Discussion :

[Jade Emy]

"Votre ordinateur doit dire ce que vous lui demandez de dire", une critique de l'EFF contre l'évolution de Chrome qui diminue le contrôle que vous exercez sur votre propre ordinateur.

Google ajoute un code à Chrome qui enverra des informations infalsifiables sur votre système d'exploitation et d'autres logiciels, et les partagera avec des sites web. Google affirme que cela permettra de réduire la fraude publicitaire. Un article de l'EFF écrit par Cory Doctorow et Jacob Hoffman-Andrews critique cette évolution de Chrome qui diminue le contrôle que vous exercez sur votre propre ordinateur. Voici un extrait.

En pratique, ce code réduit le contrôle que vous exercez sur votre propre ordinateur, et il est probable que certains sites web bloqueront l'accès à tous ceux qui n'utilisent pas un système d'exploitation et un navigateur "approuvés". Cela augmente également la barrière à l'entrée pour les nouveaux navigateurs, ce que les employés de Google ont reconnu dans un explicatif non officiel de la nouvelle fonctionnalité, Web Environment Integrity (WEI).

Quelques éléments de contexte

Lorsque votre navigateur se connecte à un serveur web, il envoie automatiquement une description de votre appareil et de votre navigateur. Le serveur à l'autre bout de la connexion peut demander des informations encore plus détaillées, comme une liste des polices de caractères installées sur votre appareil, la taille de son écran, etc.

Les informations que votre navigateur envoie aux sites web à son sujet et au sujet de votre appareil sont strictement volontaires. Votre navigateur peut envoyer des informations précises sur vous, mais il n'est pas obligé de le faire. Il existe de nombreux plug-ins, outils de protection de la vie privée et préférences ésotériques que vous pouvez utiliser pour envoyer les informations de votre choix à des sites auxquels vous ne faites pas confiance.

Informatique sécurisée et attestation à distance

L'informatique sécurisée est conçue comme un système de surveillance de votre ordinateur que vous ne pouvez ni modifier ni reconfigurer. À l'origine, l'informatique sécurisée reposait sur un second processeur : un "Trusted Platform Module" ou TPM pour surveiller les parties de votre ordinateur avec lesquelles vous interagissez directement. Aujourd'hui, de nombreux appareils utilisent une "enclave sécurisée", un sous-système renforcé qui est soigneusement conçu pour garantir qu'il ne peut être modifié qu'avec l'autorisation du fabricant.

Outre le contrôle du code qui s'exécute sur votre appareil, ces systèmes de sécurité peuvent également fournir des informations sur votre matériel et vos logiciels à d'autres personnes sur l'internet. Les enclaves sécurisées et les TPM sont livrés avec des "clés de signature" cryptographiques. Elles peuvent recueillir des informations sur votre ordinateur : la version de son système d'exploitation, ses extensions, ses logiciels et son code de bas niveau comme les chargeurs de démarrage, et signer cryptographiquement toutes ces informations dans une "attestation".

Ces attestations modifient l'équilibre des pouvoirs en matière de communications en réseau. Lorsqu'un serveur distant veut savoir quel type d'appareil vous utilisez et comment il est configuré, il n'est plus obligé de vous croire sur parole. Il peut exiger une attestation.

Web Environment Integrity ? Pas question !

C'est là qu'intervient la proposition de Google. La WEI est une proposition technique visant à permettre aux serveurs de demander des attestations à distance à des appareils. Ces demandes étant relayées à l'enclave sécurisée de l'appareil ou au TPM, qui répondra par une description cryptographiquement signée et hautement fiable de votre appareil. Vous pouvez choisir de ne pas envoyer cette description au serveur distant, mais vous perdez la possibilité d'envoyer une description modifiée ou aléatoire de votre appareil et de ses logiciels si vous pensez que c'est ce qui vous convient le mieux.

Dans leur proposition, les ingénieurs de Google revendiquent plusieurs avantages d'un tel système. Mais, malgré leurs vaillantes tentatives de présenter ces avantages comme revenant aux propriétaires d'appareils, ils sont en réalité conçus pour bénéficier aux propriétaires de services commerciaux. L'avantage pour les utilisateurs provient de l'hypothèse selon laquelle les opérateurs commerciaux utiliseront les bénéfices supplémentaires de l'attestation à distance pour améliorer leurs services pour leurs utilisateurs.

Vous êtes le patron de votre ordinateur

Votre ordinateur vous appartient. Vous en êtes le patron. Il doit faire ce que vous lui demandez.

Le web est la dernière grande plateforme ouverte qui reste sur l'internet. La dernière plateforme où tout le monde peut créer un navigateur ou un site web et participer, sans avoir à demander la permission ou à répondre aux spécifications de quelqu'un d'autre.

Vous êtes le patron de votre ordinateur. Si un site web met en place un point de contrôle virtuel qui dit : "Seules les technologies approuvées au-delà de ce point", vous devriez avoir le droit de lui dire ce qu'il veut entendre, même si le site vous refuserait s'il connaissait la vérité à votre sujet.

Les informaticiens n'ont pas à décider de l'utilisation d'une technologie. L'ajout de l'attestation sur le web comporte le risque tout à fait prévisible que les entreprises l'utilisent pour attaquer le droit des utilisateurs à configurer leurs appareils en fonction de leurs besoins, même lorsque cela entre en conflit avec les priorités commerciales des entreprises technologiques.

La WEI ne devrait pas être créée. Si elle est créée, elle ne doit pas être utilisée.

Source : Cory Doctorow et Jacob Hoffman-Andrews

Et vous ?

Pensez-vous que cette critique est crédible ou pertinente ?
Quel est votre avis sur cette nouvelle fonctionnalité de Chrome ?

Voir aussi :

Google Chrome est apparemment truffé de problèmes de sécurité,
Au moins 303 vulnérabilités auraient déjà été découvertes dans le navigateur Web de Google en 2022

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques
La plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Google annonce la prise en charge par défaut de WebGPU dans le navigateur Chrome 113
L'API permet de créer des graphiques 3D haute performance et d'effectuer des calculs parallèles sur le web

[walfrat]

Vous êtes le patron de votre ordinateur. Si un site web met en place un point de contrôle virtuel qui dit : "Seules les technologies approuvées au-delà de ce point", vous devriez avoir le droit de lui dire ce qu'il veut entendre, même si le site vous refuserait s'il connaissait la vérité à votre sujet.

Pas d'accord, si ton ordi t'appartient et que tu le contrôles, je ne vois pas de problème, mais dans ce cas le site sur lequel aussi tu te connectes et qui appartiens à une autre personne à le droit aussi de contrôler ce qui ce passe sur son site et donc de demander des informations.

Pour moi le juste milieu serait des sites qui te demandes certaines infos pour vérifier si ton ordinateur est légitime plutôt qu'un bot, tu acceptes ou tu refuses. Vouloir tout le contrôle de ton PC sans que les sites web que tu te connectes aient le droit de pouvoir vérifier quoique ce soit, j'appelle ça le coup du beurre et de la crémière (ou crémier soyons pas sexistes :p). D'une certaine façon, c'est ce que faisais les captchas dans ce cas ou les sites qui refusent l'accès et qui demande un compte avec un email valide. Il le font juste maladroitement vu que ça se contourne.
Si on en as quelque chose à faire de la santé du Web, et surtout des petits, il faut se préoccuper aussi de ce que subissent les sites, et pas que ton PC à toi.

Enfin en tant que joueur de jeu vidéo, cela reviens à encourager la triche, alors non merci.

[Kulvar]

(...)

Le site t'envoi des documents, comment tu décides de les afficher c'est ton choix. Si tu veux utiliser des outils d'accessibilité pour plus facilement les consulter, si tu veux altérer le style parce que tu détestes les couleurs qu'ils ont choisi, ou si tu veux utiliser un plugin pour ajouter un thème sombre, c'est ta liberté et ton choix. Derrière le site décide s'il accepte tes requêtes ou non. Mais il n'a rien à dire sur la manière dont tu choisis d'afficher le document.

[walfrat]

Le site t'envoi des documents, comment tu décides de les afficher c'est ton choix. Si tu veux utiliser des outils d'accessibilité pour plus facilement les consulter, si tu veux altérer le style parce que tu détestes les couleurs qu'ils ont choisi, ou si tu veux utiliser un plugin pour ajouter un thème sombre, c'est ta liberté et ton choix. Derrière le site décide s'il accepte tes requêtes ou non. Mais il n'a rien à dire sur la manière dont tu choisis d'afficher le document.

Mais je n'ai aucun problème avec ça je l'ai dit même :

Pas d'accord, si ton ordi t'appartient et que tu le contrôles, je ne vois pas de problème, mais dans ce cas le site sur lequel aussi tu te connectes et qui appartiens à une autre personne à le droit aussi de contrôler ce qui ce passe sur son site et donc de demander des informations.

Quand je parle qu'un site contrôle ce qui se passe sur son site, cela signifie le serveur. A savoir s'il veut ou pas t’autoriser à donner l'accès, ou aussi enregistrer l'activité (comprendre les requêtes Web que tu fais au serveur) que tu as sur son site.

Ce que je défend ici, c'est le droit à un site de dire "non" à un visiteur au même titre que ton ordinateur peur dire "non" je veux pas envoyer d'infos personnelles/WEI/etc à ce site, quitte à ce que je le site dise "bah t'auras pas accès".

Et quand je défend cette pensée, je pense avant tout aux petits et moyens qui ont pas les même moyens que les gros pour se protéger des bots, etc.

[TotoParis]

Chrome de Google et ses centaines de bugs souvent critiques...
Google devrait balayer devant sa porte avant de faire ch*er les autres.

[TotoParis]

Mais je n'ai aucun problème avec ça je l'ai dit même :



Quand je parle qu'un site contrôle ce qui se passe sur son site, cela signifie le serveur. A savoir s'il veut ou pas t’autoriser à donner l'accès, ou aussi enregistrer l'activité (comprendre les requêtes Web que tu fais au serveur) que tu as sur son site.

Ce que je défend ici, c'est le droit à un site de dire "non" à un visiteur au même titre que ton ordinateur peur dire "non" je veux pas envoyer d'infos personnelles/WEI/etc à ce site, quitte à ce que je le site dise "bah t'auras pas accès".

Et quand je défend cette pensée, je pense avant tout aux petits et moyens qui ont pas les même moyens que les gros pour se protéger des bots, etc.

ON NE PEUT PAS FAIRE CONFIANCE A GOOGLE : C'EST UN AUXILLIAIRE DE RENSEIGNEMENT POUR LA NSA ET LA CIA.

[Gluups]

Google ajoute un code à Chrome qui enverra des informations infalsifiables sur votre système d'exploitation et d'autres logiciels, et les partagera avec des sites web. Google affirme que cela permettra de réduire la fraude publicitaire.

Et ... Google a des arguments, à l'appui de cette affirmation ?

Hormis le fait que ce problème se produit parce que des gens ont accepté, sans rire, d'entendre Google et confidentialité dans la même phrase.

[Gluups]

si tu veux altérer le style parce que tu détestes les couleurs qu'ils ont choisi

ou plus prosaïquement pour pouvoir lire le contenu.

[Gluups]

certaines infos pour vérifier si ton ordinateur est légitime

Je ne vois pas au nom de quoi mon ordinateur ne serait pas légitime.

[domi65]

Le serveur à l'autre bout de la connexion peut demander des informations encore plus détaillées, comme une liste des polices de caractères installées sur votre appareil

J'apprends ça !
Comment il s'y prend ? Firefox répond aussi à ce genre de demande ?

Merci de m'éclairer.

[Gluups]

Ça ne paraît pas absurde.

La première chose que fait un site multilingue avant d'afficher une page, est de demander au navigateur quelles langues vous parlez. Par exemple dans Firefox sous Windows, c'est dans Outils paramètres, descendre jusqu'à Langues.

Il y a une langue principale, puis à côté il y a un bouton "choisir des alternatives", qui permet de saisir une liste de langues.

Pour afficher une page, on parcourt cette liste, et on sélectionne la première langue, trouvée dedans, pour laquelle la page à afficher propose un contenu.
Si la page ne propose de contenu pour aucune des langues de la liste, alors la page est affichée dans sa langue par défaut. Il est de coutume que la langue par défaut soit l'Anglais. Peut-être qu'un jour ce sera le Chinois mais alors pas mal de monde aura à s'adapter.

Pour les polices de caractères, il paraît logique, si un site veut afficher dans une police un peu exotique, qu'il s'assure que le navigateur va y comprendre quelque chose. Il existe d'ailleurs des options dans le navigateur pour lui dire d'afficher toujours dans la même police, et d'ignorer les propositions du site en la matière.

Pour la plupart des sujets on pourra facilement ignorer les polices du site. Si le sujet est la typographie en entrant dans le détail de ce que permettent différentes polices, là c'est clair que ça peut apporter quelque chose de laisser plus de latitude au site pour afficher ses exemples dans les polices appropriées.