2 points par GN⁺ 2023-10-06 | 1 commentaires | Partager sur WhatsApp
  • Des cas ont été signalés où, lors de l’export d’un document Google Docs en HTML, la destination des liens dans le document est remplacée non par l’URL d’origine, mais par un lien de redirection Google
  • Il ne s’agit pas d’une injection de script, mais d’une modification de la cible réelle de [ ; il est donc difficile de s’en apercevoir en se fiant uniquement au texte du lien affiché à l’écran
  • On peut le reproduire en insérant un lien dans Google Docs, puis en récupérant une archive ZIP via File > Download > Webpage, avant de vérifier le fichier HTML ou l’aperçu du lien dans le navigateur
  • Collabora Office a été cité comme alternative ; basé sur LibreOffice, il peut être utilisé sur une instance Nextcloud, chez un hébergeur cloud ou sur son propre matériel
  • Dans les commentaires, la discussion a aussi porté sur la collecte possible de données de connexion, de cookies, d’adresse IP et de user agent, sur la question du consentement au regard du RGPD, ainsi que sur des alternatives de documents collaboratifs comme CryptPad, OnlyOffice et Nextcloud

Liens modifiés dans les exports HTML de Google Docs

  • Joe souligne que, lors de l’export d’un document Google Docs en HTML, les liens présents dans le document sont remplacés par des redirections de suivi invisibles de Google
  • Il ne s’agit pas d’un ajout de script : c’est la valeur même de href dans le HTML qui devient la véritable destination, ce qui rend le changement difficile à détecter si l’on regarde seulement le texte affiché
  • Il explique que, dans le HTML, la partie entre href="..." et "> correspond à la destination réelle, tandis que celle entre > et ](...) est le texte visible à l’écran
  • La possibilité d’avoir un texte affiché différent du lien réel, comme avec Read more, Profile ou Wiki, est utile en soi, mais il estime qu’elle est détournée dans ce cas

Méthode de reproduction et comportement observé

  • La procédure de vérification est simple
    • créer un document Google Docs et y insérer un lien
    • le télécharger via File > Download > Webpage
    • ouvrir en texte le fichier HTML contenu dans le ZIP, ou l’ouvrir dans le navigateur et survoler le lien
  • Joe ajoute qu’il y a aussi beaucoup d’informations ajoutées à la fin des liens
  • Il affirme que Google peut, via cette redirection de liens, suivre même des personnes qui n’utilisent pas les produits Google, et que ces liens sont insérés dans l’export HTML sans consentement de l’auteur du document ni de l’utilisateur final

Collabora Office et les alternatives auto-hébergées

  • Collabora Office est mentionné comme une alternative libre aux technologies bureautiques collaboratives de Google
  • Le service repose sur les technologies de LibreOffice, et Collabora est présenté comme son principal contributeur
  • Parmi les modes d’utilisation évoqués : une instance Nextcloud, un hébergeur cloud ou son propre matériel
  • Dans les commentaires, certains indiquent qu’il est possible d’installer CODE (Collabora Online Development Edition) depuis le panneau d’applications de Nextcloud
    • si cela ne fonctionne pas après installation, il peut être nécessaire de modifier le contexte SELinux
    • il est aussi avancé que l’installation intégrée à l’application et les environnements MAC très stricts ne font pas toujours bon ménage
  • Un commentaire affirme avoir déployé Nextcloud et un serveur OpenOffice avec CapRover sur une base Docker, tandis qu’un autre rétorque qu’il reste beaucoup de travail à faire sur la configuration Apache, Let’s Encrypt, la gestion des fichiers Docker, le reverse proxy, etc.

Autres outils de documents collaboratifs et retours d’usage

  • CryptPad est cité comme alternative offrant la collaboration en temps réel, le chiffrement de bout en bout et un code entièrement open source
  • Un commentaire explique qu’un groupe d’amis utilise une instance CryptPad pour travailler ensemble et que, même si l’interface n’est pas exceptionnelle, l’outil a pu être utilisé sans explication particulière
  • OnlyOffice est présenté comme un remplacement plus proche des produits de Microsoft et de Google
    • sont mentionnées à la fois une version collaborative en ligne auto-hébergée et des éditeurs locaux hors ligne
  • Le produit bureautique autonome Android de Collabora Office est également mentionné, avec l’explication qu’il peut être utilisé après avoir ajouté un nouveau flux dans F-Droid via un code QR

Vie privée, consentement et débat autour du RGPD

  • Dans les commentaires, certains estiment que ce type de transformation est autorisé par les conditions d’utilisation de Google, tandis que d’autres répondent qu’il est irréaliste, en pratique, pour les utilisateurs de les refuser
  • Un témoignage mentionne aussi qu’une archive de données Gmail contenait le nom des jeux, le prix et la date d’achats effectués sur Steam
  • Des critiques visent également l’export PDF de Google Docs, qui n’inclurait pas d’indices d’accessibilité et ne placerait que les positions des glyphes
  • Dans la discussion liée au RGPD, quelqu’un demande si une bannière de consentement aux cookies apparaît avant la redirection, et la réponse donnée est que non
  • Un autre commentaire soutient que, lorsqu’on n’est pas connecté, le domaine Google reçoit les mêmes données qu’un site web ordinaire, et que si aucun cookie n’est posé et que la redirection mène bien au lien voulu, il ne voit pas où est le problème
  • Joe répond qu’il n’a pas enquêté en profondeur, mais que même indépendamment des cookies ou du fingerprinting, l’adresse IP et le user agent peuvent suffire à identifier une personne, sauf en cas d’usage d’un VPN, d’un café ou d’un réseau partagé

1 commentaires

 
GN⁺ 2023-10-06
Avis de Hacker News
  • C’est parce que Google Docs est désormais largement utilisé comme vecteur de diffusion de logiciels malveillants
    Si l’on envoie l’utilisateur vers une page Google Docs, les pare-feu d’entreprise et les scanners antivirus lui font confiance parce que c’est un domaine Google
    Ce qu’on appelle ici du « suivi » est en fait cette page : https://www.google.com/url?q=https://wikimediafoundation.org...
    Cela semble être un dispositif visant à informer l’utilisateur qu’il quitte Google pour aller vers un autre site, afin de réduire l’efficacité de l’usage de Google Docs pour distribuer des logiciels malveillants

    • J’avais déjà sorti la fourche, moi aussi…
      Sérieusement, dans 9 cas sur 10, quand je vois ce genre de choses, je suis content de pouvoir vérifier la situation réelle dans les commentaires de HN
      Google n’a pas à être exonéré de ses décisions, et on a souvent vu des cas où, sous couvert de « sécurité des utilisateurs » ou de « meilleure expérience utilisateur », la capacité de suivi de Google s’améliorait aussi au final
      Cela dit, Google doit équilibrer beaucoup de problèmes contradictoires, et je déteste vraiment l’attitude qui consiste à faire comme si seuls ses propres besoins comptaient
      La controverse autour du fait que Google exige une authentification à deux facteurs pour la connexion est similaire. « Les personnes qui perdent leur appareil de 2FA » est une préoccupation légitime, mais il est tout aussi légitime de rappeler qu’il y a 10 ou 100 fois plus de gens piratés à cause de mots de passe faibles
      Je ne prétends pas qu’il existe une solution unique, mais faire comme si le problème que Google essaie de résoudre n’existait pas n’est pas un débat de bonne foi
    • La critique porte sur les documents exportés depuis Google Docs
    • Très bien, mais l’URL réelle n’est pas celle-là
      Après le paramètre q, il y a aussi ceci :
      &sa=D&source=editors&ust=16965233434352076&usg=Ade5344w26X85-pHzoD-rVkkdfdfBQnJ7B
      Ça ressemble quand même beaucoup à des données de suivi
    • Que Google fasse transiter l’utilisateur par Google tant qu’il utilise un document Google comme document Google, pourquoi pas
      Mais s’il l’a exporté pour le partager avec quelqu’un dans un « format de fichier qui n’est pas Google Docs », ce n’est pas acceptable
      Dès qu’on sort de l’écosystème Google, cette fonction de protection devient une fonction de suivi
    • Pourtant, ce genre de liens passe sans problème
      https://www.google.com/url?q=https://www.google.com/
      https://www.google.com/url?q=https://www.youtube.com/
      Ça ne paraît pas très équitable. Je ne sais pas si cela concerne le fait de « quitter la suite bureautique choisie » ou de « quitter Google »
      Exemple intéressant : c’est autorisé même avec un certificat HTTP expiré : https://www.google.com/url?q=https://www.keyhole.com/
  • L’intention affichée de la redirection me semble être la lutte contre le phishing. Autrement dit, donner à Google l’occasion d’avertir l’utilisateur avant qu’il n’accède à un site connu comme suspect
    La possibilité de suivi n’est qu’un bonus !
    Microsoft fait aussi ça dans Teams. Même les liens vers des sites internes partagés entre collègues passent par une vérification de lien avant d’être redirigés
    Résultat, Microsoft doit disposer d’une quantité énorme de données sur les habitudes de navigation des employés d’entreprises externes
    Je respecterais beaucoup plus les entreprises si elles étaient honnêtes, même avec les intentions les plus malveillantes : « Nous voulons vous protéger du phishing. Mais 99 % des liens ne sont probablement pas du phishing. Cette fonctionnalité permet donc aussi, en réalité, de collecter des données pour suivre et analyser ce que vous faites afin d’augmenter notre rentabilité »
    Je ne comprends pas pourquoi elles l’enrobent

    • Je déteste vraiment ces liens dans Outlook et Teams. Je ne sais pas si c’est propre à l’implémentation de Teams ou autre chose
      Dans mon entreprise, on nous impose sans cesse des tests de phishing et des vidéos de formation, tout en supprimant justement une des fonctions de sécurité qu’on nous rabâchait
      On ne peut tout simplement pas voir l’URL avant de cliquer. Une fois, j’ai cliqué sur un lien dans un e-mail et je me suis fait « piéger » par un test de phishing de l’entreprise
      Mais notre système de messagerie lui-même nous a en quelque sorte entraînés à cliquer pour vérifier la validité des liens
    • Ce qui est drôle, c’est que Google expose honnêtement ses intentions, mais personne ne croit que ce n’est pas du data mining pour suivre les comportements
      Dans cette situation, impossible de gagner
    • Vu que les districts scolaires publics américains et les élèves de moins de 18 ans utilisent aujourd’hui presque exclusivement Google Docs, ça semble taillé pour déboucher sur un procès lié à la vie privée
    • Les Safe Links de Teams sont une politique que l’administrateur peut contrôler
      https://learn.microsoft.com/en-us/microsoft-365/security/off...
    • Je rencontre le même genre de désagrément avec des choses comme les « aperçus de liens ». Pour les sites internes ou nécessitant une authentification, c’est impossible dès le départ
      Du coup, quand j’envoie un lien via ce type de logiciel, je l’obfusque légèrement
      Parfois, je n’envoie même pas le lien et je me contente de quelque chose comme « HN item 37776492 »
  • Pour faire un peu de promo, l’entreprise où je travaille a une équipe qui développe CryptPad, une alternative open source AGPL [a] à Google Docs, avec chiffrement de bout en bout
    Plusieurs personnes peuvent modifier des documents en temps réel, et le serveur n’a pas accès au contenu
    Évidemment, on peut l’auto-héberger, il existe aussi une instance fournie par l’équipe [1], ainsi que des instances opérées par d’autres
    Il n’y a pas ce genre de fonctionnalité malvenue. Il y a des feuilles de calcul, des documents, un fork d’ONLYOFFICE qui fonctionne dans le navigateur, des diagrammes basés sur Draw.io, des formulaires, des sondages, un module kanban, des pads, etc., ainsi que du stockage
    Il ne fournit pas toutes les fonctionnalités de Google Docs, et la suite bureautique n’est pas aussi aboutie, mais c’est largement utile pour de nombreux usages
    À noter que CryptPad a déjà été mentionné dans plusieurs réponses de ce fil, mais jusqu’ici ce n’était pas par nous ; j’ai envoyé le lien dans le chat interne, donc des membres de l’équipe pourraient participer
    [1] https://cryptpad.fr/
    [a] https://github.com/cryptpad/cryptpad

    • J’ai vu quelques points gênants dans le parcours de démo
      Je ne savais pas comment créer une nouvelle diapo, et je n’ai découvert --- qu’après avoir lu la documentation
      Je ne savais pas non plus trop quel langage le bloc de code attendait, et j’ai fini par tenter « HTML »
      Pour les extraits de code, ce serait bien d’avoir un petit menu déroulant façon godbolt.org. C’est pratique pour un flux collaboratif du genre « ce code de haut niveau se compile en incrémentation d’entier, donc pas besoin de s’inquiéter de la lambda »
      Godbolt sait aussi très bien remplir la page avec un exemple hello-world. Au moins les premières fois qu’on crée un type de document donné, ce serait sans doute préférable
      Pour utiliser ça comme environnement quotidien de développement backend, il me faudrait sans doute une intégration Git et la possibilité de se connecter en SSH à un environnement de dev configuré façon okteto. Ça se rapproche d’un autre produit
      Pour l’utiliser tous les jours, il faudrait aussi des sauvegardes de données, au cas où le chiffrement de bout en bout casse ou où l’on perdrait son mot de passe
      La question suivante est l’usage hors ligne. Je voudrais pouvoir placer un serveur backend sur un LAN non exposé à Internet et y stocker des informations comme des coordonnées bancaires, consulter mon itinéraire de voyage même si mon forfait mobile ne fonctionne pas à l’étranger, et, si le serveur tombe, « copier » les données présentes sur l’appareil vers un nouveau serveur
      Quoi qu’il en soit, je cherche quelque chose comme ça depuis des années, et ça semble répondre à la plupart de mes exigences
      Comment fonctionne la résolution des conflits ? Je me demande si c’est du CRDT ou autre chose
    • J’étais venu pour mentionner CryptPad. Je l’auto-héberge et l’utilise, c’est plutôt bien
  • Quand Advanced Protection est activé, Google réécrit aussi les URL des e-mails Gmail accessibles via IMAP pour les remplacer par son service de redirection d’URL Google
    Autrement dit, il réécrit le corps du message, ce qui casse par exemple les signatures PGP
    C’est vraiment atroce
    FAA702 suffisait déjà amplement, mais si la surveillance sans mandat de toutes les données stockées chez Google ne vous touchait pas personnellement, le comportement déplorable de Google après l’installation de portes dérobées exigées par le gouvernement est une raison suffisante
    Il est temps de sortir Google de sa vie

    • Je reçois souvent des e-mails provenant de Gmail qui ne s’affichent pas correctement dans les clients mail HTML standards, avec des pièces jointes hébergées sur les serveurs de Google
      Ces pièces jointes expirent probablement, et peuvent être utilisées plus facilement pour la surveillance de masse
      Il faut aussi rappeler que les grands acteurs du cloud ont tous soutenu l’obligation de portes dérobées gouvernementales mentionnée plus haut
      À mes yeux, c’était une manœuvre de capture réglementaire. Ils voulaient le pouvoir que donne la surveillance des clients et les signalements sélectifs, tout en empêchant toute entreprise desservant le marché américain d’offrir réellement une meilleure confidentialité ou une meilleure sécurité

      The CLOUD Act received support from Department of Justice and of major technology companies like Microsoft, AWS, Apple, and Google.[12][13] The bill was criticized by several civil rights groups, including the Electronic Frontier Foundation, the American Civil Liberties Union, Amnesty International, and Human Rights Watch. These groups argued that the bill stripped away Fourth Amendment rights against unreasonable searches and seizures, since the government could enter into data rights sharing agreements with foreign countries and bypass U.S. courts, and affected users would not have to be notified when such warrants were issued.[13][14] Some of these groups feared the government would not fully review requests from foreign countries for their citizens' stored on servers in the U.S., potentially allowing such data to be used in bad faith in those countries.[15]
      https://en.wikipedia.org/wiki/CLOUD_Act

  • Pendant des années, copier un lien depuis les résultats de recherche Google copiait une URL de redirection
    Au survol, le vrai lien s’affichait, mais un clic droit le transformait en redirection

    • Il existe une petite extension de navigateur qui corrige ça, mais ce comportement reste pénible, désagréable et presque trompeur
      Vu la source, ce n’est pas surprenant
  • Ce billet montre bien ce qui se passe quand un utilisateur ayant un préjugé bien ancré envers une entreprise voit une fonctionnalité courante et part du principe que cette entreprise a forcément les pires intentions

    • Oui
      Ajouter à la fonction d’export une option pour supprimer une mention du genre « vous quittez l’écosystème fermé » n’est pas gratuit
      En revanche, se plaindre que « Google est maléfique » ne coûte rien
      C’est un cas classique où l’on confond paresse et malveillance
  • Je ne pense pas que ce soit destiné au suivi
    Si le seul objectif était de suivre, il existerait des méthodes bien plus simples et moins visibles. Par exemple, il suffirait d’ajouter un ping en arrière-plan
    Ça ressemble plutôt à une fonctionnalité destinée à intercepter l’utilisateur lorsque Google estime que la destination du lien est malveillante, par exemple pour bloquer la diffusion de logiciels malveillants

  • Je n’ai pas encore essayé moi-même, mais je me demande si cela s’applique aussi aux documents exportés depuis un compte Google Workspace payant

    • D’après le fil Mastodon, les comptes payants seraient concernés de la même manière
  • En l’interprétant de façon plus bienveillante, il semble que le lien affiche une page d’avertissement de redirection et s’ouvre dans un nouvel onglet, ce qui paraît être un bon comportement dans l’éditeur Google Docs
    On ne peut pas en être certain, mais il y a de fortes chances qu’il y ait aussi du suivi là-dedans. À quoi d’autre pourrait bien servir la chaîne opaque dans les paramètres de requête ?
    La réécriture des liens semble venir de là, et n’a probablement pas été ajoutée uniquement à la version exportée
    C’est décevant qu’elle ne soit pas supprimée à l’export, mais il est très probable que ce soit un cas marginal auquel personne dans l’équipe ne prête attention
    Et s’il y a bien du suivi, on ne sait pas non plus comment ni quand cette valeur est renouvelée. Par exemple, on ignore s’il s’agit d’un vestige de comportement, si elle est régénérée au moment de l’export, ou si chaque utilisateur reçoit un identifiant de suivi unique lorsqu’il exporte le même document

  • Je ne comprends pas que des personnes utilisant des produits Google s’inquiètent encore de la protection de la vie privée ou du suivi de leur activité
    C’est un peu comme utiliser Facebook. Le modèle économique de ces entreprises repose sur l’extraction des données utilisateur ; le mieux est donc tout simplement de ne pas les utiliser