2 points par GN⁺ 2023-07-30 | 1 commentaires | Partager sur WhatsApp
  • La Free Software Foundation estime que le Web Environment Integrity (WEI) de Google menace la liberté des utilisateurs d’accéder au Web avec le navigateur et le système d’exploitation de leur choix
  • WEI est une API qui permet à un site de vérifier, via un service d’attestation tiers, si l’environnement de navigation a été « altéré » avant de fournir une page
  • La FSF craint que cette vérification fonctionne de manière à n’autoriser que des configurations de navigateur reconnues par Google, bloquant ainsi l’accès des utilisateurs de navigateurs libres et de systèmes d’exploitation libres
  • Selon elle, le potentiel réel d’abus est plus important que les cas d’usage officiellement avancés dans le document de politique, et WEI pourrait servir à imposer des navigateurs approuvés, à renforcer le DRM et à restreindre l’accès aux services Google
  • La FSF affirme que WEI n’a aucune justification légitime et demande à Google d’arrêter immédiatement ce travail de standardisation, jugé incompatible avec un Internet libre

Pourquoi WEI entre en conflit avec l’Internet libre

  • La FSF estime que l’usage de navigateurs libres est plus important que jamais et critique le Web Environment Integrity de Google comme l’un des pires exemples récents des orientations prises par l’entreprise
  • WEI a commencé avec un document de politique publié d’abord sur GitHub par Microsoft, puis Google en a rapidement intégré le développement dans Chromium browser
  • Cette API permet aux développeurs d’approuver certaines configurations de navigateur et d’en interdire d’autres
  • La FSF considère que cette approche entre en collision frontale avec la conception historique d’Internet, où l’on peut accéder à des pages liées par hyperliens depuis des appareils, programmes et systèmes d’exploitation variés
  • WEI se rapproche davantage d’un DRM appliqué à l’ensemble du Web, rendant celui-ci plus fermé, et représente selon elle une étape majeure vers l’« enshittification » du Web

Fonctionnement et abus anticipés

  • Avec WEI, le serveur demande à un service tiers d’« attestation » de vérifier si l’environnement de navigation de l’utilisateur n’a pas été « altéré » avant de fournir la page Web
  • La FSF estime que ce serveur de vérification pourrait appartenir à Google et qu’il vérifierait si le navigateur ne s’écarte pas, même légèrement, d’une configuration acceptable pour Google
  • En conséquence, les utilisateurs auraient plus de mal à exercer concrètement les four freedoms, et certains sites pourraient refuser de servir leurs pages aux navigateurs libres ou aux systèmes d’exploitation libres
  • Le problème principal tiendrait moins aux cas d’usage légitimes mis en avant dans le document qu’aux usages réels qu’une telle technologie permettrait
    • Des gouvernements pourraient s’en servir pour n’autoriser l’accès à Internet qu’avec des navigateurs officiellement « approuvés »
    • Des entreprises comme Netflix pourraient l’utiliser pour renforcer le Digital Restrictions Management (DRM)
    • Google pourrait l’utiliser pour refuser l’accès à ses services si l’utilisateur n’emploie pas un navigateur conforme à ses intérêts
  • La FSF estime que WEI n’a « absolument aucune justification légitime » et critique le fait que son usage central réel serait de restreindre l’Internet libre
  • Les décideurs de Google devraient prendre en compte les principes fondateurs du Web, reconnaître que WEI est fondamentalement incompatible avec un Internet libre et interrompre immédiatement ce travail de standardisation

1 commentaires

 
GN⁺ 2023-07-30
Avis sur Hacker News
  • Articles liés. Ce serait bien de me signaler s’il y en a d’autres
    Le plan de Google pour la sécurité des navigateurs est critiqué comme dangereux, effroyable et comme un DRM pour les sites web - https://news.ycombinator.com/item?id=36893071 - juillet 2023 (63 commentaires)
    Google Web Environment Integrity est le nouveau Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - juillet 2023 (282 commentaires)
    Un employé de Google répond aux retours négatifs sur WEI - https://news.ycombinator.com/item?id=36881506 - juillet 2023 (25 commentaires)
    Google est déjà en train d’imposer WEI dans Chromium - https://news.ycombinator.com/item?id=36876301 - juillet 2023 (832 commentaires)
    Analyse de la spécification Web Environment Integrity de Google - https://news.ycombinator.com/item?id=36875940 - juillet 2023 (431 commentaires)
    Des ingénieurs de Google veulent rendre le blocage des pubs presque impossible - https://news.ycombinator.com/item?id=36875226 - juillet 2023 (468 commentaires)
    Google contre le web ouvert - https://news.ycombinator.com/item?id=36875164 - juillet 2023 (191 commentaires)
    Apple a déjà déployé l’attestation sur le web, et nous l’avons à peine remarqué - https://news.ycombinator.com/item?id=36862494 - juillet 2023 (421 commentaires)
    Le cauchemardesque « Web Integrity API » de Google veut instaurer un portier DRM pour le web - https://news.ycombinator.com/item?id=36854114 - juillet 2023 (456 commentaires)
    Proposition de Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - juillet 2023 (441 commentaires)
    Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - juillet 2023 (2 commentaires)
    Explication de Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - juillet 2023 (45 commentaires)
    Proposition Google Chrome – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - juillet 2023 (93 commentaires)
    Web Environment Integrity – Google veut verrouiller le navigateur - https://news.ycombinator.com/item?id=35864471 - mai 2023 (1 commentaire)

  • Je ne comprends pas pourquoi on laisse simplement Google faire ce genre d’absurdités. D’abord il y a eu le toast component, puis la suppression des notifications, Manifest V3, FLoC, et maintenant ça
    Une entreprise se comportera comme une entreprise, d’accord, mais quels choix restent-ils aux utilisateurs et aux futurs utilisateurs ? Je parle de ceux qui s’en fichent aujourd’hui, mais qui pourraient trouver utile la forme actuelle d’Internet
    Ça ne me dérange pas que Google cache ses propres produits derrière un mur accessible uniquement via un navigateur propriétaire impossible à modifier, mais j’aimerais qu’ils évitent de répandre ça partout. Nous continuons encore à « profiter » de reCAPTCHA, impossible à résoudre partout

    • Les CAPTCHA me posent un gros problème. En pratique, on entraîne gratuitement le moteur de reconnaissance d’images de Google
    • N’est-ce pas parce qu’on a laissé passer Apple quand ils ont fait la même chose ?
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
    • Tu as un lien sur le toast component ?
    • Tu parles de « reCAPTCHA impossible à résoudre partout », mais je ne vois presque jamais ce genre de chose
      Cela fait partie des vérifications par questions-réponses qui apparaissent quand un serveur juge le trafic suspect. En général, on peut les éviter en restant connecté, en ne bloquant pas les cookies et en n’utilisant pas Tor ni d’autres moyens de masquer son chemin d’accès
  • Pourtant, une API très similaire semble avoir été implémentée dans Safari depuis 2022. Bien la marketter semble avoir beaucoup d’effet. Je n’ai presque jamais vu ça discuté
    https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
    Le passage intéressant est le suivant : « Nous n’avons en réalité ni besoin ni envie des données sous-jacentes collectées au cours de ce processus ; nous voulons seulement vérifier si le visiteur usurpe son appareil ou son agent utilisateur »
    Dans l’exemple, lorsqu’un visiteur ouvre Safari sur un iPhone et tente de visiter example.com, Cloudflare demande un jeton au navigateur, et comme Safari prend en charge PAT, il demande une attestation à Apple Attester via un appel d’API
    L’attestateur d’Apple vérifie plusieurs composants de l’appareil pour en valider la légitimité, puis effectue un appel d’API vers Cloudflare Issuer ; Cloudflare Issuer crée alors un jeton et l’envoie au navigateur, qui le transmet au serveur d’origine
    Cloudflare reçoit ce jeton et en conclut qu’il n’est pas nécessaire d’afficher un CAPTCHA à cet utilisateur. Pour moi, cela ressemble énormément à WAI, mais comme ça s’appelle « Privacy Access Tokens », c’est forcément une bonne chose, non… ?
    Modification : il y a eu un fil HN il y a quelques jours, que j’avais raté : https://news.ycombinator.com/item?id=36862494

    • La stratégie de communication de Google consiste à dire : « il n’y a pas de quoi s’inquiéter, c’est similaire à ce que fait Apple ». Mais comme Google l’a lui-même écrit dans son document explicatif¹, les deux sont assez différents, et Google estime que PAT est insuffisant pour l’application des règles qu’il vise
      Par exemple, PAT se limite au fond à prouver « je ne suis pas un bot », sans nécessiter d’échange de données sur l’appareil et l’environnement du navigateur. À l’inverse, WEI a besoin de ces données pour permettre les usages de type DRM pour le Web dont nous parlons
      https://github.com/RupertBenWiser/Web-Environment-Integrity/...
    • Que signifie « vérifier si le visiteur usurpe son appareil ou son agent utilisateur » ? Cela veut probablement dire qu’un appareil ou un agent utilisateur prétend être quelque chose de précis alors qu’il est en réalité autre chose
      Mais les navigateurs mentent sur leur identité depuis des décennies. Et quelle est la différence entre un appareil/agent utilisateur falsifié et un appareil/agent utilisateur atypique ? De leur point de vue, il n’y en a probablement aucune
    • J’avais lu ça dans l’article original de Cloudflare l’an dernier. Cloudflare est une entreprise appréciée, mais j’avais pensé que c’était dangereux pour le Web
    • À mon avis, la différence est que PAT autorise les bloqueurs de publicité, alors que WEI ne le fera pas
  • C’est pour ça que j’ai commencé à regarder gopher. Je viens aussi de découvrir gemini, qui pourrait même m’intéresser davantage
    Les entreprises voient le succès d’Apple et font tout ce qu’elles peuvent pour créer des jardins clos. Et, dans une moindre mesure, il semble qu’elles commencent aussi à influencer l’orientation du développement de Linux
    Je me demande quand arrivera un DRM entièrement intégré pour valider les sites de streaming
    https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...

    • Nous devrions affronter le problème de front au lieu de continuer à chercher des contournements toujours plus obscurs. Je pense qu’un jour pourrait venir où, si un appareil ne réussit pas l’attestation, il ne pourra même pas se connecter au fournisseur d’accès à Internet
      Quand des API comme Android SafetyNet sont apparues, l’argument défensif était déjà : « si on ne peut pas utiliser l’appli, il suffit d’utiliser le site Web dans le navigateur ». Les entreprises ne s’arrêteront pas tant qu’elles ne contrôleront pas absolument toutes les couches de la pile
    • Je suis favorable aux alternatives à HTTP, mais cela n’a pas grand-chose à voir avec ce problème. Si un site ne veut pas être affecté par WEI, il lui suffit de ne pas utiliser l’API WEI
      Et des choses comme WEI peuvent tout à fait être implémentées au-dessus de ces protocoles, comme elles peuvent l’être au-dessus de HTTP. Ce sont des concepts complètement distincts
  • Lire ce genre de choses me rend terriblement cynique. J’ai d’abord envie de dire : « Jamais de la vie, pas sous mes yeux ! », puis je me rends compte que tout ce que je peux faire, c’est signer une pétition ou envoyer un e-mail à un responsable politique qui ne comprendra absolument pas ce que ça veut dire.
    C’est la même raison pour laquelle mon frère de la génération Z et les TikTokeurs de son âge s’en fichent. Les gens ne s’en soucient pas. Ils ont des problèmes plus importants, comme savoir avec quoi ils vont payer le loyer demain, et des spectacles plus divertissants, comme regarder quelqu’un faire semblant d’être un PNJ pendant cinq heures en lui donnant de l’argent.
    Beaucoup de gens avec qui j’ai travaillé étaient pareils. Ils ont l’habitude de se rendre compte qu’ils se font complètement avoir, et sont accros aux plaintes, mais seulement au sein de tout petits groupes partageant les mêmes préoccupations.
    C’est la révolution la plus démoralisante qui soit. DNS, bazar JavaScript, neutralité du Net, univers des navigateurs : c’est toujours le chaos, mais rien n’aboutit, on repousse sans cesse les responsabilités, puis plus tard on se retrouve dans un autre fil à se remémorer le bon vieux temps.
    Mais au final, qu’est-ce que je peux faire ? Refuser les PR ?

    • Je ne comprends pas pourquoi, dans chaque fil de ce genre, on voit sans cesse revenir ce discours négatif selon lequel « les gens s’en fichent ». Il n’est pas nécessaire que chaque personne dans la rue s’en soucie.
      Il suffit que des personnes ayant assez d’influence dans l’industrie et dans la régulation s’en soucient. Et c’est effectivement le cas. Tout le monde est furieux à ce sujet et le recommande, des entreprises et des organisations publient des textes.
      Il faut continuer ainsi, pousser d’autres entreprises à refuser, ou faire pression pour que ce soit bloqué par la réglementation. Ce que Google craint le plus, c’est le démantèlement. S’ils persistent, on peut contacter les parlementaires de façon organisée pour faire part de ces inquiétudes, et demander une réglementation ou un démantèlement face aux pratiques anticoncurrentielles de Google.
    • Le fait qu’il y ait déjà eu pas mal de débat public et de réaction est plutôt encourageant. Il faut se rappeler que cela ne fait qu’environ une semaine que le sujet est vraiment sur le devant de la scène. On ne peut pas gagner du jour au lendemain.
      Les gens s’en soucient. Simplement, créer une pression de l’opinion publique passe par des étapes. Le grand public doit prendre connaissance du problème, en apprendre et en comprendre les aspects techniques, puis organiser l’opposition. Ce n’est pas forcément un processus rapide.
    • Mieux vaut ne pas écrire aux responsables politiques, mais aux autorités de concurrence compétentes. Une discussion récente[1] en donne un exemple.
      [1] https://news.ycombinator.com/item?id=36877310
    • Il y a des choses à faire. Devenir un utilisateur avancé des outils de confidentialité aide à changer le paysage de la façon dont les gens utilisent la technologie et interagissent avec elle.
      Si l’on suppose que l’objectif principal est d’empêcher le blocage des publicités, je me demande si mon bloqueur DNS pinhole sera affecté. Si cette nouvelle norme pousse tout le monde vers des bloqueurs DNS, le paysage global pourrait s’améliorer, même au prix d’un petit coût pour les utilisateurs.
      Quand les gens croient que le système est libre et ouvert et n’en ressentent pas le besoin, l’adoption ou le soutien des outils de confidentialité reste très faible. Jusqu’à ce que les limites bougent, tout le monde est pris pour un adepte du chapeau en papier alu.
      Les gens devraient globalement mieux comprendre la protection des données personnelles, le contrôle des services, etc., mais ils restent passifs jusqu’à ce qu’ils n’aient plus d’autre option et doivent reprendre le contrôle.
    • Je comprends la colère. D’abord, je compatis. Mais la pression de la situation a tendance à faire porter la responsabilité non pas aux personnes qui font réellement cela, mais précisément à celles qui ne le font pas.
      Les utilisateurs d’électronique grand public ne sont pas ceux qui « votent » sur le contenu. Ce sont des systèmes informatiques fermés, hiérarchiques, privés et mus par des décisions internes, qui arrivent aux points de décision.
  • Heureusement qu’il existe des gens qui accordent de la valeur au fait de savoir ce genre de choses. Quand j’essaie de le diffuser, je me heurte surtout à l’ignorance.
    Cela ne concerne pas seulement Google. Ils semblent simplement vouloir être les premiers.
    La « théorie du complot » que j’appelle confinement numérique, c’est exactement ça. C’est une étape de plus dans cette direction, et quand on voit ce que cela fait, on se rapproche beaucoup trop de la destination.

  • Ils font comme si vérifier que nous utilisons tous le navigateur de Google allait nous rendre somehow plus sûrs. Comme si leurs développeurs étaient parfaits.
    Cette arrogance de la Big Tech est stupéfiante et agaçante.

  • « Vous pouvez visiter notre site web. Veuillez d’abord présenter vos menottes numériques. »

  • Quelqu’un peut m’expliquer comme si j’avais cinq ans ? Qu’est-ce qui va se passer ? Firefox va-t-il cesser de fonctionner sur la plupart des sites ? uBlock ne marchera plus ? Faudra-t-il envoyer un scan de notre rétine avant d’accéder aux sites du World Wide Web ?
    Enfin bon, on a déjà vécu sans Internet. J’installais Microsoft Flight Simulator avec des disquettes. Cette fois, il y aura juste un peu plus de disquettes. Rien de grave.

    • L’objectif final est probablement que Google et quelques entreprises contrôlent quels navigateurs web peuvent être utilisés pour accéder à la majeure partie du Web. Mozilla suivra peut-être, ou pas, mais ils avaient suivi pour EME.
      Linux pourrait ne pas fonctionner, sauf peut-être les builds Ubuntu et Red Hat. Et encore, seulement après ajout de la prise en charge. Il faudra une longue chaîne de vérification passant par le navigateur, le système d’exploitation, le noyau, l’environnement de démarrage et le TPM, et convaincre Google que cette chaîne n’est pas assez faible pour être piratée ; cela pourrait donc prendre du temps.
      Les bloqueurs de publicité seront exclus à un moment ou à un autre. Et on ne pourra pas non plus revenir à l’époque où l’on jouait à Flight Simulator sur disquettes. Les banques, les billets d’avion et de concert, et même le pédiatre de votre enfant l’exigeront.
      Non pas parce que les médecins liront assidûment les nouvelles spécifications du Web, mais parce qu’ils utiliseront des plateformes de services médicaux dépendant des paramètres par défaut de Cloudflare, que les responsables sécurité apprécient parce qu’ils réduisent les bots et les DDoS.
      Au final, on se retrouvera avec un système d’exploitation en jardin clos qui surveille et diffuse de la publicité en permanence, comme la télévision par câble. Un gros scandale pourrait faire reculer un peu Google, ou l’amener à faire des promesses qu’il ne peut pas et ne compte pas tenir.
      La vraie solution, c’est d’utiliser les pouvoirs publics pour empêcher les utilisateurs de perdre le contrôle.
  • Oui ! Utilisons tous des navigateurs basés sur Chromium !
    Qu’est-ce qui pourrait mal se passer ?

    • Je ne pense pas que le fait que les navigateurs minoritaires soient basés sur Chromium change grand-chose à cette catastrophe, dans un sens ou dans l’autre. Le problème, c’est le monopole de fait de Chrome.