moderne qui se démarque des autres systèmes traditionnels par son application des bonnes pratiques, notamment un écosystème d'applications signées qui sont contenues dans des sandbox très restreintes. Ce dernier permet l'établissement d'un modèle de permissions qui se modernise au fur et à mesure des itérations d'Android. Ce sont les garanties "fortes" dont je parle. Si je souhaite qu'une application n'ait pas accès à mes contacts, elle ne doit pas avoir accès. Si je souhaite qu'elle ait accès à un dossier, je lui donne la permission pour ce dossier seulement.
Je pense effectivement que la disponibilité du code source ne doit pas être une préoccupation majeure dans le cadre d'une approche pragmatique (et pas forcément éthique), tant le code source peut être complexe à comprendre et auditer. De plus, les applications Android sont souvent précompilées en bytecode Dalvik, qui peut toujours se soumettre à l'ingénierie inverse. Le modèle de développement d'un logiciel quel qu'il soit ne doit pas être un feu vert automatique pour savoir que ce dernier fait seulement ce qu'on attend de lui, ou ne contient pas de code vulnérable inconnu du développeur. C'est pour cela que j'insiste sur les garanties fortes permises par des OS modernes. Je vous assure qu'elles sont suffisantes pour l'écrasante majorité des cas, il incombe ensuite à l'utilisateur de décider des permissions à accorder. Les permissions invasives ne sont jamais octroyées par défaut sur de tels OS.
Pour revenir à F-Droid : par leur "contrôle qualité offrant peu de garanties", j'entends que beaucoup de personnes se contentent de F-Droid en tant qu'autorité pour déterminer si une app est sûre ou non. La réalité est que F-Droid n'audite en rien le code source, et lance simplement des scripts pour chercher des trackers connus ; ce qui encore une fois, est une approche que je trouve faible. J'insiste donc sur le fait que F-Droid est une partie intermédiaire qui ne se substitue en rien à la confiance au développeur upstream. Et on ne peut pas leur en vouloir, il n'est pas raisonnable de se lancer dans des audits de code source qui sont humainement laborieux et imprécis.
Je propose donc de placer cette confiance, pour ceux qui souhaitent suivre une approche pragmatique encore une fois, dans le modèle de sécurité robuste de l'OS. C'est évidemment encore mieux sur GrapheneOS qui ajoute un toggle permettant de révoquer la permission INTERNET (coupant cout les tentatives d'exfiltration), et un autre permettant de fournir des données de capteur nullifiées. Mais même Android upstream s'améliore comme dit : cf. les permissions Nearby Devices, et l'ajout à venir d'un sélectionneur granulaire de photo dans MediaProvider, le scoped storage en vigueur depuis le niveau d'API 30. Même s'il y a exfiltration, l'application ne peut avoir accès qu'aux permissions qu'on lui donne à la base, et donc à des types de données précis. Il est tout à fait possible qu'en pratique les applications open-source soient plus enclines à respecter la vie privée. Cependant, je propose tout simplement de ne pas placer cette forme de confiance tout en haut de la hiérarchie, car elle relève de l'appréciation personnelle et du modèle de menace de chacun.
Je n'ai évidement aucun problème avec le logiciel libre et la culture libre dans son ensemble. Il est vrai qu'à titre personnel je ne m'y reconnais plus bien qu'elle ait bercé mon adolescence (je lisais d'ailleurs linuxfr depuis plus de 10 ans), et je lui dois la découverte de nombreux projets. Dans cet article je m'adresse seulement à des faiblesses de F-Droid, et je souhaite réellement voir émerger d'autres alternatives plus en accord avec le modèle de sécurité pensé par et pour Android, qu'elles viennent de GrapheneOS ou d'ailleurs. Les gens sont libres de continuer à utiliser F-Droid, de leur faire confiance, j'expose simplement quelques problèmes dont certains peuvent être réglés par F-Droid pour le bénéfice de tous.
[^] # Re: Désaccord de principe
Posté par jyes . Évalué à 8. Dernière modification le 27 février 2022 à 10:20.
C’est la même rengaine que lors du journal sur GrapheneOS. Vous présentez une vision de la sécurité qui se focalise presque exclusivement sur la chaîne de confiance et particulièrement sur sa mise en œuvre cryptographique. Sur un site avec un lectorat (au moins en grande partie) libriste, forcément ça passe mal. Par exemple, en début de crise Covid les applications de visio comme Zoom étaient très décriées ici, la « sécurité » de les savoir signées par leurs développeurs plutôt que par le magasin d’applications n‘apporte pas plus que de savoir que ces applis tournent sur un système dont le boot est signé. Sur Android, la principale menace ce sont les applications, et une solution qui convainc forcément mieux les libristes que les signatures cryptographiques, c’est d’essayer de proposer des applications de qualité et respectueuses des utilisateurs.
Personnellement je suis convaincu que pour cela, publier le code source et effectuer un recensement des antifonctions comme le fait F-Droid est plus efficace qu’une solution crytpographique, aussi élégante soit elle sur le papier. Bien sûr, comme toujours, c’est limité par la faible capacité d’audit de la communauté. D’ailleurs, même dans des communautés beaucoup plus grandes que F-Droid il y a de jolis ratés (OpenSSL chez Debian, ça a marqué les esprits). Mais ce n’est pas en surprimant la possibilité d’auditer qu’on améliore la situation, comme le pointait Gil Cot dans son commentaire, ce à quoi j’ajoute que ce n’est pas en faisant signer par ses développeurs un paquet non audité qu’on l’améliore non plus.
Alors accuser F-Droid de “weakening the Android security model”, ouais, c’est biaisé et un peu génant quand même. De toutes les applis signées par leurs développeurs disponibles sur le Play Store, il n’y en a pas beaucoup que j’installerais sans craindre pour la sécurité de mes données et de ma vie privée.
[^] # Re: Désaccord de principe
Posté par Wonderfall (site web personnel) . Évalué à 0. Dernière modification le 27 février 2022 à 13:18.
Je vais faire fi de la simplification douteuse que vous faites de ma vision de la sécurité, car non, ça ne se résume pas à une "chaîne de confiance cryptographique". Il ne faut pas tout mélanger, même si effectivement ce journal était déjà la preuve d'un désaccord fondamental.
Vous partez également du postulat que la disponibilité publique du code source est une nécessité pour être audité. C'est simplement faux, ce serait oublier que le code source peut être disponible sur demande, que l'ingénierie inverse existe, et plus particulièrement dans le domaine dans le sécurité des outils comme le fuzzing et les MITM. Avoir le code source c'est bien, mais étudier le code qui est distribué, c'est tout à fait possible. Ce billet résume assez bien ma pensée : https://seirdy.one/2022/02/02/floss-security.html
Il n'y a rien à voir avec une "solution cryptographique" là-dedans, c'est simplement comment les choses fonctionnent dans la vie réelle.
Biaisé par rapport à votre vision de la sécurité informatique, peut-être, mais certainement pas biaisé par rapport à la documentation qui fait état du modèle de sécurité d'Android et des device/user management APIs qui considèrent qu'un store = une source et pas autrement. F-Droid court-circuite fondamentalement cela. Il n'y a rien de compliqué à comprendre, et ça n'a rien à voir avec le débat que j'évoque ci-dessus en soi. Je veux idéalement des solutions FOSS qui ne font pas des compromis qui ne sont pas nécessaires.
Je n'ai jamais demandé à ce que mes articles soient publiés ici, car je sais d'avance que le lectorat libriste a ses propres valeurs qui ne sont pas les miennes. Bien évidemment, je ne peux contrôler comment mes articles sont partagés donc encore une fois, je n'en veux pas aux personnes de mal réagir. Je déplore simplement une perte de temps des deux côtés, et, de mon côté en tout cas, parfois de la stupéfaction et de la déception.
[^] # Re: Désaccord de principe
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
C'est exactement cela : des référentiels de pensée différents :-) Et des biais, j'en ai aussi (dont je n'ai pas toujours conscience malheureusement.)
Je ne remets pas en cause le système du robot vert et ses « garanties "fortes" » (même si la présence/possibilité de choses comme Pegasus de NSO font que ma confiance ne dépasse pas les 90% pour être gentil…) J'entends que le modèle de permission se modernise à chaque itération (et si je donnais un pourcent de plus à chaque fois, il en reste dix pour que je sois complétement acquis ; sans compter qu'il faut changer de matériel à chaque itération et que je ne trouve pas ça très écologique mis à part les problèmes —et améliorations— qu'apportent les nouveaux modèles… mais c'est un autre débat, refermons la parenthèse qui montre qu'en terme de référentiels j'ai déjà un souci d'adhérence aux fondamentaux économico-industriels.)
Je comprends aussi que la gestion des permissions vous suffise et cela montre la différence de nos approche. Dans le cas d'espèce on est en aval alors que je préfère être en amont. Pour faire une analogie, c'est comme dire « il n'y a rien à craindre de ces fauves puisque vous avez les clés de la cage et le fouet » [à la maison comme au cirque] alors que pour moi on ne devrait simplement pas avoir ces molosses chez soi : ça ne remet pas en cause les mécanismes de sécurité. De plus, le réglage fin des permissions n'est pas encore répandu [i.e fragmentation/renouvellement du parc] et les permissions par défaut n'ont jamais été satisfaisantes (de plus certaines ne seront jamais remises en cause car intégré au business-model de G [on l'a évoqué aussi ici]
Je suis d'accord que que F-Droid ne fait pas un « audit de sécurité » (seul sens dans lequel les réponses et l'article réduisent le mot « audit » hélas) et il m'arrive souvent de reprendre des gens autour de moi sur ce point. Leur objectif et leur outillage n'est pas pour rechercher des failles de sécurité et l'équipe, déjà réduite, ne s'amuse pas à réécrire le s codes selon un certain nombre de bonnes pratiques sécuritaires. F-Droid fait un « audit éthique » et cet aspect est aussi important pour des personnes comme moi. On peut trouver « l'approche faible » quand on en a rien à cirer de l'éthique ; c'est comme les consommateurs de produits hyper transformés qui se moquent des adeptes de produits bio… (-:
Il ne faut pas voir la chose forcément sous l'angle « logiciel libre » ; ce serait un autre biais que celui de piétiner l'éthique au nom d'un certain pragmatisme. Pour ma part, j'ai quelques rares applications non libres d'une part. D'autre part, une institution en laquelle j'ai assez confiance pour leur confier mon argent, je ne veux pas installer pour autant leur application qui n'a pas certaines valeurs éthiques et de respect de la vie privée ; choses qui m'importent plus qu'un pseudo-pragmatisme. Concernant les permissions qu'on peut refuser/retirer, je préfère encore une fois que l'application n'ait pas besoin de ça, et quand le contrat de base ou cahier des charges ne convient pas c'est un stop purement et simplement pour moi.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Désaccord de principe
Posté par Glandos . Évalué à 5.
Le modèle de sécurité de Android est quand même vachement bien pensé et implémenté. Il a mis longtemps à arriver dans cet état, mais voilà, on finit avec quelque chose qui tient la route, tant du point de vue de l'utilisateur que de la sécurité (la fameuse histoire du compromis).
Le Google Play Store est toxique, et c'est ce que j'essaye de mettre en avant. Il demande un compte, même « factice » qui permet de suivre mes usages. Et il donne accès à une autorité tierce pour supprimer sans ma permission des logiciels. Je ne sais même pas pourquoi ce n'est pas encore envisagé comme angle d'attaque dans le monde juridique actuel. Bref.
Les magasins alternatifs tels que F-Droid sont nés de ce constat, et ont donc évité soigneusement ces écueils. Comme tous les libristes, j'ai des grosses œillères quand il s'agit de voir les défauts d'un logiciel libre et promouvant ses valeurs. Donc j'apprécie fortement ces contrepoints. Qui en plus sont techniquement recevables, et proposent des solutions : il est coûteux de le faire, mais faire évoluer le modèle de confiance de F-Droid est possible.
Rien que pour ça, j'ai « pertinenté » les commentaires. Le point de vue est différent, les arguments sont détaillés. Ils peuvent ne pas plaire, mais pour une fois que c'est ouvert à la discussion, laissons là s'installer.
Je ne pourrais pas me passer de la liberté d'installer les logiciels que je souhaite sur mon ordinateur. Quand je vois le chemin qu'emprunte Windows 11, je suis abasourdi. Et en même temps, je constate qu'importer le modèle de sécurité des systèmes mobiles sur les ordinateurs de bureau ne serait pas … inutile.
[^] # Re: Désaccord de principe
Posté par Wonderfall (site web personnel) . Évalué à 3.
Tout à fait, Android a fait un long chemin ! Il devient au fur et à mesure une référence en matière d'OS robuste pour la sécurité et la vie privée, sans sacrifier à l'usage. Et en plus, c'est open-source : peut-être pas "libre" au sens où la communauté de LinuxFr l'entend au sens où il y a peu de place à la contribution communautaire, mais open-source quand même. Je pense que c'est un plus, je le décris même dans mon idéal de la sécurité basée sur l'évidence soutenue par la fameuse Zero Trust Security comme diraient les anglophones.
Quant au Play Store, vous avez le droit de soulever des problématiques à l'encontre de ce service. Le but de cet article n'est pas de glorifier l'usage du Play Store, en fait, je le compare dans certains aspects à F-Droid pour mettre à mal ce dernier. Oui, ça fait mal, c'est normal. Mais ici il n'est pas question de manquer de respect à une éthique ou une culture (libre en l'occurence) quelle qu'elle soit : vous pouvez même voir cet article comme une contribution. Tout est question de perspective. Pour ma part, j'ai choisi de mettre en lumière ces défauts et de contribuer à une alternative qui reprendra depuis le début avec des choix radicalement différents, expliquant que je ne puisse pas contribuer à F-Droid directement. Mais je leur souhaite tout le meilleur, vraiment.
Pour revenir au Play Store, oui, il est loin d'être parfait. Oui, des questions de vie privée ont parfaitement le droit de se poser dès lors qu'un compte est demandé pour accéder à un service essentiel sur Android. Rien de tout cela n'est remis en question, je comprends l'existence de F-Droid. Je mentionne même que je conseille l'utilisation du Play Store sur GrapheneOS car il n'y est pas privilégié, dans le sens où je ne serais moi-même pas forcément à l'aise si je venais à l'utiliser sur un autre OS qui l'intègre dans une sandbox dédiée moins restreinte. GrapheneOS illustre parfaitement que c'est possible, et Google aurait dû le faire comme ça : oui, les services Play (même reproche fait à microG) affaiblissent aussi dans un sens le modèle de sécurité d'Android.
Pour finir, il faut évidemment considérer la sensibilité de chacun : son modèle de menace, sa culture, ses préférences. Mais parfois, certaines analyses froides sont nécessaires, justement pour informer un maximum de personnes, les aider dans ce choix, et contribuer in fine à développer des solutions respectueuses sur tous les plans. C'était simplement mon intention, je comprends qu'elle puisse susciter de vives réactions car j'ai occulté des aspects importants qui méritent vraiment d'autres articles.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.