Google Docs ajoute un suivi aux liens d’export de documents
(fosstodon.org)- Des cas ont été signalés où, lors de l’export d’un document Google Docs en HTML, la destination des liens dans le document est remplacée non par l’URL d’origine, mais par un lien de redirection Google
- Il ne s’agit pas d’une injection de script, mais d’une modification de la cible réelle de
[; il est donc difficile de s’en apercevoir en se fiant uniquement au texte du lien affiché à l’écran - On peut le reproduire en insérant un lien dans Google Docs, puis en récupérant une archive ZIP via
File > Download > Webpage, avant de vérifier le fichier HTML ou l’aperçu du lien dans le navigateur - Collabora Office a été cité comme alternative ; basé sur LibreOffice, il peut être utilisé sur une instance Nextcloud, chez un hébergeur cloud ou sur son propre matériel
- Dans les commentaires, la discussion a aussi porté sur la collecte possible de données de connexion, de cookies, d’adresse IP et de user agent, sur la question du consentement au regard du RGPD, ainsi que sur des alternatives de documents collaboratifs comme CryptPad, OnlyOffice et Nextcloud
Liens modifiés dans les exports HTML de Google Docs
- Joe souligne que, lors de l’export d’un document Google Docs en HTML, les liens présents dans le document sont remplacés par des redirections de suivi invisibles de Google
- Il ne s’agit pas d’un ajout de script : c’est la valeur même de
hrefdans le HTML qui devient la véritable destination, ce qui rend le changement difficile à détecter si l’on regarde seulement le texte affiché - Il explique que, dans le HTML, la partie entre
href="..."et">correspond à la destination réelle, tandis que celle entre>et](...)est le texte visible à l’écran - La possibilité d’avoir un texte affiché différent du lien réel, comme avec
Read more,ProfileouWiki, est utile en soi, mais il estime qu’elle est détournée dans ce cas
Méthode de reproduction et comportement observé
- La procédure de vérification est simple
- créer un document Google Docs et y insérer un lien
- le télécharger via
File > Download > Webpage - ouvrir en texte le fichier HTML contenu dans le ZIP, ou l’ouvrir dans le navigateur et survoler le lien
- Joe ajoute qu’il y a aussi beaucoup d’informations ajoutées à la fin des liens
- Il affirme que Google peut, via cette redirection de liens, suivre même des personnes qui n’utilisent pas les produits Google, et que ces liens sont insérés dans l’export HTML sans consentement de l’auteur du document ni de l’utilisateur final
Collabora Office et les alternatives auto-hébergées
- Collabora Office est mentionné comme une alternative libre aux technologies bureautiques collaboratives de Google
- Le service repose sur les technologies de LibreOffice, et Collabora est présenté comme son principal contributeur
- Parmi les modes d’utilisation évoqués : une instance Nextcloud, un hébergeur cloud ou son propre matériel
- Dans les commentaires, certains indiquent qu’il est possible d’installer CODE (Collabora Online Development Edition) depuis le panneau d’applications de Nextcloud
- si cela ne fonctionne pas après installation, il peut être nécessaire de modifier le contexte SELinux
- il est aussi avancé que l’installation intégrée à l’application et les environnements MAC très stricts ne font pas toujours bon ménage
- Un commentaire affirme avoir déployé Nextcloud et un serveur OpenOffice avec CapRover sur une base Docker, tandis qu’un autre rétorque qu’il reste beaucoup de travail à faire sur la configuration Apache, Let’s Encrypt, la gestion des fichiers Docker, le reverse proxy, etc.
Autres outils de documents collaboratifs et retours d’usage
- CryptPad est cité comme alternative offrant la collaboration en temps réel, le chiffrement de bout en bout et un code entièrement open source
- Un commentaire explique qu’un groupe d’amis utilise une instance CryptPad pour travailler ensemble et que, même si l’interface n’est pas exceptionnelle, l’outil a pu être utilisé sans explication particulière
- OnlyOffice est présenté comme un remplacement plus proche des produits de Microsoft et de Google
- sont mentionnées à la fois une version collaborative en ligne auto-hébergée et des éditeurs locaux hors ligne
- Le produit bureautique autonome Android de Collabora Office est également mentionné, avec l’explication qu’il peut être utilisé après avoir ajouté un nouveau flux dans F-Droid via un code QR
Vie privée, consentement et débat autour du RGPD
- Dans les commentaires, certains estiment que ce type de transformation est autorisé par les conditions d’utilisation de Google, tandis que d’autres répondent qu’il est irréaliste, en pratique, pour les utilisateurs de les refuser
- Un témoignage mentionne aussi qu’une archive de données Gmail contenait le nom des jeux, le prix et la date d’achats effectués sur Steam
- Des critiques visent également l’export PDF de Google Docs, qui n’inclurait pas d’indices d’accessibilité et ne placerait que les positions des glyphes
- Dans la discussion liée au RGPD, quelqu’un demande si une bannière de consentement aux cookies apparaît avant la redirection, et la réponse donnée est que non
- Un autre commentaire soutient que, lorsqu’on n’est pas connecté, le domaine Google reçoit les mêmes données qu’un site web ordinaire, et que si aucun cookie n’est posé et que la redirection mène bien au lien voulu, il ne voit pas où est le problème
- Joe répond qu’il n’a pas enquêté en profondeur, mais que même indépendamment des cookies ou du fingerprinting, l’adresse IP et le user agent peuvent suffire à identifier une personne, sauf en cas d’usage d’un VPN, d’un café ou d’un réseau partagé
1 commentaires
Avis de Hacker News
C’est parce que Google Docs est désormais largement utilisé comme vecteur de diffusion de logiciels malveillants
Si l’on envoie l’utilisateur vers une page Google Docs, les pare-feu d’entreprise et les scanners antivirus lui font confiance parce que c’est un domaine Google
Ce qu’on appelle ici du « suivi » est en fait cette page : https://www.google.com/url?q=https://wikimediafoundation.org...
Cela semble être un dispositif visant à informer l’utilisateur qu’il quitte Google pour aller vers un autre site, afin de réduire l’efficacité de l’usage de Google Docs pour distribuer des logiciels malveillants
Sérieusement, dans 9 cas sur 10, quand je vois ce genre de choses, je suis content de pouvoir vérifier la situation réelle dans les commentaires de HN
Google n’a pas à être exonéré de ses décisions, et on a souvent vu des cas où, sous couvert de « sécurité des utilisateurs » ou de « meilleure expérience utilisateur », la capacité de suivi de Google s’améliorait aussi au final
Cela dit, Google doit équilibrer beaucoup de problèmes contradictoires, et je déteste vraiment l’attitude qui consiste à faire comme si seuls ses propres besoins comptaient
La controverse autour du fait que Google exige une authentification à deux facteurs pour la connexion est similaire. « Les personnes qui perdent leur appareil de 2FA » est une préoccupation légitime, mais il est tout aussi légitime de rappeler qu’il y a 10 ou 100 fois plus de gens piratés à cause de mots de passe faibles
Je ne prétends pas qu’il existe une solution unique, mais faire comme si le problème que Google essaie de résoudre n’existait pas n’est pas un débat de bonne foi
Après le paramètre
q, il y a aussi ceci :&sa=D&source=editors&ust=16965233434352076&usg=Ade5344w26X85-pHzoD-rVkkdfdfBQnJ7BÇa ressemble quand même beaucoup à des données de suivi
Mais s’il l’a exporté pour le partager avec quelqu’un dans un « format de fichier qui n’est pas Google Docs », ce n’est pas acceptable
Dès qu’on sort de l’écosystème Google, cette fonction de protection devient une fonction de suivi
https://www.google.com/url?q=https://www.google.com/
https://www.google.com/url?q=https://www.youtube.com/
Ça ne paraît pas très équitable. Je ne sais pas si cela concerne le fait de « quitter la suite bureautique choisie » ou de « quitter Google »
Exemple intéressant : c’est autorisé même avec un certificat HTTP expiré : https://www.google.com/url?q=https://www.keyhole.com/
L’intention affichée de la redirection me semble être la lutte contre le phishing. Autrement dit, donner à Google l’occasion d’avertir l’utilisateur avant qu’il n’accède à un site connu comme suspect
La possibilité de suivi n’est qu’un bonus !
Microsoft fait aussi ça dans Teams. Même les liens vers des sites internes partagés entre collègues passent par une vérification de lien avant d’être redirigés
Résultat, Microsoft doit disposer d’une quantité énorme de données sur les habitudes de navigation des employés d’entreprises externes
Je respecterais beaucoup plus les entreprises si elles étaient honnêtes, même avec les intentions les plus malveillantes : « Nous voulons vous protéger du phishing. Mais 99 % des liens ne sont probablement pas du phishing. Cette fonctionnalité permet donc aussi, en réalité, de collecter des données pour suivre et analyser ce que vous faites afin d’augmenter notre rentabilité »
Je ne comprends pas pourquoi elles l’enrobent
Dans mon entreprise, on nous impose sans cesse des tests de phishing et des vidéos de formation, tout en supprimant justement une des fonctions de sécurité qu’on nous rabâchait
On ne peut tout simplement pas voir l’URL avant de cliquer. Une fois, j’ai cliqué sur un lien dans un e-mail et je me suis fait « piéger » par un test de phishing de l’entreprise
Mais notre système de messagerie lui-même nous a en quelque sorte entraînés à cliquer pour vérifier la validité des liens
Dans cette situation, impossible de gagner
https://learn.microsoft.com/en-us/microsoft-365/security/off...
Du coup, quand j’envoie un lien via ce type de logiciel, je l’obfusque légèrement
Parfois, je n’envoie même pas le lien et je me contente de quelque chose comme « HN item 37776492 »
Pour faire un peu de promo, l’entreprise où je travaille a une équipe qui développe CryptPad, une alternative open source AGPL [a] à Google Docs, avec chiffrement de bout en bout
Plusieurs personnes peuvent modifier des documents en temps réel, et le serveur n’a pas accès au contenu
Évidemment, on peut l’auto-héberger, il existe aussi une instance fournie par l’équipe [1], ainsi que des instances opérées par d’autres
Il n’y a pas ce genre de fonctionnalité malvenue. Il y a des feuilles de calcul, des documents, un fork d’ONLYOFFICE qui fonctionne dans le navigateur, des diagrammes basés sur Draw.io, des formulaires, des sondages, un module kanban, des pads, etc., ainsi que du stockage
Il ne fournit pas toutes les fonctionnalités de Google Docs, et la suite bureautique n’est pas aussi aboutie, mais c’est largement utile pour de nombreux usages
À noter que CryptPad a déjà été mentionné dans plusieurs réponses de ce fil, mais jusqu’ici ce n’était pas par nous ; j’ai envoyé le lien dans le chat interne, donc des membres de l’équipe pourraient participer
[1] https://cryptpad.fr/
[a] https://github.com/cryptpad/cryptpad
Je ne savais pas comment créer une nouvelle diapo, et je n’ai découvert
---qu’après avoir lu la documentationJe ne savais pas non plus trop quel langage le bloc de code attendait, et j’ai fini par tenter « HTML »
Pour les extraits de code, ce serait bien d’avoir un petit menu déroulant façon godbolt.org. C’est pratique pour un flux collaboratif du genre « ce code de haut niveau se compile en incrémentation d’entier, donc pas besoin de s’inquiéter de la lambda »
Godbolt sait aussi très bien remplir la page avec un exemple hello-world. Au moins les premières fois qu’on crée un type de document donné, ce serait sans doute préférable
Pour utiliser ça comme environnement quotidien de développement backend, il me faudrait sans doute une intégration Git et la possibilité de se connecter en SSH à un environnement de dev configuré façon okteto. Ça se rapproche d’un autre produit
Pour l’utiliser tous les jours, il faudrait aussi des sauvegardes de données, au cas où le chiffrement de bout en bout casse ou où l’on perdrait son mot de passe
La question suivante est l’usage hors ligne. Je voudrais pouvoir placer un serveur backend sur un LAN non exposé à Internet et y stocker des informations comme des coordonnées bancaires, consulter mon itinéraire de voyage même si mon forfait mobile ne fonctionne pas à l’étranger, et, si le serveur tombe, « copier » les données présentes sur l’appareil vers un nouveau serveur
Quoi qu’il en soit, je cherche quelque chose comme ça depuis des années, et ça semble répondre à la plupart de mes exigences
Comment fonctionne la résolution des conflits ? Je me demande si c’est du CRDT ou autre chose
Quand Advanced Protection est activé, Google réécrit aussi les URL des e-mails Gmail accessibles via IMAP pour les remplacer par son service de redirection d’URL Google
Autrement dit, il réécrit le corps du message, ce qui casse par exemple les signatures PGP
C’est vraiment atroce
FAA702 suffisait déjà amplement, mais si la surveillance sans mandat de toutes les données stockées chez Google ne vous touchait pas personnellement, le comportement déplorable de Google après l’installation de portes dérobées exigées par le gouvernement est une raison suffisante
Il est temps de sortir Google de sa vie
Ces pièces jointes expirent probablement, et peuvent être utilisées plus facilement pour la surveillance de masse
Il faut aussi rappeler que les grands acteurs du cloud ont tous soutenu l’obligation de portes dérobées gouvernementales mentionnée plus haut
À mes yeux, c’était une manœuvre de capture réglementaire. Ils voulaient le pouvoir que donne la surveillance des clients et les signalements sélectifs, tout en empêchant toute entreprise desservant le marché américain d’offrir réellement une meilleure confidentialité ou une meilleure sécurité
Pendant des années, copier un lien depuis les résultats de recherche Google copiait une URL de redirection
Au survol, le vrai lien s’affichait, mais un clic droit le transformait en redirection
Vu la source, ce n’est pas surprenant
Ce billet montre bien ce qui se passe quand un utilisateur ayant un préjugé bien ancré envers une entreprise voit une fonctionnalité courante et part du principe que cette entreprise a forcément les pires intentions
Ajouter à la fonction d’export une option pour supprimer une mention du genre « vous quittez l’écosystème fermé » n’est pas gratuit
En revanche, se plaindre que « Google est maléfique » ne coûte rien
C’est un cas classique où l’on confond paresse et malveillance
Je ne pense pas que ce soit destiné au suivi
Si le seul objectif était de suivre, il existerait des méthodes bien plus simples et moins visibles. Par exemple, il suffirait d’ajouter un ping en arrière-plan
Ça ressemble plutôt à une fonctionnalité destinée à intercepter l’utilisateur lorsque Google estime que la destination du lien est malveillante, par exemple pour bloquer la diffusion de logiciels malveillants
Je n’ai pas encore essayé moi-même, mais je me demande si cela s’applique aussi aux documents exportés depuis un compte Google Workspace payant
En l’interprétant de façon plus bienveillante, il semble que le lien affiche une page d’avertissement de redirection et s’ouvre dans un nouvel onglet, ce qui paraît être un bon comportement dans l’éditeur Google Docs
On ne peut pas en être certain, mais il y a de fortes chances qu’il y ait aussi du suivi là-dedans. À quoi d’autre pourrait bien servir la chaîne opaque dans les paramètres de requête ?
La réécriture des liens semble venir de là, et n’a probablement pas été ajoutée uniquement à la version exportée
C’est décevant qu’elle ne soit pas supprimée à l’export, mais il est très probable que ce soit un cas marginal auquel personne dans l’équipe ne prête attention
Et s’il y a bien du suivi, on ne sait pas non plus comment ni quand cette valeur est renouvelée. Par exemple, on ignore s’il s’agit d’un vestige de comportement, si elle est régénérée au moment de l’export, ou si chaque utilisateur reçoit un identifiant de suivi unique lorsqu’il exporte le même document
Je ne comprends pas que des personnes utilisant des produits Google s’inquiètent encore de la protection de la vie privée ou du suivi de leur activité
C’est un peu comme utiliser Facebook. Le modèle économique de ces entreprises repose sur l’extraction des données utilisateur ; le mieux est donc tout simplement de ne pas les utiliser