1 points par GN⁺ 2023-08-04 | 1 commentaires | Partager sur WhatsApp
  • Le Web Environment Integrity (WEI) proposé par Google pour Chrome est critiqué parce qu’il permettrait aux sites web de vérifier l’environnement d’exécution du client, transformant de fait le web en une forme de DRM
  • Le WEI fonctionne en permettant de prouver que l’utilisateur exécute le client web dans un environnement tel qu’un « appareil Android sûr », puis de transmettre cette preuve via un jeton signé cryptographiquement
  • Au-delà de l’argument de la lutte contre la fraude, Mozilla estime que des usages existants du web comme les technologies d’assistance, les tests automatisés, l’archivage ou les spiders des moteurs de recherche pourraient être bloqués
  • Brave affirme que le WEI transfère le pouvoir aux grands sites et plateformes plutôt qu’aux utilisateurs, et a indiqué qu’il ne l’intégrerait pas dans le navigateur Brave
  • L’introduction de l’attestation à distance dans un standard du web pourrait servir non seulement à des usages légitimes, mais aussi au blocage de navigateurs, à la limitation des bloqueurs de publicité et au renforcement du contrôle des plateformes

La proposition WEI de Chrome relance la polémique sur un DRM du web

  • Google a proposé d’intégrer Web Environment Integrity à Chrome
  • Ce système permettrait à un site web de demander un jeton prouvant des faits essentiels sur l’environnement dans lequel le code client s’exécute
    • Par exemple, il pourrait montrer que l’utilisateur exécute le client web sur un « appareil Android sûr »
    • Le jeton repose sur une signature cryptographique destinée à empêcher toute falsification
  • Le site web décide lui-même s’il fait confiance au verdict renvoyé par l’attester
    • D’après l’explication de Google, l’attester viendrait en pratique probablement du système d’exploitation ou de la plateforme
    • Le document de proposition s’inspire de signaux d’attestation natifs existants comme App Attest d’Apple et la Play Integrity API d’Android
  • Pour la lutte contre la fraude, un verdict déterministe et une large couverture peuvent être utiles, mais il subsiste un risque que les sites excluent certains attesters ou les navigateurs incapables de fournir une attestation

Comment l’attestation à distance change les rapports de pouvoir informatiques

  • Selon Cory Doctorow, Microsoft avait présenté il y a une vingtaine d’années à l’Electronic Frontier Foundation son idée de trusted computing appelée Next Generation Secure Computing Base, ou Palladium
  • Le cœur du concept est l’attestation à distance (remote attestation) : un composant séparé dans l’ordinateur de l’utilisateur observe l’état du bootloader, du système d’exploitation, des applications, des extensions et du noyau, puis envoie à un vérificateur externe un manifeste signé
  • L’attestation à distance peut être une fonctionnalité puissante permettant à des personnes qui ne se font pas mutuellement confiance de vérifier la configuration informatique de chacun
    • Elle peut avoir des usages bénéfiques et consentis, par exemple lorsqu’une entreprise vérifie la configuration du poste d’un salarié en télétravail
    • Mais elle peut aussi servir à exclure, par exemple en empêchant l’ouverture d’un document Word dans OpenOffice, ou en distinguant SMB de Samba pour bloquer un accès réseau
  • La question centrale est de savoir si un ordinateur doit être obligé de dire la “vérité” à un tiers même lorsque son utilisateur ne le souhaite pas, et si d’autres doivent pouvoir déclencher à distance des fonctions que l’utilisateur ne contrôle pas

Pourquoi Mozilla et Brave s’y opposent

  • Mozilla s’est opposé au WEI dans la discussion GitHub, estimant qu’il va à l’encontre du web ouvert
  • Selon Mozilla, les mécanismes qui réduisent le choix nuisent à l’ouverture de l’écosystème web et ne sont pas bons non plus pour les utilisateurs
    • Les cas d’usage proposés reposent sur la capacité à détecter le « trafic non humain »
    • Cette approche pourrait bloquer des usages existants du web qui récupèrent des contenus destinés à des humains pour les transformer, les tester, les indexer ou les résumer, comme les technologies d’assistance, les tests automatisés, l’archivage ou les spiders des moteurs de recherche
    • Mozilla estime que des garde-fous comme le « holdback », qui consiste à ne pas générer aléatoirement de preuve, auraient une efficacité limitée et seraient insuffisants pour répondre aux inquiétudes
  • Brave s’est également opposé à Web Environment Integrity et a indiqué qu’il ne l’intégrerait pas dans le navigateur Brave
    • Brave considère que le WEI transfère le pouvoir vers les grands sites web, en particulier ceux exploités par Google, plutôt que vers les utilisateurs
    • Même en utilisant Chromium, Brave prévoit de ne pas inclure le WEI
    • Brave examine aussi comment limiter, sans casser les usages légitimes, certaines fonctions plus restreintes mais similaires au WEI, comme des éléments de WebAuthn ou Privacy Keys

Inquiétudes autour du blocage publicitaire et du contrôle des plateformes

  • Alex Ivanovs souligne qu’un des effets secondaires du WEI est que Google pourrait empêcher de fait les bloqueurs de publicité
  • Si l’entité qui contrôle l’attester vérifie l’environnement client, cela alimente la crainte que Google ou d’autres grandes entreprises technologiques puissent manipuler les scores de confiance et décider quels sites web ou quels environnements de navigateur sont dignes de confiance
  • Brave relie le WEI à une série récente de propositions web de Google
    • WebBundles rendraient plus difficile pour les utilisateurs le blocage ou le filtrage de contenus de page qu’ils ne souhaitent pas
    • First Party Sets rendraient plus difficile pour les utilisateurs de savoir quels sites peuvent les suivre
    • L’affaiblissement des extensions de navigateur via Manifest V3 réduirait le contrôle exercé par les extensions de blocage des publicités et des traqueurs comme uBlock Origin
  • Brave indique désactiver ou modifier ces fonctionnalités dans le navigateur Brave

Où le pouvoir doit-il se trouver sur le web ouvert ?

  • Les problèmes de fraude et d’abus que le WEI cherche à traiter existent bel et bien, mais la méthode proposée change fondamentalement la structure de l’internet ouvert
  • La critique centrale est qu’au lieu de repousser le pouvoir vers la périphérie du réseau, elle le recentralise du côté des sites web et des plateformes
  • Même en écartant les explications complotistes sur une surveillance gouvernementale, la proposition elle-même est jugée mauvaise, dangereuse et contraire aux principes du web ouvert
  • Même si les intentions de Google sont bonnes, rien ne garantit que ce type d’outil ne sera utilisé qu’à bon escient
  • Soutenir le web ouvert implique de s’opposer au WEI, et Google devrait lui aussi abandonner cette proposition

1 commentaires

 
GN⁺ 2023-08-04
Avis sur Hacker News
  • Il est temps de faire fortement pression pour que Google fasse l’objet d’un démantèlement antitrust
    Ce projet de DRM donne un motif supplémentaire pour pousser politiquement à un démantèlement forcé, car il s’agit d’un abus de position dominante. Alphabet étant une entreprise qui s’est développée par acquisitions, le découpage serait relativement clair : Google ne garderait que la recherche et la publicité liée à la recherche, DoubleClick la publicité sur les sites tiers, Analytics les services pour sites web, Cloud les services de datacenters, Android les appareils, Chrome le navigateur, YouTube le streaming, Waymo la conduite autonome, et Alphabet le reste.
    Si Chrome était séparé de Google et de DoubleClick et devait se battre pour ses parts de marché, il aurait moins d’incitation à empêcher le blocage de DoubleClick ou des publicités Google. Les procédures intentées par l’État du Texas et plusieurs procureurs généraux d’États sont déjà en cours, et les tentatives de Google de consolider techniquement son monopole jouent en faveur de ces actions. En faisant beaucoup de bruit politiquement, il est très probable que Google abandonne cette proposition sur les conseils de ses avocats antitrust.
    https://www.bloomberg.com/news/articles/2023-06-05/google-an...
    https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...

    • Cela peut sembler une bonne idée, mais une grande partie du pouvoir de Google vient du monopole recherche + publicité liée à la recherche
      Google est à la fois l’unique vendeur d’un actif numérique, la publicité, et l’unique opérateur du marché de cet actif ; il dispose d’un système de transactions algorithmique fermé, sans audit public, et il n’existe pas non plus de registre public montrant qui a enchéri combien. En même temps, c’est aussi un client majeur qui fait la publicité de ses propres produits.
      Les annonceurs doivent installer du code de suivi sur leurs sites, ce qui permet à Google de voir les transactions, les revenus et les clients. Ajoutez à cela des algorithmes fermés et un marché publicitaire, et le potentiel de manipulation est énorme. Le découpage le plus important serait de séparer l’activité publicitaire du reste, y compris de la recherche ; même si ce ne serait pas facile, un changement est nécessaire. En pratique, une réglementation stricte du marché de la publicité en ligne, des pare-feu de séparation entre divisions et des audits de plateforme semblent plus plausibles.
    • L’enshittification d’entreprises monopolistiques comme Google m’inquiète
      La mission d’une entreprise qui contrôle si profondément des infrastructures comme le web et l’e-mail — « organiser l’information mondiale » — semble désormais s’être transformée en « placer un maximum d’intermédiaires payants devant l’information mondiale », voire en bloquer complètement une partie.
      On ne devrait pas laisser une seule entreprise gérer de fait l’information du « monde ». Je ne sais pas exactement comment il faudrait démanteler Alphabet, mais je suis d’accord qu’il faut le faire. Si l’information doit être libre, il faut aussi réexaminer comment préserver cette liberté dans un monde où Google ne prétend pas en être le gardien.
    • Petite correction : Google Cloud est devenu rentable cette année
      https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
      Perdre de l’argent n’est pas un problème en soi. Il faut investir avant de dégager des bénéfices, et des services comme Google Cloud peuvent devenir des machines à cash une fois bien installés. Cela dit, les fournisseurs cloud déversent de l’argent sur des tiers et des partenaires pour vendre aux entreprises et déployer chez elles. Une société néerlandaise de bourse aux fleurs était en train de déplacer des centaines de services vers AWS, et un nouveau responsable IT semblait avoir des liens avec Amazon pour les ventes AWS. Une fois entré, en ressortir coûte des millions de dollars et prend des années, donc les migrations latérales d’AWS vers GCP, par exemple, ne devraient pas être fréquentes.
    • On dit « Chrome - navigateur », mais d’où vient l’argent ?
      Chrome existe surtout pour permettre à l’activité publicitaire d’obtenir davantage de données et d’influencer l’orientation du web. Si on le sépare, en dehors des quelques revenus tirés de ChromeOS, il n’a plus vraiment de source de revenus, ce qui rendrait difficile son maintien.
      Je comprends que ce soit un levier politique pour faire pression sur Google afin qu’il abandonne cette proposition. Mais un démantèlement de Google/Alphabet est irréaliste, et je n’en voudrais pas à moins de démanteler Microsoft en même temps. Sinon, Microsoft pourrait à nouveau dominer le web, et je n’ai aucune envie de revivre cette époque.
    • Je suis entièrement d’accord. Les régulateurs auraient déjà dû examiner l’attestation SafetyNet
      Cela démolit de fait l’argument de Google selon lequel les OEM ont le choix et qu’il ne s’agit pas d’un monopole de Google. Le problème, c’est que Google est très doué pour rester sous le radar. Seule une minorité de personnes qui n’utilisent pas les produits Apple, Google ou Microsoft s’en rendent compte, tandis que les responsables politiques, le grand public et les personnes influentes n’en savent presque rien.
      Il est très probable que, cette fois encore, personne ne s’en soucie. C’est trop complexe à expliquer, et même les personnes qui devraient s’en préoccuper risquent de détourner encore le regard. Le cœur du problème est que la minorité inquiète n’est pas assez bruyante. Il faut continuer à mettre la pression sur les banques et autres acteurs qui bloquent Android dé-Googlé, et il faudrait aussi une liste publique des services « bons » qui restent. Pour l’instant, il ne reste qu’à utiliser réellement des navigateurs libres et des systèmes d’exploitation libres, et à soulever le problème aussi fort que possible, ne serait-ce que sur des plateformes comme GitHub. Les plus bruyants sur la liberté du web sont web3 et crypto, mais à mes yeux ce sont surtout des gens qui cherchent à créer du buzz pour gagner de l’argent par la spéculation.
  • Nous en sommes arrivés là parce que nous avons tous traité les services Google comme des outils gratuits et utiles
    À force de parler de « Chrome ceci, Chrome cela », on oublie qu’il s’agit en réalité d’un outil stratégique de la plus grande agence publicitaire du monde. Chrome, GMail, etc. s’inscrivent tous dans un framework mondial d’ad tech qui pousse de la publicité douteuse et aspire des informations permettant d’identifier les personnes.
    Google s’infiltre dans nos vies en exploitant monopoles et oligopoles. Il faut imposer le cadrage selon lequel Google est une entreprise douteuse. Ce n’est pas une société digne de confiance, c’est un géant de la publicité, sans intégrité. Si une banque utilise la fonctionnalité d’intégrité de Google, il faut appeler le service client en disant que « ça ne marche pas », les garder longtemps au téléphone comme un débutant, puis, quand il est finalement question d’Integrity + Chrome, leur demander : « Vous êtes donc du côté d’une agence publicitaire douteuse ? Je pensais que vous étiez une banque fiable. »

    • Je soutiens le changement venu de la base, mais je ne pense pas que retenir volontairement des employés du support de premier niveau produise un vrai changement.
      Dans un helpdesk, ce qui compte, ce sont les indicateurs de clôture de tickets et la durée des appels ; les explosions émotionnelles ne changent rien.
    • C’est précisément ce point qu’il faut changer. Les services « gratuits » ne sont jamais vraiment gratuits.
      Au final, on paie d’abord avec nos données, puis plus tard on paie encore avec de l’argent. L’Internet gratuit peut être bénéfique pour certains, mais nous payons tous la taxe publicitaire incluse dans le prix des produits que nous achetons. Si l’on interdisait plutôt tout ce modèle tarifaire freemium et qu’on revenait à l’époque où l’on payait directement les choses, beaucoup de problèmes pourraient être résolus.
    • Ce qui est amusant, c’est que Google ne fait que suivre Apple. Apple détient plus de 50 % de parts du marché américain des téléphones.
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
      Bientôt, il faudra peut-être craindre davantage une situation où les banques exigent uniquement des appareils Apple.
    • Je ne vois pas comment on passe d’agence publicitaire à entreprise douteuse. Les agences de publicité de Madison Avenue ne sont généralement pas considérées comme douteuses.
  • En 2012, j’ai passé un entretien chez Google Ireland pour un poste de SRE.
    Je n’y suis finalement pas allé pour des raisons familiales, mais pendant un temps j’ai regretté d’avoir raté l’occasion de résoudre des problèmes à l’échelle de Google et de gagner de l’argent au niveau FAANG.
    Aujourd’hui, ce regret a complètement disparu. C’est dû à ce que Google est devenu et à la manière dont l’entreprise comprend son rôle dans le monde. Ou peut-être que sa nature profonde d’entreprise est simplement devenue plus évidente. Dans les années 2000, je croyais que Google était une force positive dans le monde de l’entreprise ; désormais, je suis convaincu du contraire. Cela me rend triste, et je crains les dégâts que cela finira par causer à l’Internet que j’aime et au monde du FOSS.

    • Google a aussi été une force énorme pour le FOSS.
      Je ne vois pas Google comme une entité unique dotée d’une véritable nature. Au bout du compte, c’est une organisation où des gens prennent des décisions. Parfois, elle publie VP8 en open source et crée de la valeur à l’échelle mondiale ; parfois, elle mène des expériences dont elle aurait dû mieux expliquer l’intention.
    • Avant, l’entreprise semblait innovante, tournée vers l’avenir, et heureuse de contribuer de nouvelles technologies.
      Sous Pichai, elle semble vouloir verrouiller sa position, tuer ses concurrents et transformer le WWW en GWWW.
    • Je pense que Google était vraiment une force positive autrefois.
      Même lorsqu’ils ont racheté le tristement célèbre DoubleClick, j’étais content, parce que je croyais qu’ils pourraient améliorer le secteur de la publicité en ligne. Mais cela ne s’est pas produit, et Google a fini par devenir ce genre de société de publicité en ligne bas de gamme.
    • L’argent est une drogue terrible.
      Les débuts de Google donnaient l’impression de gens sincères et droits. Après l’éclatement de la bulle Internet, tout le monde s’est rué sur la monétisation pour payer les factures, et je pense que les graines de la situation actuelle ont été semées là.
  • Google a peut-être fait semblant de défendre quelque chose, mais depuis qu’elle est devenue une personne morale, elle a toujours été une entreprise malfaisante. Les entreprises fonctionnent ainsi par conception.
    Exemple connexe : Google fait depuis plus de dix ans, sur ses propres services, des choses du type « réservé à IE5+ ». Elle n’a pas tué la concurrence entre navigateurs grâce à un bon produit ; elle a obtenu ou acheté de bons services, puis les a utilisés pour imposer Chrome aux utilisateurs. De façon volontaire, via des milliards de dollars de publicité ; de façon involontaire, via des mensonges sur la compatibilité et les performances, ou en bloquant d’autres user agents.

    • Mon souvenir est différent. Chrome était réellement un bon navigateur, et je pense qu’il restera encore un bon navigateur pendant un certain temps.
      IE s’est fait dépasser par les prédécesseurs de Firefox pendant que Microsoft, croyant avoir gagné, baissait sa garde et démantelait l’équipe IE. Firefox a perdu la compétition quand Google a rendu Chrome follement rapide, et, à force d’être souvent à la traîne, s’est fait prendre presque toute sa part de marché. La domination de Chrome et l’abus par Google de sa position sur le marché ne sont pas réjouissants, mais pendant la majeure partie de son existence, Chrome a été un bon produit.
    • Oui, Google a toujours été assez douteux.
      https://www.businessinsider.com/google-sergey-brin-employees...
    • Le bien et le mal sont des catégories trop simplistes pour expliquer ce genre de choses.
      Les entreprises cherchent à gagner de l’argent ou à accumuler du levier. Bien sûr, certaines exécutent mal ou rivalisent mal. Au début, elles faisaient des choses positives tout en construisant ce levier ; aujourd’hui, elles utilisent ce levier pour traire leur vache à lait aussi longtemps que possible.
    • Le retrait de Don’t be evil de leur devise a eu des airs de canari dans la mine.
  • Les appareils informatiques sont les mandataires de l’utilisateur, plus proches encore que les médecins, les prêtres ou les avocats.
    Nous partageons avec eux des informations bien plus intimes, et nous sommes beaucoup moins capables de mener une vie ordinaire sans eux. Les ordinateurs servent de plus en plus d’intermédiaires dans nos interactions avec autrui et avec le monde, et ils sont aussi nécessaires pour communiquer et accéder aux services essentiels. Comme nous les faisons entrer jusque dans nos maisons et nos chambres, ils devraient agir dans le meilleur intérêt de l’utilisateur et, au minimum, ne pas agir contre lui.
    Ce ne devrait pas être une exigence particulière, mais un principe de base. Même lorsque le concept de logiciel libre venait tout juste d’apparaître, le respect de l’utilisateur était au centre. Autrefois, le manque de respect prenait surtout la forme de recherche de rente, de prix excessifs, d’indifférence aux fonctionnalités et aux bugs, ou de règles favorables à l’auteur. La possibilité qu’un logiciel puisse s’opposer activement et intentionnellement à l’utilisateur existait, et la liberté d’inspecter, de modifier et de partager répondait en théorie à ce risque. Mais ce n’était pas alors un problème courant. Désormais, les logiciels et systèmes qui trahissent activement les utilisateurs deviennent courants et normalisés, et la plupart des gens semblent ne pas s’en rendre compte.

  • Pour moi, il semble déjà trop tard
    J’ai fortement l’impression que la majorité des gens s’en fichent, et que la plupart ne veulent même pas savoir. C’est aussi le cas de la plupart des personnes que je connais : elles me demandent pourquoi je n’installe pas la dernière appli, puis m’interrompent avant que je puisse expliquer la vie privée, la dépendance, la perte d’accès aux ressources, le droit à la réparation, etc.
    Personnellement, je consacre autant de temps que possible à apprendre des alternatives comme Gemini, les applis du Fediverse, les téléphones Linux. En même temps, je garde à part un ordinateur portable « grand public » réservé uniquement aux services quasi vitaux comme la banque, sans rien installer dessus, et je le laisse éteint en temps normal

    • Les gens se soucient moins de la vie privée, de la dépendance, de la perte d’accès et du droit à la réparation que de la pollution plastique, des inégalités structurelles et du racisme, de la contamination de l’eau par les PFAS, ou de la destruction des écosystèmes par les pesticides et les eaux de ruissellement
      Même chose pour la corruption au sommet des gouvernements et de la justice, les centres de détention secrets et la torture, ou les guerres illégales menées pour le profit. Il est impossible de s’intéresser à tout ce qui se passe, et il est déraisonnable d’attendre des gens qu’ils sachent tout ou se soucient de tout
      En plus, la plupart des citoyens basculeraient dans la pauvreté s’ils perdaient seulement deux paies. À l’inverse, les lobbyistes ont accès aux décideurs et disposent d’argent pour pousser des changements précis. Cette structure est conçue ainsi, et Google ne fait qu’en profiter comme les autres entreprises. Blâmer « les gens », c’est blâmer les victimes
  • L’article applique à WEI une excellente citation de Doctorow sur le Secure Computing
    « Même si vous voulez que votre ordinateur mente pour vous, doit-on pouvoir forcer votre ordinateur à dire la vérité ? Doit-il y avoir dans votre ordinateur un dispositif que vous ne contrôlez pas et que quelqu’un d’autre peut actionner à distance ? »
    C’est une application pertinente, et une question fondamentale dont la réponse varie selon la culture et selon les abus de pouvoir que chaque individu ou organisation a subis par le passé. Personnellement, j’y suis opposé

    • Doctorow connaît et a sans doute réfléchi à ce sujet bien plus que moi, mais ma réponse est relativement simple
      Si l’on parle d’une puce soudée impossible à retirer qui rapporte la « vérité » du noyau, etc., je pense qu’on ne peut pas savoir si l’ordinateur dit la vérité ou non. Il suffit d’aller une fois à DEF CON pour le comprendre. Il y a toujours un moyen d’entrer, il y a toujours un hack. Plus on rend le hack difficile, plus les geeks de DEF CON sont motivés
      De plus, « quelqu’un d’autre » ne signifie jamais « uniquement les personnes que vous voulez ». Cela inclut forcément des criminels, des harceleurs et des gouvernements autoritaires. La réponse est donc tout simplement « non »
    • C’est aussi un dilemme un peu similaire à celui des voitures autonomes
      Si une voiture autonome n’agit pas forcément pour son propriétaire, mais suit ce qui est « juste », autrement dit la vérité, alors en cas de collision inévitable, la question devient : faut-il privilégier les intérêts du propriétaire actuel, ceux du constructeur, ou l’intérêt moyen de tous ?
  • Google n’a jamais vraiment défendu quoi que ce soit au départ, et do no evil relevait surtout du marketing
    Il suffit de regarder les années 2010
    https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
    « Nous ne collectons pas de données personnelles »
    https://europe.googleblog.com/2010/04/data-collected-by-goog...
    « Ah, en fait si »
    https://googleblog.blogspot.com/2010/05/wifi-data-collection...
    Les ententes salariales de Google remontent aussi jusqu’à 2001
    https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...

    • Stocker des données sur un réseau ouvert, c’est un peu comme enregistrer quelqu’un qui crie
  • L’un des « effets secondaires » de cette affaire est que Google pourra de fait empêcher le blocage des publicités
    Bien sûr, beaucoup de gens considéreront que ce n’est pas un effet secondaire, mais l’objectif final

    • En quoi cela empêche-t-il le blocage des publicités ?
  • Tout le monde semble considérer comme évident qu’il s’agit de DRM
    L’argument réel est que les sites web utiliseraient ce signal pour autoriser ou refuser l’accès, ce qui est déjà possible de diverses manières. Google ou les autres fournisseurs de navigateurs ne peuvent pas décider de la façon dont les sites web utilisent ou détournent une fonctionnalité
    La prévention de la fraude exige des verdicts déterministes et une large couverture, mais il existe aussi une tension liée au risque que des sites web excluent certains attestateurs ou des navigateurs impossibles à attester. Ce risque existe déjà et se concrétise vraiment. S’il n’est pas généralisé, ce n’est pas parce que c’est impossible, mais parce que ce n’est pas populaire. Les sites qu’on est obligé d’utiliser, comme les banques, le font tous les jours, et on l’accepte parce qu’on n’a pas le choix
    Beaucoup d’articles répètent l’argument du « DRM » sans expliquer en quoi c’est différent, quel rapport Google a avec la façon dont les sites web traitent les utilisateurs, ni quelles solutions existent. Toute initiative de Google doit être regardée avec suspicion, mais ici je ne vois qu’une répétition mécanique d’abus potentiels, sans esprit critique. Les articles sur ce sujet ne font que réarranger les mots sans ajouter de valeur ; leur utilité semblerait comparable s’ils étaient générés automatiquement par une IA

    • La différence, c’est qu’aujourd’hui on peut mentir
      On peut comprendre quelles techniques de fingerprinting sont utilisées et les contourner. Par exemple, yt-dlp le fait dans une certaine mesure. Sur Android aussi, il y a eu beaucoup d’efforts pour faire passer un appareil rooté ou une ROM custom pour un Android d’origine afin de continuer à utiliser les apps bancaires. Mais selon le niveau de SafetyNet utilisé par l’app, c’est désormais littéralement impossible
      Avant l’attestation fondée sur le TPM, on pouvait garder le contrôle de son propre appareil. L’attestation Android SafetyNet repose sur une racine de confiance qu’une ROM custom ne peut pas fournir, donc elle ne peut pas être contournée. Même si l’on pouvait fournir sa propre implémentation, cela ne servirait à rien si tout le monde ne prend en charge que celle fournie par Google. LineageOS a aussi sa propre implémentation de SafetyNet, mais elle est très peu adoptée. WEI revient en pratique à étendre SafetyNet au web, et c’est différent en ce que cela retire fondamentalement le contrôle de son propre appareil
    • La raison pour laquelle c’est du DRM, c’est que c’est précisément l’objectif explicite de cette initiative
      Le premier objectif de la proposition est de « permettre aux serveurs web d’évaluer l’authenticité de l’appareil ainsi que la représentation honnête de la pile logicielle et du trafic provenant de l’appareil ». Autrement dit, permettre à un serveur web de restreindre ou gérer numériquement le droit d’un utilisateur à accéder au contenu depuis l’appareil et la pile logicielle de son choix
      Le fait qu’il s’agisse de DRM ne fait aucun doute. Google affirme que cela ne servira qu’à distinguer les bots et le trafic abusif, mais cette technologie peut facilement être détournée, et Google a à la fois les motivations et les moyens de le faire. La question « quelle solution proposes-tu ? » revient à demander comment résoudre le problème du fait que quelqu’un qui vous braque dans la rue avec un pistolet sur la tempe n’a pas votre argent dans la main. Avec, en plus, la condition qu’on ne puisse même pas lui demander de baisser son arme avant d’avoir résolu ce problème
    • Et si on essayait de présenter un point de vue opposé raisonnable ?
      Même dans le meilleur des cas, cela ne ressemble qu’à un point de vue extrêmement naïf. Toute fonctionnalité qui peut servir à verrouiller du contenu ou à surveiller les utilisateurs finit par être utilisée ainsi. C’est le cas de toutes les fonctionnalités existantes aujourd’hui, et prétendre le contraire frôle la mauvaise foi
      Si « les fournisseurs de navigateurs ne sont pas responsables des abus des sites web », doit-on alors activer par défaut, sans boîte de dialogue d’autorisation, l’accès au système de fichiers, à la localisation, à la caméra et au micro ? Autant ressusciter Java et Flash. Après tout, si les sites web en abusent, ce n’est pas la faute des fournisseurs de navigateurs
      Ici, c’est différent. Une attestation significative de l’environnement dans lequel le navigateur s’exécute ne peut pas être obtenue sans une chaîne de confiance complète partant du secure boot, ce qui permettrait à Google et aux sites visités de vérifier un bootloader approuvé par Google, un système d’exploitation approuvé par Google, ainsi que des pilotes et logiciels approuvés par Google. Pire encore, ils pourraient exiger des logiciels approuvés par le site web
    • Dire que « Google ou les fournisseurs de navigateurs ne peuvent pas décider de la façon dont les sites web utilisent une fonctionnalité » est franchement étrange
      Donneriez-vous des couteaux tranchants et des armes chargées à des enfants pour ensuite vous étonner que quelqu’un soit blessé ? Si nous laissons cette fonctionnalité devenir possible, nous devrons tous en assumer les conséquences. On voit clairement quelles seront ces conséquences. Il ne faut pas être stupide
    • Google possède YouTube
      Est-il vraiment si difficile d’imaginer un chef de produit YouTube calculer les pertes dues aux bloqueurs de publicité, puis demander à l’équipe Chrome d’y mettre fin ?