pylapp

vieprivée

La supercherie de l’universalité du web

🇫🇷 – Mercredi 30 octobre 2024

Mots clés: #web, #internet, #navigateur, #ViePrivée, #merdification

Le web a été totalement travesti ces dernières années, voire décennies. De plus en plus de merdification, de monopoles, de silotages et de nivellement par le bas. Quand j'étais gamin, je voyais le web – au sens large – comme quelque chose d'universel. J'ai écrit mes premières lignes de code pour des pages web via le Site du Zéro. Je me rends compte qu'en l'état actuel des choses, cette universalité est une supercherie, une fumisterie grotesque. Ce billet de blog a un gros côté “Team Vieux Cons”, je préviens.

Comment c'était "avant" ?

Apparemment il y a des gens qui aiment en mettre d'autres dans des cases, et je serais alors un millennial, un digital native ou un spécimen de la génération Y, en gros je suis né au début des années 1990. De fait, on ne parlait pas encore de “fracture numérique”, l'informatique domestique n'était pas encore démocratisée (pas autant qu'aujourd'hui), et quand on habitait en zone rurale l'ADSL n'était pas encore mis en place, on avait droit à des débits de 56kb/s au mieux avant qu'il n'arrive avec sa vingtaine de Mb/s. Bref, je n'ai pas connu la naissance de l'informatique, ni celle du web, je ne prétends pas la connaître non plus, mais j'ai vu les choses s'installer tranquillement.

Avant, du côté des navigateurs web, il y avait Netscape, Internet Explorer, et d'autres trucs aussi que je n'ai pas connus. Puis Opera, Firefox et Safari. Chrome ne sera arrivé que bien plus tard vers 2008. Edge n'existait pas, ni Brave, et on ne parlait pas de Chromium.

Les pages HTML étaient simples. Moches selon les critères de nos jours, mais se composaient de XHTML et de CSS ; le HTML 5 et le CSS 3 de mémoire étaient arrivés dans les années 2010. Par contre, effectivement, pour certaines choses comme l'audio et la vidéo, on avait du Silverlight et du Flash. En dehors de ça, on savait faire simple. On était obligés de faire simple. Les débits, toujours selon les critères de nos jours, étaient médiocres. Les ordinateurs parfois n'avaient pas plus de 2 ou 3 Go de RAM (et bien moins avant). Les pages HTML devaient être légères car sinon mettaient trop de temps à être chargées, et les dépassements de forfaits étaient très vite lourdement facturés. Pas de DRM, pas ou très peu de JavaScript (qu'on désactivait à l'époque pour gagner du temps tout comme l'affichage des images), pas ou peu de publicité (mais vite arrivée en force ensuite), pas de tracking. Bref, du web documentaire que l'on pouvait considérer d'une certaine façon comme épuré, voire pur. Et plus tard, quand on voulait commencer à faire des pages “réactives”, avec quelques requêtes, on faisait du AJAX. Du JavaScript asynchrone, qui consommait du XML ou plus tard du JSON, et ce, au travers de XMLHttpRequest. On se contentait aussi des faire des requêtes de formulaires simples, allant taper directement le serveur qui nous renvoyait ensuite tout ou partie de la page visité.

Les premières bibliothèques comme MooTools ou jQuery ont commencé à venir, et le merdier aussi.

Les technologies de développement

On a oublié de faire simple. Et on a cherché à tordre le HTML et le CSS dans tous les sens, à totalement travestir le truc. On est limité, cloitré au navigateur web, mais on va chercher à faire des sites web de plus en plus complexes, et même des Progressive Web Apps.

Le JavaScript est devenu incontournable et indispensable, quand bien même ce langage de programmation est exécrable et trop permissif. Alors certains diront que l'on a TypeScript aussi, mais ça reste finalement la même merde qui sera générée / transpilée et exploitée par la suite. On a juste changé l'emballage.

On avait MooTools. Puis jQuery. On avait même des applets Java. Et ensuite AngularJS. Puis Angular. Polymer aussi, qui aussi a rejoint AngularJS dans le Google graveyard, et Bootstrap. Et enfin ReactJS qui n'est plus maintenu au profit de React. Et on a même Flutter qui s'y met. Certes, je mélange les torchons sales et les serviettes trouées, mais quand même. Le but est le même : faire des pages web affichées par son navigateur web. Mais on a voulu faire des ensembles de pages, qu'on appelle “sites”. Et on a voulu ajouter d'autres logiques dedans et parodier ou plagier gauchement les applications mobiles, en appelant ça “applis web”. Les pages sont de plus en plus complexes. Le DOM, que l'on pouvait facilement fouiller avant, finalement est remplacé par le shadow DOM de plus en plus pénible à investiguer. On va avoir des évènements JavaScript en pagaille, avec des chargements de pages ici ou là, partiels ou non, et une tonne de fichiers JS que l'on va tirer depuis les pages via des CDN, sans même forcément s'assurer qu'ils n'aient pas été compromis. Des requêtes réseaux en pagaille pour aller chercher des ressources devenues indispensables pour faire fonctionner des foutues pages web totalement travesties.

Avant, si on voulait travailler sur un projet web, ou a minima bricoler un truc, on s'en sortait très bien avec les bases du HTML et du CSS, voire du JavaScript. Maintenant, si on ne connait pas la dernière stack à la mode, qui en plus va utiliser des préprocesseurs ou extensions CSS comme Sass ou Less, et le dernier framework du moment comme Vue.js ou Svelte ou un langage de programmation tout nouveau portée par la hype comme Elm, on ne s'en sort plus. Les technologies web d’aujourd’hui sont déjà du code legacy, pas besoin d'attendre demain pour les voir dépréciées et vite remplacées. Tout le monde lave plus blanc que blanc, mais au fond ça reste le trio HTML + CSS + JS. Ça reste de la merde, seule la couleur change, pas l'odeur.

Pire encore, on augmente les surfaces d'attaque et les probabilités d'avoir des problèmes en dépendant d'outils desquels on est devenu trop dépendant. Il a fallu un bad buzz pour que Facebook remplace la licence BSD+Patent de React pour passer à MIT. Avec Web Assembly on va injecter du code binaire dans les projets web, faisant que l'on pourra encore plus difficilement savoir ce qu'il s'y passe. Si on prend des outils clés en main comme WordPress, on se prend souvent des alertes à cause de plugins ayant des failles de sécurité, sans parler du psychodrame actuel entre le fondateur de WordPress et WP Engine. Idem pour les usines à gaz que sont les CMS comme Drupal et PrestaShop avec de temps en temps des alertes critiques. On avait même polyfill.js qui avait été compromis.

Et côté backend et au delà c'est pas glorieux. Node.js avec son API standard incapable nécessitant pléthore de dépendances tierces plus à jour, sabotées ou sujettes à des failles de sécurité, J2EE, Ruby on Rails, PHP et son PreHistoric Programming, Symfony, Laravel, Django, ASP.net, ... On a une tétrachiée d'outils pour faire du backend et plus encore, et qui font plus ou moins la même chose. Et certains organismes de formation sans scrupules iront former des jeunes ou des personnes en reconversion à l'arrache, vider leurs porte-monnaies, les formant sans sérieux, et les balancer sur le marché du travail dans des marchés saturés.

Certains ont tenté de faire des applications mobiles web avec un OS dédié, comme Firefox OS, mais le projet a capoté. Peut-être pas pour un mal.

Si je prends une échelle de temps relative, forcément plus courte mais tout de même, du côté du développement d'applications mobiles (natives j'entends, les seules qui vaillent évidement), on a eu moins de changements et de risques de se créer de la dette technique. Du côté du développement d'apps Android, on est juste passé de Java à Kotlin, progressivement. Et Java a été officiellement destitué que tout récemment. Même chose pour iOS, on est passé de Objective-C à Swift, mais en soit, l'ancien langage de programmation n'est pas déprécié pour autant. On garde UIKit et SwiftUI pour la définition des interfaces graphiques, rien de déprécié là aussi. Un peu moins vrai pour Android avec Jetpack Compose qui remplace les layouts XML. Bref, bien moins de changements structurants, de dettes techniques et d'outils dépréciés, car les choses sont davantage normalisées et lisibles. On n'a pas plusieurs crémeries qui vont tenter de vendre leur beurre en tentant de planter les autres. Pour l'embarqué, ça bouge encore moins. On a Qt, et c'est assez. Finalement personne n'a besoin d'un énième framework qui refasse ce que les autres font, mais différemment. Les tendances finiront par arriver, mais tranquillement et proprement. Bref, c'est moins le foutoir.

La merdification systématique

Je n'ai pas l'impression que le web ait beaucoup d'innovations qui vont dans le bon sens, à savoir celui du progrès plutôt que celui des intérêts privés et capitalistes. Si on regarde Web Assembly, il y a de l'idée. Avoir un code source quelconque, en tirer un binaire, et balancer ça sur les navigateurs, ok. Toutefois, comment contrôler ce qu'il s'y passe ? Comment s'assurer de la loyauté de ce binaire ? On apporte de l'opacité à un environnement qui, avant, laissait l'utilisateur le bidouiller, fouiner dedans, et voir comment les choses étaient foutues. Même chose pour le JavaScript, on en vient à intégrer sur les pages web du code propriétaire, opaque, privateur, qui est là pour surveiller, pister ou forger des empreintes numériques permettant de traquer l'utilisateur peu importe où il va. Quand on parle de logiciels, on arrive vite à la dichotomie entre les logiciels libres (au sens donné par la Free Software Foundation, le seul qui vaille) et les logiciels propriétaires. Or, on oublie vite que c'est le même problème pour le code JavaScript qu'on subit lorsque l'on surfe sur le web. Le code JavaScript est un piège, vite déloyal, vite dangereux.

Avant, modulo des animations clignotantes et des GIF horribles, les pages étaient simples. Le contenu était rapidement accessible. Maintenant, c'est une purge. On se prend déjà un bandeau pour accepter les cookies, contraignant à tous les accepter ou passer par un parcours insupportable pour choisir ceux que l'on ne veut pas, en supposant que ces choix soient respectés. À cela s'ajoutent les panneaux publicitaires, proposant tout et n'importe quoi. Et ensuite un paywall, soit en cours de lecture pour appâter l’utilisateur, soit dès l'affichage de la page pour forcer l’utilisateur à accepter tous les cookies (donc le pistage) ou à prendre un abonnement. Les champions sont les sites de presse en ligne que l'on doit plaindre si on les écoutait ; ils ont choisi délibérément de se lier pieds et poings chez Google ou Facebook, mais dès que certains comme Apple et la “gomme magique” de Safari arrivent pour dégager leurs merdes, ils se plaignent. Ils sont nés avant la honte.

Des justifications merdeuses

En discutant avec les gens au sujet du web et des technologies de développement “web”, j'entends toujours les mêmes arguments éculés.

Les DRM permettent de fournir une meilleure expérience à l'utilisateur. Non. Déjà car ici on pense surtout à des consommateurs. Et ensuite parce que ces Digital Rights Management sont des cancers pour le web libre. Zoner géographiquement, empêcher l'accès, la copie, la diffusion, c'est purement de la censure à des fins mercantiles. À quel moment on a cru bon d'accepter ces verrous numériques pour le web ?

Les technos web réduisent les coûts de développement. Si un choix technique ou technologique est justifié par un argument financier, ce choix est par définition mauvais. Les logiciels faits grâce à (ou à cause de) Electron sont les pires que je n'ai jamais pu utiliser, en terme de performances ou d'efficacité. Idem pour les machins à base de PhoneGap, Ionic ou Cordova. Même la suite Teams de Microsoft passant de Electron à WebView2 est une purge à utiliser. Ça bouffe de la RAM, ça glitch, ça refresh mal, l'accessibilité est dégueulasse, ça ne reprend pas les codes plus sains des logiciels natifs.

Ça donne une expérience unifiée pour l'utilisateur. Non. Embarquer des web views dans des applications mobiles est une connerie. On augmente la surface d'attaque, on consomme davantage de bande passante, on se retrouve avec des failles de sécurité en plus tant dans le code web qu'à cause du navigateur faisant le rendu, l’accessibilité est souvent foirée, et on se retrouve parfois avec des régressions identifiées tardivement à cause d'effets de bords indésirés. On modifie la page web pour changer une fonctionnalité, sauf que c'est tracé nulle part côté application et l’utilisateur ne se rend compte de rien. Sans oublier qu'on zappe parfois la mise en cache des données et le mode hors-ligne. Les web views sont un excellent moyen de déposséder l'utilisateur ; suffit de ne pas faire de cache et de changer la page ou la rediriger, et c'est terminé.

Le HTTPS permet d'être sécurisé. Oui, c'est vrai. Mais pour du contenu statique on n'en a pas besoin du tout. À cause du tout HTTPS, on se retrouve avec par exemple des ordinateurs “vieux”, avec des “vieux” navigateurs web, qui n'ont plus leurs certificats à jour. Donc un “vieux” iMac, qui fonctionne bien mais plus mis à jour depuis quelques années toutefois, ne pourra plus permettre à l'utilisateur de naviguer sur les internets car on aura du HTTPS partout et le navigateur web ne pourra afficher le contenu à cause de certificats révoqués ou obsolètes. TLS 1.0 et 1.1 sont obsolètes depuis 2018, donc des certificats racines ne sont plus mis à jour, donc des sites web inaccessibles. Bingo.

C'est nouveau, c'est génial. J'ai entendu ça sur le server-side rendering (SSR), un cran plus loin dans la merdification. On a des gens qui sont satisfaits d'avoir réinventé la roue : le serveur web qui va construire la vue HTML. Retour aux débuts du web. On avait le serveur qui renvoyait la page à afficher, puis on a fait des API SOAP, puis on a fait des API REST, puis des API GraphQL, et là on fait ce SSR. Et des pignoufs vendent ça comme de l'innovation, quels escrocs. Faire du développement web c'est faire de la hype driven development.

Des pétards mouillés aussi

Qui a encore entendu parler du physical web ? Ces pages et sites web qui arrivent sur nos appareils grâce à des beacons qui diffusent des signaux, notamment près des bornes publicitaires ? Un gag.

Et les progressive web apps (PWA) alors ? Un plagiat ridicule des applications mobiles. Les utilisateurs ne comprennent pas comment les installer, ce n'est pas naturel. On est toujours limité de près ou de loin par le navigateur. Ça impose d'avoir du JavaScript pour gérer la mise en cache avec le service worker. Qui, lui, impose d'être en HTTPS pour fonctionner. On pourrait s'attendre à avoir des vraies évolutions, comme des threads ? Les web workers n'y arrivent pas sérieusement. Sans compter qu'encore aujourd’hui des API accessibles par les apps mobiles ne le sont pas par les PWA, et que par essence et par définition les apps mobiles natives seront toujours en avance sur l'usage des terminaux contrairement aux PWA qui n'innoveront jamais et persisteront à corriger le retard.

Et les neutralités du net et du web ?

Un lointain souvenir. Les adresses IP des VPN sont de plus en plus sur listes noires. Si on utilise des bloqueurs de pubs les sites sont inutilisables, soit délibérément, soit par conception maladroite. Il y a de plus en plus de discrimination envers les usagers, sans parler des problématiques réseaux. Le simple fait de vouloir utiliser TOR nous prive d'une bonne part du web. Sans parler du fait que de plus en plus de sites web ne fonctionnent pas bien voire refusent de fonctionner selon les navigateurs. Ou alors vous imposeront des contrôles “anti robots” et des captchas, notamment si le site est géré par au hasard Cloudfare. Franchement, j'en ai marre de résoudre des puzzles et d'attendre qu'un système obscur me donnent l'accès à un site web. Parfois même les sessions sont suspendues car on est considéré comme autre chose qu'un humain légitime. Désolé bande de clowns, j'ai un logiciel qui bloque la publicité, le code JavaScript déloyal et qui me fait sortir ailleurs qu'en France, juste pour protéger ma vie privée. Et c'est justement à cause de vous si j'en suis là. Escrocs.

Un noyautage public

Et pendant ce temps, on remarque que Google et consorts continuent leur noyautage du web et de ces instances, ainsi que le silotage de tout ça. Les DRM sont validés par le W3C, Chromium prend presque toutes les parts de marché et applique la stratégie 3E : maintenant que la place est prise, on se débarrasse de ce qui est nuisible, comme par exemple uBlock Origin. De plus en plus de sites web se plient au règles de Google en terme de SEO. Google est en train de foutre en l'air le web ouvert et libre, et ce, délibérément avec son projet de web environement integrity. On peut aussi parler du Manifest v3 de Google encadrant les extensions des navigateurs, toujours pour favoriser les pisteurs et privilégier ce qui intéresse les géants du numérique en torpillant les projets qui préfèrent protéger les utilisateurs. Ou encore des tentatives pour dégager des formats ouverts, notamment de la part de Google avec JPEG-XL.

Le web social, boulimique, grotesque et égocentrique

Le web 2.0, le web social, a amené les gens à s'exprimer plus facilement, à créer du contenu, à en partager. Forcément les gros datavores comme Facebook maintenant Meta mais aussi X anciennement Twitter, ou encore Reddit et j'en passe, se sont rués dessus. On incite les gens à créer, commenter, liker, partager. On engloutit autant de données personnelles que l'on peut, soit en exploitant les contenus, soit leurs métadonnées. Et ensuite on se gave encore sur ça en créant de gros corpora de données pour entrainer des modèles d'intelligence artificielle. Et on verrouille aussi les API, faisant qu'un paquet d'applications qui pouvaient interagir avec Twitter ou Reddit ont plié boutique.

L'effet pervers de ce web social est qu'il a fait naître les influvoleurs et instabouffons, dit autrement les influenceurs et dindons de tous poils qui commentent, donnent leurs avis, lustrent leurs communautés de blaireaux avec des hot takes claquées au sol ou en vendant des produits bidons. Même dans les milieux de la tech on en a, surtout dans le monde du développement web. Des paons et des dindons, formant des communautés de pigeons, gavés d'articles LinkedIn mauvais, de vidéos YouTube médiocres, enfonçant des portes ouvertes et rendant le banal et classique tout simplement incroyable. Et quand on les met en face de leurs impostures, ils lâchent leurs chiens sans sommation pour protéger leur crédibilité fantoche. Ces gens là sont responsables de rendre les autres plus cons qu'avant, et de leur faire croire à des rêves idiots. Regardez, c'est facile de coder, waouh je fais des choses trop bien, vous allez être développeurs grâce à ma formation. Résultat ? Trop de personnes s'étant reconverties avec des formations minables, sans culture, sans bagage sérieux, saturant les marchés.

Je pensais que la communauté Debian était une des pires, avec sa mentalité RTFM. Mais une communauté web la surclasse, celle qui adore le JavaScript et le web front ; constamment soumise à la hype, à réinventer la roue, à s'extasier devant des choses basiques ou peu originales, et à avoir l'arrogance de croire que le web va tout surclasser. Pire encore, une partie des membres de cette communauté va se former à l'arrache, et se croire meilleure. Heureusement, comme partout, il y a les bons et les mauvais artisans du logiciel, et j'ai de chouettes collègues qui font du développement web, mais bon sang, je n'ai jamais vu autant de kikoos et de crétins dans le développement web front end. On peut trop rapidement et trop facilement faire des choses, et surtout n'importe quoi et n'importe comment. Les mêmes nous font croire qu'il n'y a pas de problème à parler de front end quand on parle d'apps Android et iOS ; ils n'ont jamais touché à cet art pour comprendre à quel point ce propos est réducteur. Et de temps en temps, les mêmes, toujours, tentent de se tailler la part du lion en poussant leurs technologies à eux. PhoneGap, Cordova, Ionic, maintenant React. Autant de dette technique en puissance, voire en acte, et de dépendance à des outils que l'on ne maîtrise pas, sans parler du fait que ni Google d'un côté pour Android, ni Apple pour iOS, ni mêmes d'autres acteurs comme /e/ ne recommendent, à l'heure où j'écris ce lignes, de passer par ces outils tiers. Bref, que les clowns du développement web front end s'occupent déjà de faire des pages HTML propres et arrêtent d'entretenir les porcs comme Google et tous ceux qui ont travesti le web et se gavent dessus. Ils pourront donner des leçons et polluer le développement d'apps mobiles une fois que leur maison aura cessé de brûler. On n'a pas besoin qu'ils fassent les pompiers, juste que les flammes ne se propagent pas de chez eux à chez nous. Est-ce du gatekeeping ? Probablement, mais on en arrive là pour éviter le nivellement par le bas et l’uniformisation ridicules des environnements.

Le web social a permis le partage de la connaissance, il a aussi aidé à la fabrique du mensonge. On partageait aux autres avant, on s'étale aux yeux du monde maintenant.

On pensait même être tranquille avec le fediverse comme dans les écosystèmes Mastodon ou Pixelfed, mais on trouve encore des géants du numérique comme Meta qui tentent de mettre un pied dans la porte afin de récupérer toujours plus de données avec Threads par exemple. Ces prédations capitalistes ne sont pas nouvelles ; Google avait réussi à torpiller XMPP il y a un moment, et impose ses règles concernant les courriers électroniques avec Gmail.

Et forcément, la pub, la pub, les pisteurs, la pub, la pub... qui explosent la taille des pages web et consomment davantage de bande passante.

Bref

Le web est devenu trop compliqué. Nous avons oublié comme faire simple. On créé tous les jours du code legacy. On est devenu dépendant d'un navigateur. On est face aux géants du numérique qui cloisonnent tout. Le développement web est un développement au rabais. Le web 2.0 a créé des dindons arrogants entretenant la fabrique du mensonge et la superficialité. Le web est trop ravagé par les capitalismes de la donnée, de l'attention et de la surveillance. On a oublié toutes les valeurs initiales du web, et la merdification continue.

J'espère qu'on aura de belles histoires avec Gemini par exemple. Ou Kittens et le small web, ou le slow web.

Le web pue la merde, je ne l'ai jamais autant détesté qu'aujourd'hui. Il était émancipateur. Il est devenu privateur.

Quelques ressources en vrac pour aller plus loin et réfléchir un peu

1 – Sur le web environment integrity 2 – Firefox meurt 3 – À propos du small web 4 – Meta et le fediverse 5 – On peut avoir un autre web 6 – A brief history of web development. And why your framework doesn't matter. 7 – L’apocalypse Google avec le web synthétique 8 – Tracking Protection in Firefox For Privacy and Performance 9 – Et si on faisait du web comme en 1999, ou presque ? 10 – Spritely and Veilid: Exciting Projects Building the Peer-to-Peer Web 11 – Tariq Krim : le slow Web à la française 12 – The SOLID project 13 – Retour d'expérience concernant le navigateur web Brave 14 – Privacy or sensitive data… a list of tools to protect your дѕѕ 15 – Le jour où le Web s’enfonça un peu plus dans la tombe

Wall of shame

Dernière mise à jour : lundi 23 décembre 2024 🎃

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

Retour d'expérience concernant le navigateur web Brave

🇫🇷 – mardi 23 août 2022

Mots clés : #Brave, #privacy, #ViePrivée, #web, #cryptomonnaies

Un peu de contexte

En 2016 Brendan Eich (créateur de JavaScript, cofondateur de la Mozilla Foundation, cocréateur du langage de programmation Rust) lançait son nouveau projet du moment : un navigateur web respectueux de la vie privée et voulant redéfinir le modèle économique du web bien sclérosé par les capitalismes de la donnée personnelle, de l'attention et de la publicité. En plus de 20 ans d'existence, le web a largement été bouffé par la publicité à tout va, les régies publicitaires sans scrupules, et les piliers du web et du numérique plus généralement : GAFAM, NATU, BATX. Bref, Brendan Eich lança le navigateur web Brave, et en 2017 grâce à une grosse Initial Coin Offering (ICO) le projet du Basic Attention Token démarra.

De mon côté, je ne sais plus comment j'en suis arrivé à essayer Brave et à l'utiliser pendant 3 ans, mais je suppose que je devais avoir appris l'existence des Basic Attention Tokens, étant déjà bien calé avec mon Firefox.

Après environ trois ans d'utilisation, j'aimerai faire un bilan.

Le navigateur web

En soit, je n'ai pas vraiment utilisé d'autres navigateurs que celui-ci depuis un sacré moment. Internet Explorer ? Oublié depuis mes années lycée. Edge ? Jamais touché. Chrome ? Abandonné depuis les premières polémiques avec Google. De temps en temps Chromium, essentiellement Firefox. Presque jamais Safari. Très vaguement Opera. Ainsi il parait un peu hasardeux de comparer Brave à d'autres navigateurs web, je doute qu'il n'y ait aucun article à ce sujet.

Sous le capot, c'est du Chromium. Certes cette base est utilisée dans d'autres navigateurs (dont Opera, Edge et Vivaldi), mais ça reste du Google / Alphabet derrière, et on finit par centraliser les navigateurs vers une seule solution, qui même si elle est open source sous licence BSD 3-Clause appartient à un GAFAM. Bref, ce n'est pas une bonne idée.

J'ai pu utiliser ce navigateur que ce soit sur ordinateur (essentiellement macOS) que sur smartphone (iOS). En soit, il y a un réel comfort d'utilisation pour des tâches basiques : navigation sur le web, gestion des marque-pages, gestion de l'historique. À savoir pour les développeurs web, forcément Brave pour iOS utilise le framework WebKit d'Apple, tout comme ses concurrents.

L'usage

La publicité embarquée

Mon besoin était le suivant : je navigue sur les internets, en voulant un minimum de protection pour ma vie privée (mes exigences n'étant pas nécessairement les mêmes que celles des autres), et en voulant éviter de me bouffer de la publicité à tout va, tout en profitant des basic attention tokens. Et sans aucun add-on à installer.

Concernant la facilité d'utilisation, c'est classique, et je n'ai rien à dire de négatif à ce sujet et je mets Brave au même niveau que ses concurrents (à tort ?). Pour ce qui des publicités et des traceurs sur les sites web, je suis satisfait. J'ai pu tester le site web de 20 Minutes, choisi arbitrairement, en ayant activé les Brave shields et en les désactivant : de manière propre et transparente les publicités disparaissent et des pisteurs sont bloqués. Pour rappel, supprimer les publicités peut vous éviter de perdre votre attention, vous laisse davantage maitres de votre navigation web, et peut aussi réduire l'impact sur le traffic (moins de contenu tiers à télécharger sur votre appareil). Ci-dessous une comparaison avec la page sans les shields activés, et la page avec ceux-ci activés.

Page d'accueil du site de news 20 Minutes.fr avec deux encarts publicitaire Page d'accueil du site de news 20 Minutes.fr avec deux encarts publicitaire

La vie privée

Comme évoqué précédemment, les Brave shields permettent de protéger un minimum votre vie privée en agissant sur plusieurs leviers :

  • Le bloquage des traqueurs, balises et publicités, avec un mode “agressif” possible
  • Le forçage des requêtes vers HTTPS
  • Le bloquage de scripts (dont du code JavaScript)
  • Le bloquage des captures d'empreintes numériques
  • Le bloquage des cookies interdomaines

La prise en main est simple au possible, même s'il me semble que d'autres navigateurs embarquent par défaut certains de ces éléments. L'interface est simple, intuitive, et permet de voir aussitôt ou presque le résultat sur la page donnée. On accède au panneau de contrôle notamment via l'icône de la tête de lion dans la barre de recherche du navigateur, voyez ce panneau ci-dessous.

Panneau de contrôle des protections proposées par le navigateur web Brave

Si vous voulez en savoir davantage, consultez cet hyperlien sur les privacy shields et celui-ci sur les autres fonctionnalités protectrices de la vie privée.

Pour celles et ceux qui veulent aller plus loin, les préférences du navigateur proposent bien plus encore. Il est possible de forcer le navigateur web à afficher les pages originelles plutôt que les rendus optimisés pour les appareils mobiles, rendus générés par Google et son projet AMP. On peut aussi définir les listes de filtres à appliquer pour bloquer tout ou partie du contenu indésirable que l'on peut rencontrer au cours de sa navigation ; ces listes pouvant être déjà proposées ou définies à la main. De même, il est possible d'autoriser ou non les intégrations de réseaux sociaux et de services tiers (Google, Facebook, Twitter et LinkedIn). Et comme beaucoup de ses concurrents, on peut avec Brave définir son moteur de recherche par défaut (dont celui de Brave, Qwant, DuckDuckGo, Startpage, Ecosia et Google). Bref, ce que propose nativement Brave est déjà pas mal, même s'il serait intéressant de faire une comparaison avec un Tor Browser vanilla ou un Firefox avec des add-ons comme Privacy Badger et NoScript.

Enfin, Brave propose en plus du mode “navigation privée”, un mode “navigation privée avec TOR”. On peut ainsi passer par le système de routage en oignons pour être potentiellement moins pistés. Toutefois, j'ai déjà fait la comparaison entre ce mode et le navigateur TOR mentionné précédemment, et j'ai eu davantage de sites web qui plantaient avec Brave qu'avec le navigateur dédié à l'oignon. De plus, il faudrait regarder si pour ces deux cas le web fingerprinting n'est pas fructueux ; le navigateur à l'oignon va bien définir une fenêtre de navigation spéciale pour fausser ce calcul d'empreinte, mais quid de Brave ? Avec mon pote Seb on avait pu proposer ce sujet lors du Café Vie Privée que l'on avait monté à Lannion en 2018. Le support de présentation est d'ailleurs ici.

La publicité proposée

L'un des idéaux de Brave est de proposer autre chose concernant la publicité qui est jusque-là imposée aux usagers du web. Pourquoi devoir subir tous ces encarts publicitaires douteux, sachant que les régies quand ce ne sont pas les géants du web nous pistent pour toujours nous proposer autre chose ? Est-ce que la consommation de ces publicités ne représente pas un travail d'un genre nouveau ?

En 2021 le livre blanc du projet Basic Attention Token fut publié, et les différents chiffres présentés sur le site web basicattentiontoken.org sont intéressants : presque 60 millions d'utilisateurs mensuels du navigateur, plus de 400 annonceurs enregistrés et près de 2 000 campagnes en cours.

De manière générale, durant votre navigation sur le web vous pourrez recevoir sur votre appareil une notification assez classique, mettant en avant tel ou tel produit ou service. En cliquant sur cette notification, vous irez dans un onglet dédié tout droit vers le contenu publicitaire, et vous serez in fine prorata temporis rémunéré. Dit autrement, plus vous consommez de pubs de ce genre, plus vous cagnottez en Basic Attention Tokens (BAT). Par la suite, vous percevrez mensuellement une somme de BAT, et c'est reparti pour un autre mois. Bref, on ne vous force pas à voir de la pub, et on vous rémunère au temps passé si vous le faîtes. Curieux paradigme rafraîchissant dans un système où le pigeon qui regarde, clic, et achète est le même qui se bouffe toutes les pubs.

Que faire alors de ces tokens BAT ? Vous pouvez faire par exemple du staking, i.e. vous les mettez de côté en attendant / spéculant sur le fait que ça prenne de la valeur. Bref vous entretenez tout ce côté abscons, abjecte et malsain au possible que l'Homme a donné aux cryptomonnaies : vous spéculez, reproduisant le même schéma qui a échoué et qui devait être combattu par les premières cryptomonnaies. L'autre solution est de les convertir en devises “classiques”, mais un bref coup d'oeil aux taux de conversion devrait vous faire comprendre que ces tokens “ne valent pas grand chose”. D'après CoinMarketCap, 1 BAT vaut 0,365 dollar américain ou 0,37 euro d'après Coinbase. La dernière solution, la plus fidèle à la philosophie du projet, est de reverser ces tokens à des créateurs de contenus référencés chez Brave. La chose est aisée : via un autre bouton sur la barre de recherche du navigateur, on peut apprendre si le site web consulté est enregistré auprès de Brave et peut recevoir des tokens. En quelques clics, on envoie mensuellement ou en une seule fois une certaines quantité de tokens, Brave en retenant un petit pourcentage en guise de frais. D'ailleurs il y a quelques infos sur cette page web concernant les Brave publishers qui publient du contenu. La procédure est très rapide, et on peut le faire pour son site web, son profil Twitter et aussi son profil GitHub. Il faudra pour ça avoir un compte dédié à la gestion de vos cryptoactifs.

Panneau contextuel pour donner des BAT à un site web Panneau contextuel pour présenter le créateur à soutenir

Et finalement ?

Finalement je suis mitigé, car je suis déçu. Au début du projet, les choses étaient simples et faciles, mais je commence à cumuler les frustrations qui me feraient partir de nouveau vers Firefox.

D'une part, les publicités ne m'intéressent pas car elles tournent toujours autours de projets de cryptoactifs, ou de jeux Web3. Et j'ai été amené plusieurs fois sans raison apparante à refaire les réglages des notifications entre les versions macOS et iOS du navigateur. En plus de ça, je note que Brave décide d'aller plus loin en proposant un wallet pour gérer d'autres cryptoactifs, ce qui ne correspond plus à mon besoin initial. Il y a aussi d'autres services qui ne m'intéressent pas, comme le support natif WebTorrent et aussi Widevine (dehors les DRM !).

Puis vinrent les grosses frustrations. Auparavant, les choses se passaient bien sur iOS. Mais gagner des tokens BAT et les envoyer via une app sur un appareil Apple sans accepter leur racket ? Un rêve éveillé. Le coup de grâce finit par tomber fin 2020, et ça m'a vraiment saoulé. Je continuais tout de même de tester sur macOS le système des Basic Attention Tokens avec un des services wallet proposés pour gérer mes BAT, et il s'avère que du jour au lendemain, ma “région” (i.e. le pays du coq au vin et du claquos sur la baguette) n'était plus prise en charge ! Expliquez-moi donc comment utiliser un navigateur web qui cumule des tokens sans wallet ? Impossible.

Conclusion

Bref, devant des pubs qui ne me plaisaient pas, sachant que le nouveau paradigme proposé par les BAT ne semble pas vraiment prendre en 6 ans, et que l'on est toujours tributaire des “gros” (Apple et ses règles, et les lois des pays), j'ai du mal à voir un intérêt à Brave, alors que j'y ai vraiment cru. Toutefois, ça reste une solution intéressante pour naviguer tranquillement sur le web sans avoir à installer des extensions et faire trop de configuration. C'est toujours un beau projet, et c'est audacieux. En soit je ne regrette pas du tout d'être passé à ce navigateur web et d'avoir essayé son service basé sur les BAT. Mais quitte à avoir un navigateur web, autant qu'il corresponde davantage à mes besoins, ce qui n'est plus le cas aujourd'hui. Bref, Basic Attention Tokens comme Brave et cryptoactifs, je laisse tomber. Mais merci pour ce moment ! En attendant des jours meilleurs, je retourne sur Firefox 🔥

D'ailleurs si vous voulez creuser un peu les sujets de l'hygiène numérique et de la protection de la vie privée, 3 hyperliens en vrac : – Un article sur l'hygiène numériqueUn article (en anglais) sur la vie privée et des outils à avoir pour le numériqueLe site web du Café Vie Privée de Lannion de 2018

Sortez couverts !

Dernière mise à jour : mardi 23 mai 2023 Précédemment sur paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

Une bonne dose de café… vie privée

🇫🇷 – vendredi 19 novembre 2021

Mots clés : #ViePrivée, #cryptoparty, #chiffrofête, #Lannion, #privacy

Logo du Café Vie Privée de Lannion 2018

Bon, j’ai enfin un peu de temps pour moi pour avancer sur ce blog, et faire un retour sur un truc qui a mieux marché que prévu. Une idée lancée en l’air autour de bières entre deux copains (1) : un café vie privée, dans leur patelin au fond du Trégor.

En quelques mots, les “cafés vie privée”, ou les “install parties”, ou encore les “chiffro-fêtes” ou “cryptoparties” sont des rencontres qui sentent bon les effluves de geeks, de libristes, de libertaires et de cryptanarchistes. Mais pas que. Là où les “install parties” mettent le focus sur l’installation de systèmes d’exploitation sur ordinateurs et téléphones, les “cryptoparties” se concentrent davantage sur les sujets autour du chiffrement, et notamment l’échange de clés cryptographiques. Pour les “cafés vie privée” c’est un peu différent. On retrouve le même esprit, à savoir se poser dans un lieu convivial, papoter et faire des trucs cools, mais on va peut-être moins entrer dans le dur et être davantage dans la vulgarisation et le partage. Il en faut pour tous les goûts. Enfin bref chacun fait à sa sauce mais vous voyez l’idée.

Mais pourquoi en avoir organisé un ? Parce qu’on avait, entre potes, l’envie. Et paf.

Peu de temps après l’édition 2018 de Libre en Fête en Trégor, qui a bien cartonné soit dit en passant, Séb et moi avions une discussion, de celles qu’on retrouve autour de plusieurs pintes dans un bar entre copains (2):

« Ca te manque pas un peu l’ambiance de Libre en Fête ? – Ouais carrément. Faudrait qu’on refasse un truc. Plus petit, sans pression ni ambition. Un truc intime, 40 danseurs, 80 musiciens, 300 invités. – Genre chiffro-fête ? – Oui, mais commencer doucement pour pas perdre tout le monde. Genre un gros meetup, mais pour tout le monde, du plus geek ou plus néophyte pour oublier personne. – Ah bah un café vie privée alors ! »

Merci Séb pour l’idée !

L’idée de base donc : faire une truc tranquille, si ça attire 10 personnes c’est cool. Entre les meetups de Code d’Amor, le Libre en Fête et avant ça le Startup Weekend de Saint Brieuc, faire un truc sans trop de monde ni budget ni paperasserie ni pression c’est chouette.

Première étape: faire de la communication. Bon, service minimum, Twitter et Mastodon, et bouche à oreille. Sans prétention on a dit.

Ouais mais ok, question conne : on fait ça où ?

Ah. Ah bah oui. C’est vrai que quitte à y aller en freestyle, on n’avait rien prévu. Le lieu donc.

Déjà condition indispensable sur laquelle aucun de nous ne voulait transiger : un bar, qui sert de la bonne bière, en pinte. À Lannion, ça va, il y a des candidats. Par pure conscience professionnelle on a dû se faire un avis approfondi sur la question. On élimine ceux trop petits ou aux salles étouffantes, d’autres étaient fermés. Certains étaient commerciaux et trop bruyants. Et d’autres c’était non car on trouvait que les gérants étaient des gros cons. Ah bah oui, pour une fois on met le respect en prison.

Puis, vint l’idée lumineuse : Le Truc. Endroit super sympa, gérants adorables (merci Elise et William !), tapas et bières vraiment plaisants, et aussi, du choix pour les végans, les végétariens et ceux qui ne consomment pas d’alcool. Et en plus, cerise sur le gateau : ils avaient une toile et un vidéoprojecteur ! Nickel. Puis c’était notre repère aussi.

Salon qui semble comfortable et chaleureux avec canapé marron, chaises et tables

Sauf que, on n’avait pas encore pensé à quelque chose. Le lieu, la date, la communication ok. Mais le contenu ? Ah oui, faut que ça plaise.

D’emblée, je propose un sujet sur un thème que j’aimais bien, les cryptomonnaies. Sur le coup ce n’était pas une mauvaise idée, mais finalement on aurait dû la garder pour la fin car le sujet était un peu hardcore quand même. Déjà fallait faire digérer le concept de cryptomonnaies, et ensuite faire comprendre ce qu’il y avait sous le capot de ZCash et Monero. Aouch. Séb avait envie de parler de web fingerprinting et des usages des internets. Nickel, un sujet facile à aborder, complet, et qui va être bien intéressant. Et que les gens peuvent appliquer en rentrant à la maison !

Deux sujets c’est chouette, mais si on pouvait faire plus ?

À ce moment là ça commençait à partir en sucette, un peu. Trop d’idées d’un coup, trop de temps libre à meubler, et pas l’un pour rattraper l’autre. Alors, demandons aux copains !

Pas de chance syl de Nos Oignons était sous l’eau, pas grave, on comprend carrément. Tentons clochix alors ; bingo ! Il était super partant pour parler hygiène numérique, ça nous faisait plaisir car on aimait bien ce qu’il partageait sur les réseaux sociaux, et on avait appris un paquet de trucs grâce à lui. Allez on est fou, on tente aeris22 pour les mêmes raisons. Loupé, pas dispo et pas dans le coin, dommage ! Et je ne sais plus du tout comment, des copains de Saint Brieuc étaient chauds pour parler de leur projet de fournisseur d’accès internet associatif : FAIbreizh. Parfait ! 4 sujets, on touche à plein de choses, ça va plaire, et y’a les potos.

Là on se dit bon, on est bien.

Y’a ce qu’il faut.

On a la communication, les sujets, le lieux, le cadre et l’ambiance du lieu, on incitera le public à être cool et à pas squatter le bar sans consommer, on poussera pas à la consommation pour autant, chacun se responsabilise.

Mais… encore une fois, pas l’un pour rattraper l’autre.

« Tiens, et si on avait de goodies ? Ce serait cool. – Mais on demande à qui ? – Allez au pif, Qwant. On va demander à Tristan Nitot directement. – Genre ? – Genre. »

Et bah on a remercié Tristan pour les stickers et les flyers, ils ont fait fureur !

« Oui mais bon, FDN, FFDN, Framasoft, l’April, La Quadrature du Net… on tente ? – Allez, au culot, on tente »

On a tenté. Et j’ai jamais eu autant de goodies. Et quand ce n’était pas directement les associations qui pensaient à nous comme Framasoft et FDN, c’était les adhérents ou sympathisants des autres qui habitaient dans le coin qui venaient avec ce qu’il fallait. Tout le monde a répondu.

On s’est pas dit sur le coup que si tout le monde nous suivait comme ça, c’est que y’avait du monde intéressé. Oups.

« Bon, c’est bien tout ça, mais si on faisait des goodies « utiles » ? – Ah ouais, des caches webcams ! – Allez banzaï »

J’ai découvert Thingiverse. C’est pas bien Thingiverse. Faut vraiment pas que j’ai une imprimante 3D. Et paf les cache-webcams ! Un peu de sous dans la cagnotte participative du FabLab de Lannion et aussi dans le tiers lieu d’Orange, et hop.

Cache webcam blanc

Sauf que voilà, à un moment, on a les goodies en stock avec tout le reste mais une idée me trottait en tête… faire des affiches ? Non Séb va ronchonner, on a dit qu'on faisait un truc tranquille pour une fois, pas d'ambition. Relax. Ça ne m'a pas empêché de le revoir un soir avec deux types d'affiches à mettre partout. Elles étaient jolies (tout est relatif bien entendu), et au moins on mettait les logos de ceux qui étaient avec nous, surtout le bar quand même. Hop, une dizaine d'affiches par ci par là… et on sera bon.

Affiche Affiche

Oui mais… mais il manque un truc. Un p’tit truc en plus pour la postérité. Après tout, en une soirée bien énervé y’a moyen. Pourquoi pas un site web ?

J’en connais un qui devait éviter les baffes de l’autre. Bon à ce rythme là on n’était plus trop dans le truc tranquille. Mais y’avait un site web tout simple de fait. Avec un nom de domaine en .bzh. Quand même, bordel cafe-vie-privee-lannion.bzh ça claque.

On était bien. Bien bien bien. Un peu loin de l’idée de base dans un coin de bar avec 3 bouts de ficelles et une planche sur tréteaux, mais bon.

Sauf que la ville avait relayé l’info (on avait dû mettre ça dans l’agenda, je ne sais plus) et… les médias locaux ce sont intéressés à nous. Un. Puis deux. Puis trois. Merde, pas prévu non plus ça. Et même la radio, car le journaliste était déjà bien sensibilisé à la protection de la vie privée ! Et aussi l’info fut diffusée via l’Agenda du Libre.

Et donc c’est parti pour les articles de presse. Le seul regret, c’est qu’on voulait amorcer un truc, lancer une idée, et ensuite que chacun puisse prendre les clés du camion et continuer après nous. On ne voulait surtout pas qu’on soit identifiés comme les deux barbus qui gèrent ça. Pour ça qu’on ne voulait pas faire d’association ou de collectif à l’avenir. Mais bon, les articles de presse sans photos ni citation des personnes… allez on se plie à l’exercice. Nous qui adorons les photos en plus.

Donc on en est là.

Lieu, ambiance, sujets, goodies, goodies faits maison, copains. Affiches. Articles de presse. Site web. Annonce municipale. Bien, bien loin du truc initial, on s’est pas ménagé finalement. Et vint le jour J.

On s’installe, pépouze, no stress, on a tout le matos. Elise et William avaient tout préparé, de vrais amours, et leurs chats se demandaient ce qui allait se passer. Puis viennent les copains, avec leurs potes. Et leurs potes ont ramené des potes. On est une grosse dizaine, on va commencer. Puis ça rentre dans le bar, et nous rejoint. Une vingtaine, cool ! On commence, on attend encore quelques instants, puis encore du monde. Oui, y’avait déjà des gens qui étaient dans le bar avant notre arrivée ; on pensait qu’ils vivaient leur vie tranquille mais non, ils nous attendaient. Une trentaine de personnes, chouette. Par contre la salle dans le bar est pleine. C’est cool mais faut pas plus, allez on lance.

On démarre le premier sujet… et ça n’arrête pas. Ca rentre, ça rentre, ça rentre. Plus de place pour voir les diapos. Un peu galère pour circuler et prendre une mousse ou des tapas.

Et ça rentre encore, on en est à un quarantaine. Oui mais y’avait aussi les potes des potes de Saint Brieuc dans les embouteillages, qui arrivent plus tard.

On est presque une cinquantaine. Merde, c’était pas prévu. Et gros soucis : on n’avait pas de micro. Car autant à 10 dans un coin de salle, ça va. Mais autant de monde dans un bar bondé avec des murs épais… fallait un micro. Bon plus qu’à faire sans ! Heureusement que le bar faisait des grogs. Bobo la gorge.

Et finalement ? Ça a cartonné. Élise et William étaient contents, même si les gens auraient pu ne pa se contenter de rester à écouter sans prendre un truc. Ça par contre ça me m'a bien gonflé. Mais on m'a appris à ne pas être exigeant avec les autres, juste moi-même. Le public ? Ravi aussi, même si le sujet des cryptomonnaies au début avait bien fait flipper. Les autres sujets ont vraiment été appréciés, et ont permis d’avoir des échanges entre les uns et les autres. On commençait à créer un truc bien sympa, convivial, ouvert, respectueux et plein de partage. Les gens sont rentrés chez eux avec quelque chose à mettre en pratique, ils ne sont pas venus pour rien. Ça, ça vaut de l'or.

Et nous dans tout ça ? Foutrement contents. Ça avait cartonné. Bon, portés par l’idée on ne maitrisait plus rien et on avait bien explosé le peu d’ambition de base, mais ça valait le coup.

On s'était dit qu’on allait recommencer tous les 2 ou 3 mois, parler des OS pour smartphones, et caler des session d’échanges de clés. Y’avait moyen.

Mais… mais finalement l’un comme l’autre on a eu nos contraintes pros et persos, et finalement on a quitté la région. Séb d’abord, puis moi. On avait lancé quelques bouteilles à la mer pour que d’autres reprennent le bébé, mais ça n’a pas marché. Alors, un peu dépités quand même, on s’est dit qu’au moins on aurait fait un truc chouette au Truc, avec des bons moments et des copains qui ont bien aidé. Et que ça a servi aux gens. Les comptes Twitter et Mastodon ont été supprimés, pas fan d’avoir des comptes qui étaient inactifs.

On a gardé le site web par contre, c’est pas pour ce que coûte l’hébergement web et le nom de domaine. On en a profité pour y rendre accessibles les supports de présentation, et aussi quelques ressources pour aller plus loin. Il y aura de beaux restes.

Voilà ce que peut donner une idée lancée comme ça, entre deux potes (3), autours de bières. Faut s’attendre à tout, même au meilleur ! D’ailleurs on a refait un dossier de presse après le truc.

Extrait de Ouest France en date du 23/20/2018

(1) madame était là aussi, et je la remercie de pas s’être enfuie vu les échanges qu’on avait Seb et moi ❤ (2) mais je l’aime hein ! (3) elle va me manger tout cru 🙀

Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.