Sécurité ?

31/01/2019 Non Par cborne

Souvenez-vous, il n’y a pas si longtemps, on apprenait que Microsoft abandonnait le développement de Edge pour passer sous Chromium. Beaucoup, dont je fais partie, se sont inquiétés de voir avec cette disparition de plus, la fin de la diversité des navigateurs sur internet et par le fait, un net modelé pour Chromium, Chrome. Dernièrement un ingénieur de Microsofft a déclaré :

il est temps pour Mozilla de descendre de sa tour d’ivoire philosophique. Le web est actuellement dominé par Chromium. S’ils se soucient vraiment du Web, ils devraient y contribuer plutôt que de construire un univers parallèle utilisé par moins de 5% d’utilisateurs

https://www.generation-nt.com/quand-microsoft-permet-faire-lecon-mozilla-firefox-actualite-1961576.html

Alors forcément la première réaction, y compris la mienne, c’est la réaction épidermique. Mauvais perdant, Microsoft qui s’est lamentablement vautré avec son navigateur devrait balayer devant sa porte, prendre acte de son échec et ne pas se moquer de son voisin qui tente encore de se battre. À froid la réflexion n’est peut-être pas si profondément débile que cela.

Il faut déjà faire la différence entre Chromium et Chrome. Je vais vous le dire tel que je le pense, c’est certainement discutable ou simpliste, mais à partir du moment où Chromium est empaqueté par Debian sans aucun compromis, cela signifie que Chromium ce n’est peut-être pas le bien mais en tout cas ce n’est pas le mal. On notera que Chromium n’est pas implémenté dans Trisquel la distribution des vrais barbus libristes, le motif invoqué : 1) Copyright or license of some code is unclear (2) Links to proprietary plugins. Ce qui me paraît important c’est qu’il s’agit d’un problème de licence et de liens vers des plugins propriétaires, mais en aucun cas un gros spyware qui envoie l’intégralité des données à Google. Chromium est donc sur le papier, un navigateur qui serait respectueux de la vie privée, imaginons qu’il ne le soit pas, les navigateurs qui le forkent comme Brave annoncent quant à eux qu’ils sont respectueux. On peut supposer que si Brave envoyait ses données à Google on l’aurait su, on peut donc supposer qu’il est possible de couper les ponts entre Chromium et Google.

À partir de ce postulat, pourquoi effectivement ne pas imaginer qu’à l’instar du bluray qui a gagné la guerre face au HD-DVD, qui pour la petite histoire était le format supporté par Microsoft au lancement de la Xbox 360, comme quoi Microsoft aime perdre, Chromium serait le standard des navigateurs, comme le mp3 a été le standard de la musique. Vous noterez que l’analogie n’est pas trop mauvaise, un navigateur comme standard, l’ogg vorbis existe, le FLAC existe mais ces formats qui ont rencontré moins de succès ne sont lus que par très peu d’appareils. Si on poursuit ce parallèle, cela voudrait dire qu’il faudrait accepter que Chromium soit le standard et que certains sites ou applications en ligne ne soient pas compatibles avec Firefox. L’erreur de mon raisonnement c’est que le standard n’est pas un navigateur, le standard c’est le web, le code c’est le standard et c’est au navigateur de s’adapter au code, pas au code de changer pour être interprété par le navigateur.

Une image qui n’est plus d’actualité mais qui envoie du rêve

Pour l’instant, je n’ai aucune raison d’arrêter d’utiliser Firefox, si ce n’est que je pense que la fondation Mozilla ne prend pas les bonnes orientations et fait souvent n’importe quoi. Je rajouterai que c’est une porte de sortie éventuelle, une économie conséquente qui permettrait un recentrage éventuel et intéressant. On raisonne toujours en moteur de rendu, comme s’il s’agissait d’une importance capitale, alors qu’en fait tout le monde s’en fout. Quand je dis tout le monde s’en fout, j’entends la grande majorité des utilisateurs finaux, pas les dev ou les barbus. L’utilisateur final va principalement s’intéresser à la rapidité du navigateur, et peut-être, en tout cas on essaie de lui faire croire, à la sécurité, au fait que ses données ne soient pas aspirées à gauche à droite même si je pense que c’est un peu mort.

Quand 01net titre : Comment protéger vos données privées sur Internet ? Est-ce que nous ne sommes pas face à un oxymore ? Aller sur internet et protéger ses données, est-ce réellement compatible ? Dans les conseils qu’on trouve, changer de navigateur et opter pour Firefox, utiliser un gestionnaire de mots de passe plutôt que de faire confiance au navigateur. En un coup, l’article arrive à une espèce de contradiction, Firefox c’est mieux mais pas assez pour gérer les mots de passe. En invitant de plus à l’utilisation d’un logiciel supplémentaire, on rajoute une dépendance, on rajoute des failles de sécurité potentielles. J’évite mes commentaires quant au changement de DNS proposé et de passer par Cloudflare, un tiers privé pour dire que cet article est dans l’air du temps, se concentrer sur les outils sans tenir compte des usages. Pour moi, le problème vient principalement des usages. J’aurais pu avoir toute la batterie de logiciels au monde pour me protéger, et pourtant même Linux n’a rien pu faire, mes comptes Dailymotion et Linkedin ont été hackés. C’est un peu la réflexion que je faisais sur le billet de Denis où il écrivait que quelqu’un qui se revendiquait spécialiste informatique et qui utilisait Google Chrome est un branquignole, j’ai écrit que ce n’est pas si simple.

Ce n’est pas si simple, parce que malgré nos Linux, malgré nos bonnes pratiques, rien ne garantit que les services que nous utilisons sont sécurisés. C’est encore moins simple parce que nous nous mettons en danger par nos propres comportements, parfois de façon consciente, parfois moins. Par exemple nous utilisons majoritairement des smartphones Android, par le fait nous faisons cadeau de nos données à de nombreux programmes, à de nombreuses sociétés, à de nombreux services. Il s’agit d’une mise en danger volontaire, je pourrais me passer purement et simplement de smartphone pour revenir au clapet ou me payer un iphone. On aura beau cracher sur la marque à la pomme, lorsqu’on lit que les actionnaires sont mécontents parce qu’Apple ne pompe pas les données des gens, je me dis que mon billet sur la notion libre, non libre qui appartient au passé a vraiment du sens.

Et quand bien même nous serions particulièrement respectueux, nous utiliserions uniquement des services, des appareils, libres, sécurisés, qui ne collectent rien, il suffit d’écrire à un correspondant qui quant à lui possède une adresse mail chez un aspirateur de données, l’affaire est faite. Parfois même dans des situations encore plus simples, vous êtes à table lors d’un repas, vous voilà sur facebook avec un tag pour vous identifier.

J’suis perdu d’avance, si tu veux faire comme moi entre dans la danse.

Si on suit mon discours c’est perdu d’avance et je le pense. Je pense de façon sincère, profonde, que d’utiliser TOR pour naviguer c’est stérile, que de passer par douze VPN ne sert à rien. Je pense simplement que dès qu’il s’agit d’aller sur internet, d’utiliser des appareils connectés, la sécurité est tellement fragile, fébrile, tellement complexe, tellement indépendante de notre volonté qu’à part déconnecter, nous ne pouvons que subir.

A terme, il est fort à parier que l’on finisse tous à poil sur internet. La Palice n’aurait certainement pas dit mieux, mais il est certain que c’est ceux qui en ont mis le moins qu’on verra le moins. À défaut de ne pas avoir la main, ou très peu sur les outils que nous utilisons, nous avons encore plus ou moins la maîtrise sur les usages. J’évoque le plus ou moins parce que lorsqu’on sait que Facebook fabrique des profils fantômes de personnes qui n’ont pas de compte, il y a certainement quelques usages qui nous échappent.

Dès lors, éviter d’écrire, de publier des photos qui potentiellement pourraient vous nuire de façon privée, le privé sur internet n’est qu’une vue de l’esprit, lorsqu’on sait par exemple que vos messages privés ont pu être accessibles à des sociétés moyennant finance. Eric Schmidt patron de Google avait déclaré : Si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà commencer par ne pas le faire. A l’époque en 2009, sa phrase avait fait scandale, nous étions tellement loin de cet internet de la traque, c’était un autre temps, où la seule crainte c’était la divulgation d’un message privé ou d’un mail. Phrase choc hier, parole juste aujourd’hui, nos actes teintés de bon sens sont indiscutablement la meilleure sécurité, bien plus efficaces que les outils aussi performants soient ils.