- La proposition Web Environment Integrity (WEI) de Google pourrait amener Chrome à envoyer aux sites web des informations infalsifiables sur l’état du système d’exploitation et des logiciels, affaiblissant ainsi le contrôle des utilisateurs sur ce que leur propre ordinateur déclare
- WEI repose sur une attestation à distance (remote attestation) via un TPM ou une secure enclave, permettant aux sites web de vérifier la configuration du navigateur et de l’appareil par une preuve cryptographique plutôt que par la parole de l’utilisateur
- Elle est justifiée par la réduction de la fraude publicitaire, des attaques de l’homme du milieu, de la triche dans les jeux, des comptes de bots et des faux avis, mais les bénéfices réels risquent surtout de revenir aux opérateurs de services commerciaux
- Les sites web pourraient utiliser WEI pour bloquer les navigateurs ou systèmes d’exploitation qui ne leur plaisent pas, et la mesure d’atténuation proposée par Google — « ne pas envoyer WEI à une minorité d’utilisateurs de Chrome » — suffirait difficilement à empêcher l’exclusion
- Il n’est pas nécessaire d’interdire les outils d’attestation à distance eux-mêmes, mais ils ne doivent pas être intégrés au web ouvert ; les utilisateurs doivent pouvoir décider eux-mêmes de ce qu’ils disent à propos de leur ordinateur et de leurs logiciels
La relation entre navigateurs et sites web que Google WEI veut transformer
- Google veut ajouter à Chrome du code envoyant aux sites web, sous forme d’informations infalsifiables, l’état du système d’exploitation et des logiciels de l’utilisateur
- Contrairement à l’explication selon laquelle il s’agirait de réduire la fraude publicitaire, cette fonctionnalité pourrait diminuer la capacité des utilisateurs à contrôler leur propre ordinateur
- Les utilisateurs qui n’emploient pas un système d’exploitation et un navigateur approuvés pourraient aussi être bloqués sur certains sites web
- Un document explicatif non officiel rédigé par des employés de Google reconnaît que Web Environment Integrity (WEI) pourrait relever la barrière à l’entrée pour les nouveaux navigateurs
Les informations qu’un navigateur envoie aux sites web
- Lorsqu’un navigateur web se connecte à un serveur, il envoie automatiquement des informations sur l’appareil et le navigateur
- Exemple : des informations comme « utilisation de Chrome 116.0.5845.61 sur un Google Pixel 4 »
- Le serveur peut aussi demander des informations plus détaillées, comme les polices installées ou la taille de l’écran
- Ces informations servent aux sites web à fournir le format de fichier, la résolution et la mise en page adaptés à l’appareil de l’utilisateur
- Les mêmes informations sont aussi utilisées pour le fingerprinting du navigateur
- Un utilisateur qui refuse les cookies ou d’autres formes de suivi peut être identifié par la combinaison des caractéristiques de son navigateur
- Certains sites peuvent pratiquer des prix différents ou proposer des offres défavorables ou trompeuses en fonction des informations sur le navigateur et l’appareil
Pourquoi l’utilisateur doit pouvoir envoyer des informations fausses ou aléatoires
- Aujourd’hui, les informations qu’un navigateur envoie aux sites web sont fondamentalement volontaires
- L’utilisateur peut, au moyen de plugins, d’outils de confidentialité ou de paramètres avancés, envoyer les informations de son choix aux sites auxquels il ne fait pas confiance
- Se contenter de ne pas envoyer d’informations peut ne pas suffire
- Un service peut exiger des informations sur l’appareil et refuser les utilisateurs qui ne les fournissent pas
- Les outils de protection de la vie privée et anti-tracking peuvent à la place envoyer des informations d’appareil plausibles mais incorrectes
- C’est une manière d’empêcher un service de discriminer l’utilisateur en raison de ses choix de confidentialité
Fonctionnement de l’attestation à distance et du calcul sécurisé
- La plupart des ordinateurs, tablettes et téléphones modernes intègrent une forme de calcul sécurisé
- Les premières formes de calcul sécurisé utilisaient un processeur distinct appelé Trusted Platform Module (TPM), et de nombreux appareils utilisent un sous-système renforcé appelé secure enclave
- Ces systèmes peuvent surveiller chaque étape du processus de démarrage afin de vérifier que du code non modifié fourni par le fabricant est bien exécuté
- Le même mécanisme peut aussi servir à empêcher l’utilisateur d’exécuter volontairement un autre code
- Exemple : un système d’exploitation libre et open source
- Exemple : un logiciel modifié pour désactiver des fonctions de surveillance ou autoriser l’installation de logiciels en dehors de l’app store du fabricant
- Les TPM et secure enclaves contiennent des clés de signature cryptographiques
- Ils peuvent collecter des informations de bas niveau comme la version du système d’exploitation, les extensions, les logiciels ou le bootloader
- Ils peuvent fournir ces informations sous forme d’attestation signée cryptographiquement
- Un serveur distant peut exiger une preuve cryptographique de l’appareil au lieu de croire ce que déclare le navigateur de l’utilisateur
Les risques juridiques liés au contournement et à la recherche
- Si l’utilisateur ne peut pas contourner la sécurité d’une secure enclave ou d’un TPM, l’attestation devient un indicateur très fiable de la configuration de l’appareil
- Modifier un TPM ou une secure enclave peut être juridiquement risqué
- La section 1201 du DMCA, les brevets et le droit d’auteur peuvent créer des risques civils et pénaux pour les techniciens qui étudient ces technologies
- Publier une méthode pour désactiver ou contourner des fonctions de sécurité accroît encore le risque
- Distribuer des outils de contournement peut exposer à de lourds risques pénaux et civils, y compris des peines de plusieurs années
L’attestation à distance pour le web proposée par WEI
- WEI est une proposition technique permettant à un serveur de demander une attestation à distance à un appareil
- La requête est transmise à la secure enclave ou au TPM de l’appareil, et celui-ci répond avec une description très fiable de l’appareil, signée cryptographiquement
- L’utilisateur peut choisir de ne pas envoyer ces informations au serveur distant
- Mais il perd la capacité d’envoyer, lorsqu’il l’estime nécessaire, des informations modifiées ou aléatoires sur son appareil et ses logiciels
Les cas d’usage avancés par Google et leurs limites
- Les ingénieurs de Google estiment que WEI pourrait réduire plusieurs problèmes
- Distinguer si un véritable utilisateur manipule manuellement le navigateur ou si un bot automatise le service
- Réduire la fraude publicitaire afin d’augmenter les revenus des éditeurs, avec l’espoir que cela mène à une meilleure production de contenu
- Prévenir les attaques de l’homme du milieu qui interceptent même les mots de passe à usage unique de l’authentification à deux facteurs pour les saisir dans le vrai service
- Vérifier, dans les jeux, que l’adversaire exécute un jeu non modifié et n’utilise pas de triche
- Détecter et bloquer les outils d’automatisation de navigateur afin de prévenir des fraudes comme la création massive de faux avis ou de comptes de bots
- Ces cas d’usage peuvent avoir une certaine validité
- Mais en matière de sécurité, les atteintes à la vie privée et à l’autonomie individuelle atténuent souvent une partie de problèmes réels
- Menotter tous les clients qui entrent dans un magasin peut réduire le vol, mais le vol est un problème du magasin, pas un problème dont tous les clients devraient supporter le coût
WEI pourrait servir à bloquer des navigateurs et des systèmes d’exploitation
- Une section du document de Google reconnaît que les sites web pourraient utiliser WEI pour bloquer les navigateurs et systèmes d’exploitation qui ne leur plaisent pas
- Comme mesure d’atténuation, Google indique envisager que Chrome, même après avoir implémenté WEI, n’envoie pas les informations WEI pour un « petit pourcentage » des ordinateurs qui pourraient normalement les envoyer
- En théorie, un site qui bloque les navigateurs sans WEI bloquerait aussi cette minorité d’utilisateurs de Chrome, et les plaintes des utilisateurs pourraient l’amener à revenir sur sa politique
- Mais de nombreux sites web peuvent vouloir imposer le navigateur et le système d’exploitation à utiliser
- Par le passé, on a vu des cas comme « ce site web fonctionne mieux avec Internet Explorer 6.0 sur Windows XP »
- Certains sites web peuvent accepter le coût lié à la perte de ce « petit pourcentage » d’utilisateurs
- Ils pourraient aussi guider l’utilisateur pour réinitialiser les données du navigateur et réessayer jusqu’à ce que WEI soit activé sur le site
Les conflits d’intérêts de Google
- Google se trouve en conflit d’intérêts pour fixer la taille de ce « petit pourcentage »
- Si le pourcentage est très faible, davantage de clics publicitaires peuvent être certifiés, ce qui avantage l’équipe de Google chargée de lutter contre la fraude publicitaire
- Plus il y a de clics publicitaires certifiés, plus Google peut vendre ses annonces à un prix élevé
- Si le pourcentage est plus élevé, il devient plus difficile pour les sites web de mettre en œuvre des comportements d’exclusion
- Mais un pourcentage élevé ne bénéficie pas directement à Google et facilite la création de navigateurs concurrents
- Même en mettant en œuvre cette mesure d’atténuation, les incitations de Google le poussent à choisir un pourcentage trop faible pour protéger le web ouvert
Le principe selon lequel l’utilisateur est maître de son ordinateur
- L’ordinateur appartient à l’utilisateur et doit fonctionner comme celui-ci le lui demande
- Les lois qui empêchent la rétro-ingénierie et la reconfiguration des ordinateurs posent déjà problème, mais le risque est encore plus grand lorsque quelques grands sites web contrôlent les goulots d’étranglement d’Internet
- Quelques entreprises forment les portes d’accès entre acheteurs et vendeurs, artistes et publics, travailleurs et employeurs, familles et communautés
- Si ces entreprises refusent une transaction, la vie numérique de l’utilisateur peut s’arrêter
- Le web est la dernière grande plateforme ouverte qui subsiste sur Internet
- Une plateforme où n’importe qui peut créer et rejoindre un navigateur ou un site web sans demander d’autorisation ni satisfaire les spécifications d’un tiers
- Même si un site web installe un poste de contrôle virtuel disant « seules les technologies approuvées passent », l’utilisateur doit avoir le droit de donner la réponse que le site veut entendre
Les intentions de WEI et les mauvais usages prévisibles
- Les promoteurs de WEI disent vouloir que WEI ne serve qu’à des objectifs bien intentionnés
- Ils critiquent aussi explicitement son utilisation pour bloquer des navigateurs ou exclure les utilisateurs qui cherchent à protéger leur vie privée
- Mais les informaticiens ne peuvent pas décider de la manière dont une technologie sera réellement utilisée
- Ajouter l’attestation au web crée un risque suffisamment prévisible que des entreprises s’en servent pour attaquer le droit des utilisateurs à configurer leurs appareils
- Ce risque est particulièrement élevé lorsque les besoins des utilisateurs entrent en conflit avec les priorités commerciales des entreprises technologiques
- WEI ne devrait pas être créé, et s’il l’est, il ne devrait pas être utilisé
Comment traiter les technologies d’attestation à distance
- L’attestation à distance en elle-même ne doit pas être interdite
- Le code est une forme d’expression, et chacun doit être libre d’étudier, de comprendre et de créer des outils d’attestation à distance
- Les outils d’attestation à distance peuvent avoir des usages dans les systèmes distribués
- Un fabricant de machines de vote peut les utiliser pour vérifier la configuration des machines sur le terrain
- Un défenseur des droits humains en danger peut envoyer une attestation à distance à un technicien de confiance afin de l’aider à déterminer s’il est infecté par un malware soutenu par un État
- Mais ces outils ne doivent pas être ajoutés au web
- Sur une plateforme ouverte, l’attestation à distance n’est pas appropriée
- L’utilisateur doit avoir le dernier mot sur ce qu’il dit aux autres à propos de son ordinateur et de ses logiciels
L’autonomie des utilisateurs prime sur les problèmes des entreprises
- On peut comprendre les difficultés des entreprises dont les revenus sont affectés par la fraude publicitaire, des éditeurs de jeux qui luttent contre les tricheurs et des services confrontés aux bots
- Mais la résolution de ces problèmes ne peut pas passer avant les droits des utilisateurs de technologies
- L’utilisateur a le droit de choisir le fonctionnement de son ordinateur et ce que cet ordinateur dit aux autres
- Le droit de contrôler son propre appareil est un fondement de tous les droits civiques dans le monde numérique
- Le web ouvert apporte plus de bénéfices que de nuisances
- Si l’on permet à de grandes entreprises monopolistiques de renverser les choix technologiques des utilisateurs, les problèmes des entreprises pourront peut-être être résolus, mais pas ceux des utilisateurs
1 commentaires
Avis sur Hacker News
Mon expérience concrète en tant qu’ingénieur sécurité peut aider à comprendre pourquoi cela risque de mal finir
Les banques sont des organisations très sensibles à la sécurité, car le coût d’un piratage est astronomique et la réglementation exige de les rendre « aussi sûres que possible »
Ce n’est pas parce que les banques détestent le Web ouvert ou les utilisateurs de Linux qu’elles voudront adopter WEI ; elles le feront parce que, si elles ne l’adoptent pas, elles risquent d’être tenues responsables de ne pas avoir « fait tout ce qu’elles pouvaient pour la sécurité », avec à la clé procès, sanctions réglementaires et hausse des primes d’assurance
Aujourd’hui, WEI n’existe pas, donc ce n’est pas une exigence, mais dès qu’il existera, il a de fortes chances de devenir une pratique standard, et ceux qui s’y opposeront pourront paraître aussi irréalistes que ceux qui s’opposent aux caméras de vidéosurveillance au nom de la vie privée
Bientôt, des CDN comme Cloudflare le proposeront via une simple case à cocher, et les propriétaires de sites auront du mal à la désactiver au regard de leur responsabilité fiduciaire
Jusqu’à il y a 2 ans, on utilisait IE7 ; une bonne partie du travail se fait encore en s’envoyant des fichiers Excel par e-mail, et le simple fait qu’un e-mail reçu contienne une pièce jointe Excel est traité comme une preuve de validité
Nous exploitions aussi un relais SMTP sans authentification, et tout en ignorant la vraie sécurité, on impose Windows sur les ordinateurs portables professionnels
La raison était de pouvoir exécuter notre script PowerShell RAT favori, qui décompresse récursivement tous les jar du système pour chercher log4shell, et c’est encore le cas aujourd’hui
Les personnes qui ont créé ces règles et pratiques exploitent aussi le système central de compensation des paiements de la banque centrale danoise
Les banques sont moins sûres que conservatrices et politiques ; elles épuisent les gens pour maintenir un théâtre de la sécurité, mais en réalité ce n’est guère plus qu’une façade
WEI sera certainement adopté, mais il n’apportera pas de sécurité
En revanche, les banques ont un assez bon bilan pour protéger l’argent des gens, et c’est grâce à une défense en profondeur où des responsables de la conformité examinent manuellement les transactions suspectes
Beaucoup de grands établissements ne prennent encore en charge que la double authentification par SMS, et même cela n’est obligatoire que depuis peu
Donc même si cette technologie se répand, il semble très probable que les comptes bancaires soient parmi les derniers, et non les premiers, à l’imposer
Le fait que les cartes de crédit soient horriblement peu sûres relève d’une logique similaire
Ce n’est pas par manque d’intérêt, mais parce qu’elles considèrent les mesures techniques comme une petite partie de leur stratégie de sécurité globale, et l’accès en ligne comme une petite partie de leur activité, fondamentalement non fiable
La majeure partie du Web fait confiance aux utilisateurs authentifiés, tandis que les banques, elles, ne font généralement pas confiance même aux utilisateurs authentifiés et considèrent chaque action comme un risque potentiel ; renforcer l’authentification elle-même est donc relativement moins prioritaire
Même lorsqu’une interface Web existe, il faut l’application mobile pour se connecter
En revanche, je ne suis pas sûr de la partie selon laquelle les opposants « paraîtront irréalistes et ne tiendront pas longtemps à leur poste »
Les personnes opposées à la surveillance généralisée ne paraissent pas irréalistes à la majorité, et elles ne changent pas non plus de position
Le court paragraphe disant qu’une poignée d’entreprises ont pris le contrôle des goulots d’étranglement entre acheteurs et vendeurs, artistes et publics, travailleurs et employeurs, familles et communautés, et que si elles refusent une transaction, la vie numérique s’arrête, résume bien la situation étrange dans laquelle nous avons dérivé
Les parties prenantes affectées négativement correspondent en pratique à presque toute la société, et ces gatekeepers ont des alliés naturels comme des responsables politiques capturés, des personnes dépendantes de leur salaire, ou des marchés qui ignorent les externalités
Et pourtant, il est étrange qu’ils puissent soumettre toute une société disposant de ressources financières, politiques et intellectuelles quasiment illimitées
On en vient presque à penser qu’un contrôle mental à l’échelle du système est déjà à l’œuvre
Je pense que, plutôt que d’être victime de chantage, la société dans son ensemble s’en moque tout simplement
Ce n’est pas si délirant : ce n’est pas du contrôle mental, mais de la bonne vieille indifférence et ignorance
Je suis globalement d’accord, mais un point à corriger : TPM ne signifie pas Technical Protection Module, mais Trusted Platform Module
Pas autant que la FSF, mais elle a tendance à y glisser du commentaire, et ici on dirait que quelqu’un a voulu être sarcastique
Il semble toutefois qu’il y ait soit une erreur à propos de TPM, soit une tentative d’introduire un développement alternatif comme pour d’autres sigles
Pour jouer l’avocat du diable, cette technologie existe déjà ; la question est de savoir si l’on fait une attestation côté client dans le navigateur, ou si l’on fait semblant que l’attestation à distance n’existe pas.
Si elle est rejetée, les services qui ont besoin d’un « client de confiance » pourraient abandonner les web apps et s’appuyer sur des apps iOS/Android.
Je ne cherche pas à défendre WEI, mais le problème ne disparaîtra pas comme par magie si Google ne l’implémente pas dans Chrome : il se déplacera simplement ailleurs.
Le vrai combat, c’était au moment de l’implémentation du TPM.
C’est un peu comme le fait que Microsoft soit le seul à détenir l’autorité sur les clés de Secure Boot.
Les appareils mobiles disposent déjà de nombreuses capacités d’attestation, comme des zones sécurisées, des processeurs sécurisés et les fonctions cryptographiques des cartes SIM.
Nous n’avons pas besoin d’une technologie qui ne peut qu’être détournée pour exclure d’Internet au quotidien les personnes techniquement averties, au nom de règles arbitraires.
Il n’y a ni contre-pouvoirs ni équilibre, seulement un paquet de pouvoirs extrêmement large imposé à l’utilisateur.
Ce n’est pas une proposition ni une expérience, mais une tentative de passage en force.
Il explique bien pourquoi le Web est différent des apps mobiles et natives, et pourquoi des API comme l’attestation côté client, possibles dans un environnement mobile, deviennent nuisibles si elles sont implémentées dans la plateforme Web.
Par exemple, la proposition WEI viole le principe selon lequel « visiter une page Web doit être sûr » (https://www.w3.org/TR/design-principles/#safe-to-browse).
Les nouvelles fonctionnalités doivent être conçues de manière à préserver l’attente des utilisateurs selon laquelle visiter une page Web est généralement sans danger.
Pour que le Web reste vivant, les utilisateurs doivent pouvoir s’attendre à ce que le simple fait de visiter un lien n’affecte pas des aspects essentiels de la sécurité ou de la confidentialité de leur ordinateur.
Par exemple, une API permettant à n’importe quel site Web de détecter l’utilisation d’une technologie d’assistance pourrait donner aux utilisateurs de cette technologie le sentiment que visiter une page inconnue est risqué.
Si cette attente de sécurité est réaliste, les utilisateurs peuvent prendre une décision éclairée entre les technologies Web et les autres technologies.
Installer une app native étant plus risqué que visiter une page Web, un utilisateur peut choisir une page Web de commande de repas plutôt que d’installer une app.
Beaucoup d’utilisateurs prudents, sans être extrêmement technophiles, refusent catégoriquement d’installer des apps mobiles sauf si elles viennent des sources en lesquelles ils ont le plus confiance, et ce principe fournit un bon cadre pour comprendre pourquoi les utilisateurs préfèrent encore le Web.
L’ancien Venmo avait une web app complète, mais aujourd’hui il n’est plus possible d’envoyer ni de recevoir de l’argent sur le Web.
Beaucoup de fonctionnalités de Chase sont également réservées au téléphone.
Et bon nombre de ces apps bloquent les iPhone jailbreakés ou les Android rootés lorsqu’elles peuvent les détecter.
Si ma banque l’exige, mon accès est simplement bloqué.
Il n’y a pas de démon d’attestation, et même s’il y en avait un, la banque ne lui ferait pas confiance.
Même si Firefox l’ajoutait, cela ne fonctionnerait toujours pas sur mon ordinateur.
Les gens ne parlent que des navigateurs, mais je veux continuer à utiliser un système d’exploitation qui n’intègre pas d’adware ni de spyware.
L’ordinateur que je possède est sous mon contrôle, et l’attestation à distance sert précisément à empêcher ce contrôle.
C’est le problème fondamental.
Si les banques ou les courtiers l’implémentent, il faudra acheter un nouvel ordinateur dédié, ou faire ses opérations bancaires uniquement par téléphone ou en agence.
C’est un gaspillage énorme et cela n’aide pas la sécurité, mais une fois que cela existera, cela entrera dans les checklists que les banques suivront.
L’objectif ici n’est pas d’élargir l’espace où l’attestation côté client est utilisée, mais de le réduire.
Chaque réduction, même petite, est une victoire ; on la sort d’abord du navigateur, puis on s’occupera de l’attestation native dans les apps.
L’argument selon lequel « si on refuse, les services passeront aux apps natives » a déjà été avancé tel quel à l’époque d’EME.
On peut maintenant regarder l’impact d’EME avec du recul : cela n’a pas empêché le déplacement vers les apps natives, des entreprises comme Netflix ont implémenté EME tout en conservant de toute façon la plupart des restrictions qu’elles avaient l’intention d’imposer, et cela a nui à la diversité des navigateurs.
Dire « on ne le fera tout simplement pas » sur le Web peut sembler effrayant, mais nous avons déjà vu que céder aux tactiques d’intimidation ne fonctionne pas.
Les sites qui veulent passer au natif le feront, et WEI ne constitue pas à lui seul une justification business pour rester sur le Web ou le quitter.
Ceux qui veulent devenir exclusivement natifs ne vont pas soudain créer un site Web parce que WEI existe ; ils feront ce qu’ils prévoyaient déjà, tout en ajoutant WEI à leur boîte à outils pour limiter l’autonomie des utilisateurs.
Forcer les entreprises qui veulent dépendre de l’attestation côté client à renoncer à une présence Web est une bonne chose, et la puissance du Web est sous-estimée.
Le Web ne mourra pas parce qu’on ne prend pas en charge WEI.
Recommander l’article de l’EFF, c’est bien, mais on peut aussi faire directement un don pour aider ce type de campagne.
Ils font aussi de chouettes produits dérivés : https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Je ne vois pas pourquoi je devrais me soucier de réduire la fraude publicitaire de Google et d’aider son activité publicitaire.
C’est le problème de Google, et je n’ai aucune raison d’être impliqué dans la transmission des informations de mon ordinateur personnel à des tiers pour permettre à Google de gagner plus d’argent.
WEI ressemble un peu à l’ancien réseau téléphonique, quand les particuliers n’étaient pas autorisés à posséder leur propre téléphone et à le connecter au réseau.
Le gouvernement a fini par déclarer cela illégal.
C’est l’un des textes les plus détaillés et les plus équilibrés que j’aie lus jusqu’ici sur ce sujet
Cependant, comme les autres, il lui manque une explication très importante au sujet de Web Environment Integrity
Cela ne fait pas partie du Web
C’est entièrement un brouillon de Google pour une fonctionnalité de Google Chrome, et même si Google est membre du W3C, ce n’est pas quelque chose qu’il fait en cette qualité
C’est tellement limité aux intérêts de Google que je vois mal une telle proposition aller ne serait-ce que jusqu’à la charte d’un groupe de travail
La seule raison pour laquelle cela représente une menace pour le Web, c’est la domination écrasante de Google sur le marché, qui s’approche déjà d’un monopole
Je crains que l’usage appuyé du terme « Web » dans ce type de document ne ternisse la réputation du W3C, qui dispose de procédures solides[1] pour éviter que des intérêts de court terme ne causent des dommages à long terme à l’ouverture du Web
[1]: https://www.w3.org/Consortium/Process/
Une explication très bien écrite. J’aimerais voir plus souvent ce genre d’explications
Les gens semblaient l’avoir compris comme un contrôle des bloqueurs de pub, alors que la proposition d’origine indiquait explicitement que les extensions de navigateur n’avaient rien à voir avec WEI
WEI consiste à appeler les API d’attestation existantes du système d’exploitation et fondées sur le TPM, puis à fournir cet état d’attestation au site
Cela ressemble toujours aux opposants au chiffrement qui disent « pensez aux enfants »
Je ne vois toujours pas d’explication sur la manière dont WEI changerait magiquement le comportement des exploitants de sites Web
Les exploitants peuvent déjà bloquer les clients indésirables, mais ils ne le font pas au point d’entraver réellement « l’Internet ouvert »
Si Apple ne l’implémente pas, WEI n’a aucun intérêt, et le seul effet que la discussion actuelle aura sur Apple sera probablement la manière dont l’entreprise présentera publiquement ce choix
Comme je peux encore faire dire à mon ordinateur ce que je lui ordonne de dire, j’ai créé une petite extension Firefox qui définit quoi dire
C’est puéril et dérisoire, mais parfois, ça fait du bien d’exercer ses droits
[1] https://github.com/rogual/wei-gfy