bortzmeyer

https://www.bortzmeyer.org/

Vous avez certainement déjà vu des articles sur les mauvaises pratiques de Facebook en matière de gestion des données privées. Vous en avez peut-être même un peu assez, genre « oui, c'est bon, on a compris, ce sont des méchants, pas la peine de le répéter si souvent ». Et c'est vrai qu'on peut avoir l'impression qu'il ne peut plus y avoir de nouveau avec Facebook, que toutes les saloperies possibles, ils les font déjà. Pourtant, même si on est un anti-Facebook convaincu, on peut quand même être surpris (et, hélas, en mal) par le rapport de l'association Privacy International au sujet de Facebook et plus spécialement de la façon dont Facebook s'arrange pour que les apps (les programmes) tournant sur les ordiphones Android lui envoient des données personnelles, sans autorisation de l'utilisateur, sans que celui-ci ou celle-ci le sache, et sans même qu'il ou elle ait un compte Facebook. Le rapport est une étude concrète. Pas de grandes diatribes comme en font nos intellectuels français contre les affreux « géants de l'Internet », en restant dans le vague. Ici, au contraire, comme le fait Exodus Privacy (qui est cité dans le rapport), les auteurs ont regardé de près la question. Ils ont pris un certain nombre d'apps tournant sur Android (non pas qu'iOS, le système d'exploitation des iPhone, soit meilleur, mais simplement le temps manquait pour tout tester sérieusement), les ont fait tourner dans un environnement de test, avec interception et décryptage des communications entre l'app et Facebook. Et les résultats sont consternants : les deux tiers des apps envoient des données personnelles à Facebook, dès le démarrage, qu'on soit utilisateur de Facebook ou pas. Exodus Privacy avait déjà montré que la plupart des apps disponibles sur le magasin d'apps d'Android (Play Store, propriété de Google) incluent un grand nombre de pisteurs, de dispositifs techniques permettant de suivre à la trace les utilisateurs. Privacy International a une approche technique différente, en faisant une analyse dynamique, et non plus statique, de l'app. Leur interception des communications chiffrées avec Facebook permet de lire le contenu des messages. C'est ainsi qu'ils montrent que ces messages envoient l'identifiant publicitaire Google, un identificateur unique spécifique à chaque téléphone, que Google fournit gentiment pour faciliter le suivi des utilisateurs. Cela, c'est l'envoi de base. Voici cet identifiant publicitaire (vous pouvez trouver le vôtre sous Paramètre –> Google –> Annonces) : Copie d'écran d'un ordiphone, montrant l'identifiant publicitaire Mais certaines applications font bien pire, en envoyant d'autres données, parfois plus sensibles. Pourquoi tant de développeurs ont-ils choisi d'envoyer ces données à Facebook ? Parfois, c'est tout simplement qu'ils ne le savaient pas. Ils avaient inclus le SDK (Software Development Kit, la bibliothèque logicielle que Facebook fournit à ceux qui veulent inclure certains services Facebook dans leur app) et le SDK, dès le démarrage de l'application, envoie les données à Facebook, avant toute demande d'autorisation. (Notez qu'Exodus Privacy avait déjà noté un problème similaire : des développeurs informatiques négligents incluent une bibliothèque dans leur app, sans vérifier si elle ne comprend pas des pisteurs.) Je vous laisse lire le rapport complet, très bien fait, pour voir l'ampleur des dégueulasseries (le mot n'est pas trop fort) commises par Facebook et ses complices. Une partie très intéressante est celle qui contient les réponses des sociétés mises en cause, que Privacy International avait prévenues. Un festival de langue de bois corporate, plein de « your privacy is important to us », « we work very hard to improve the user experience », « we are committed to comply » et autres mensonges. Très peu d'entreprises répondaient concrètement, très peu annonçaient des mesures précises. La palme revient à Google qui prétend que l'identificateur publicitaire est changé lorsqu'on réinitialise l'ordiphone Android aux valeurs d'usine (cassant le suivi de l'utilisateur) alors que l'équipe de Privacy International a pu vérifier que c'était faux. On voit là le poids à accorder aux déclarations, aux privacy policies et autres promesses. Facebook annonce quand même que le SDK a été modifié (un mois après l'entrée en application du RGPD) pour ne plus envoyer d'informations sans demande explicite de l'app. Cela ne concerne que les apps qui seront créées, dans le futur, avec le nouveau SDK. Mais pour le reste, Facebook refuse toute responsabilité, puisque les conditions d'utilisation du SDK précisent que c'est au(x) développeur(s) de l'app d'obtenir un consentement de l'utilisateur... Bref, on voit qu'une entreprise comme Facebook est au-delà de toute possibilité de réforme, et qu'elle doit être détruite.

Suite des essais Write.as. Maintenant que je me suis abonné à bortzmeyer@write.as depuis mon compte Mastodon, je regarde si je reçois les notifications. Au passage, je me rends compte que je ne sais pas quelle variante de Markdown est utilisée par Write.as donc comment inclure des images de chats, pour mon SEO ? Apparemment, la solution documentée est d'utiliser la syntaxe Pandoc mais il faut héberger l'image à l'extérieur de Write.as. Exemple : Une image d'exemple Ça marche, la notification a bien été envoyée et reçue sur Mastodon. Par contre, en cas de mise à jour de l'article, rien n'est notifié.

Ce qu'il y a de bien, sur l'Internet, c'est que chacun·e peut s'exprimer. Avant l'Internet, la liberté d'expression était surtout théorique, Mme ou M. Michu n'avait pas de moyen concret de faire connaitre ses pensées au monde. Maintenant, c'est possible. Possible, mais pas forcément facile. Créer son blog, par exemple, est certainement faisable (je le fais) mais nécessite du temps, des compétences et des efforts (outre ceux, évidents, nécessaires à l'écriture elle-même). Même si on a les compétences, on n'a pas forcément le temps ou l'envie. Voilà pourquoi il est crucial qu'il existe des plates-formes simples d'usage, où on peut s'y mettre tout de suite. Le problème est qu'elles ont des inconvénients, notamment la captation de données personnelles. D'où l'intérêt du service Write.as, que j'ai découvert suite à un article d'Aris, et que je suis en train de tester. Il ne résout pas certains inconvénients des plate-forme. La dépendance, par exemple, reste ; si Write.as disparait, ce texte disparaitra aussi (je n'ai pas trouvé le moyen de sauvegarder ses textes sous leur forme éditable, il faut ratisser l'HTML produit, avec un logiciel comme httrack). Mais, au moins, il ne semble pas avoir de pisteurs Google ou Facebook (l'app sur ordiphone en a, et la création du compte fait passer par un CAPTCHA Google.) Write.as a ses propres pisteurs, dont mon bloqueur, uBlock Origin, a arrêté une partie. Pour avoir moins de dépendance vis-à-vis de la plate-forme, on peut utiliser son propre nom de domaine ce qui est évidemment très recommandé. Mais ce n'est accessible qu'avec l'offre payante, alors que j'utilise la gratuite. (Ce n'est pas forcément un problème : « si c'est gratuit, demande-toi si ce n'est pas toi le produit ».) Et même si Write.as n'est pas parfait, il est important qu'il existe une variété de plate-formes de publication. Il serait dramatique que tous les textes soient uniquement sur Medium, qui peut changer sa politique du jour au lendemain. Techniquement, c'est en effet très simple d'utilisation (et documenté). Pour mettre des liens ou des images, ou même simplement de l'italique, on utilise la syntaxe Markdown. (Je ne vois pas d'éditeur graphique, mais, bon, la syntaxe Markdown est simple.) Et le service est fédéré : vous pouvez suivre mes écrits depuis un logiciel du fedivers comme Pleroma ou Mastodon, en suivant bortzmeyer@write.as. (Vous pouvez aussi utiliser le classique flux de syndication, https://write.as/bortzmeyer/feed/.) Notez enfin que Write.as est fondé sur un logiciel libre, WriteFreely.