3 points par GN⁺ 2024-07-17 | 2 commentaires | Partager sur WhatsApp
  • Avec l’activation par défaut de la Privacy-Preserving Attribution (PPA) dans Firefox 128, la controverse s’étend à la confiance accordée à un navigateur qui mettait en avant la protection de la vie privée
  • La PPA est une fonctionnalité « expérimentale » qui mesure anonymement les performances publicitaires, mais elle est proposée en opt-out après la mise à jour, ce qui oblige l’utilisateur à la désactiver lui-même
  • Le critique Jonah Aragon estime que Mozilla prévoyait la réaction négative des utilisateurs, tout en ne laissant ni communication préalable suffisante ni assez de temps pour des tests par la communauté
  • Côté Mozilla, Bas Schouten défend l’idée que si le système est trop difficile à comprendre pour les utilisateurs, un modèle en opt-in n’est pas approprié, et que la priorité est de protéger contre le suivi publicitaire
  • Même si un serveur d’agrégation masque les utilisateurs individuels, le fait que les données utilisateur quittent l’appareil et les intérêts de Mozilla dans la publicité restent au cœur du débat

Controverse autour de l’activation par défaut de la PPA dans Firefox 128

  • Firefox 128 attire davantage l’attention pour une controverse sur la protection des données que pour ses nouvelles fonctionnalités pratiques
  • Cette nouvelle version intègre la technologie Privacy-Preserving Attribution (PPA), qui mesure anonymement la publicité et ses performances
  • Mozilla présente la PPA comme une fonctionnalité « expérimentale », mais l’a livrée automatiquement avec la mise à jour vers Firefox 128 et l’a activée par défaut
    • Les utilisateurs doivent désactiver eux-mêmes la PPA
    • Il faut même savoir que la fonctionnalité a été introduite en arrière-plan pour pouvoir la désactiver
  • Les critiques de Jonah Aragon se concentrent sur le fait que Mozilla savait que les utilisateurs de Firefox ne voudraient pas d’une telle fonctionnalité
    • Si les utilisateurs l’avaient souhaitée, Mozilla aurait dû annoncer la PPA à l’avance et laisser à la communauté le temps de la tester
    • Mozilla propose une documentation de support sur la PPA depuis un mois : Privacy-Preserving Attribution

Explications de Mozilla et question du flux de données

  • Bas Schouten estime qu’il est difficile d’expliquer aux utilisateurs un système comme la PPA
    • Selon lui, si les utilisateurs ne peuvent pas prendre une décision suffisamment éclairée, un modèle en opt-in n’a pas de sens
    • Il considère qu’il faut protéger les utilisateurs contre le suivi publicitaire, et que de nouvelles fonctionnalités continuent d’être activées sans toujours leur demander leur avis
  • Aragon critique cette posture, qui fait passer Mozilla pour « le berger d’un public mal informé »
    • En réponse, certains soulignent que les utilisateurs de Firefox sont justement des adultes dont l’avis mérite tout particulièrement d’être entendu
  • La PPA inclut un serveur d’agrégation entre les fournisseurs de publicité et les données utilisateur
    • Il anonymise les informations de chaque navigateur avant de fournir des données aux annonceurs participants
    • Les fournisseurs de publicité ne peuvent donc pas identifier des utilisateurs individuels
    • Mais comme les données utilisateur sont transférées vers le serveur d’agrégation, il est impossible d’éviter qu’elles quittent l’ordinateur de l’utilisateur
  • Mozilla estime que ce serveur ne fait pas partie d’un réseau publicitaire, mais les critiques rejettent cette distinction
    • Aragon reproche à Mozilla d’avoir redéfini le réseau publicitaire pour faire comme si ce serveur n’appartenait pas au côté fournisseur de publicité

Rachat d’Anonymous et problème de confiance autour de Firefox

  • Le fait que Mozilla ait racheté il y a quelques semaines Anonymous, l’entreprise qui développe la PPA, alimente aussi les soupçons
    • Anonymous joue un rôle d’intermédiaire entre la publicité et l’utilisateur
    • Certains soupçonnent Mozilla de vouloir améliorer sa trésorerie via la PPA, mais les montants concernés restent inconnus
  • Le choix d’une telle approche par Firefox, qui mettait en avant la protection des données, crée un problème de confiance
    • Aragon estime qu’à ce stade, la promesse de Mozilla est l’élément central de la protection des données collectées, et que, techniquement, il serait facile plus tard de modifier le système pour permettre aux annonceurs d’accéder à des données individuelles
    • Ces inquiétudes existaient déjà lors du rachat d’Anonymous, mais il était difficile d’imaginer que Mozilla construirait un réseau publicitaire par une voie détournée
  • Firefox est le seul grand concurrent de Google Chrome, tandis que les autres navigateurs reposent sur Chromium
    • En tant que navigateur indépendant, Ladybird gagne en élan, mais il est encore loin d’être un navigateur web fiable

2 commentaires

 
galadbran 2024-07-18

Comme cela semble être un article sur le même sujet, je mets le lien ici.
GN⁺ : Firefox ajoute et active le [ad tracking] sans consentement de l’utilisateur

 
GN⁺ 2024-07-17
Avis sur Hacker News
  • Les instructions pour désactiver cette fonctionnalité se trouvent ici[1], mais la procédure consiste à aller dans menu hamburger → Paramètres → Vie privée et sécurité, puis à faire défiler jusqu’à la nouvelle section « Web Site Advertising Preferences » et à décocher « Allow web sites to perform privacy-preserving ad measurement »
    [1] https://support.mozilla.org/en-US/kb/privacy-preserving-attr...

    • Évidemment, ce réglage n’est pas synchronisé par défaut sur les nouveaux appareils, il faut donc le refuser manuellement sur chaque appareil
      La valeur interne du réglage est dom.private-attribution.submission.enabled, et je compte la désactiver de force via une policy
    • Quand je cherche un réglage dans Firefox, j’utilise généralement la barre de recherche, mais Mozilla semble avoir exclu ce réglage de la recherche pour le cacher
      Même en saisissant « advertising » dans la barre de recherche des paramètres, aucun résultat n’apparaît
    • C’est bien qu’il existe un moyen de le désactiver, mais le problème de fond est, une fois encore, que c’est activé par défaut sans consentement préalable de l’utilisateur
      L’entreprise a décidé unilatéralement, sans demander à l’utilisateur, ce que le logiciel devait faire ; ce genre de pratique façon Silicon Valley est courant, mais épouvantable
      Peu importe que la fonctionnalité guérisse le cancer ou offre des chiots gratuits : je ne veux pas qu’une fonctionnalité que je n’ai pas explicitement ordonné d’exécuter tourne
  • Le CTO de Mozilla a publié un message à ce sujet sur /r/firefox :
    https://old.reddit.com/r/firefox/comments/1e43w7v/a_word_abo...

    • Il y dit notamment : « avec le recul, nous aurions dû communiquer davantage sur ce point », mais on ne voit absolument pas pourquoi les entreprises/apps/services doivent sans cesse réapprendre cette leçon
      La réaction des utilisateurs était totalement prévisible avant même la parution du premier article web
      Si les personnes décisionnaires chez Mozilla ne l’ont pas anticipée, cela signifie soit qu’elles ne comprennent pas du tout les préoccupations des gens en matière de vie privée, soit qu’elles s’en moquent, et aucun des deux cas n’est bon
    • La réponse essentielle qui lui est faite là-bas est : « un mécanisme de refus n’est pas un consentement », et il n’y a pas de réponse
      C’est très problématique, et ce commentaire précédent vaut aussi la peine d’être lu : https://news.ycombinator.com/item?id=40966312
    • Cette phrase me paraît très importante : « Sans alternative, les annonceurs ont une énorme incitation économique à contourner ce type de contre-mesures, ce qui mène à une course aux armements sans fin que nous pourrions ne pas gagner »
      Cette course aux armements risque fort d’aller vers l’introduction de DRM dans les publications web et les flux vidéo, et Google mène déjà des expérimentations
    • Commentaire intéressant : https://old.reddit.com/r/firefox/comments/1e43w7v/a_word_abo...
      Si la télémétrie est désactivée, cette fonctionnalité l’est aussi, mais l’interface ne l’indique pas ainsi et donne l’impression qu’elle est activée
      Le fait qu’elle existe et soit activée par défaut n’est pas une bonne chose, mais si vous aviez déjà refusé la télémétrie, elle est également refusée
    • Il dit que « faire quelque chose contre l’immense réseau de surveillance est la principale raison pour laquelle beaucoup d’entre nous sont chez Mozilla », tout en affirmant que « les boîtes de dialogue modales de consentement sont un élément hostile aux utilisateurs qui empêche de meilleurs réglages par défaut »
      Ce qui est réellement hostile aux utilisateurs, c’est d’exécuter quelque chose à leur insu et sans leur consentement
      Après une mise à jour, Firefox utilise souvent un nouvel onglet pour promouvoir des fonctionnalités que Mozilla juge importantes, comme son VPN ou Firefox mobile, mais cette fois il n’a rien dit de ce changement
      Le coût pour m’en informer était « gratuit », et pourtant ils ont activement choisi de ne pas le faire
      « Faire quelque chose » contre la surveillance commence par la transparence ; si la direction de Mozilla ne considère pas cela comme important, elle n’est pas qualifiée pour diriger une telle entreprise
      Les utilisateurs de Firefox l’utilisent parce qu’ils ne veulent pas des tactiques suspectes que Google ou Microsoft répètent, et ils ne veulent pas confier le contrôle de leur navigateur aux personnes en salle de réunion qui obligent l’équipe RP à publier une longue non-réponse sur le problème
      Il y a beaucoup d’explications sur les raisons pour lesquelles cette technologie a été créée, mais presque rien sur le problème principal : une entreprise qui prétend défendre les droits des utilisateurs a pris une décision hostile aux utilisateurs, à savoir pousser un changement en douce et activer un réglage manifestement controversé sans avertissement ni communication
      La formule RP « nous aurions dû communiquer davantage » sonne, pour les utilisateurs qui ont étudié et choisi ce navigateur pour de bonnes raisons, comme « nous l’avons activement caché », ce qui est le meilleur moyen de renforcer leur sentiment d’aliénation
  • On compare parfois la Wikimedia Foundation à une organisation atteinte d’un cancer[1] ; la Mozilla Foundation, elle, semble atteinte d’Alzheimer, oubliant sans cesse qui elle est et pourquoi elle existe
    [1] https://en.wikipedia.org/wiki/User:Guy_Macon/Wikipedia_has_C...

    • Cela rappelle aussi les controverses dans lesquelles elle a été impliquée par le passé
      Cliqz était une autre tentative de Mozilla d’investir dans des technologies préservant la vie privée ; à l’époque c’était la recherche, cette fois c’est la publicité, et dans les deux cas cela a été lancé discrètement sans consentement des utilisateurs
  • J’ai donc cherché comment désactiver ça
    Allez dans les paramètres, saisissez privacy dans la barre de recherche, et sous « Firefox Data Collection and Use », le dernier élément est la case à cocher « Allow websites to perform privacy-preserving ad measurement »
    Quand j’ai vérifié à l’instant, elle était déjà décochée de mon côté

  • Sur Firefox mobile, il suffit d’ouvrir chrome://geckoview/content/config.xhtml, de définir general.aboutConfig.enable sur true, puis, dans about:config, de passer dom.private-attribution.submission.enabled à false

  • Je me demandais où faire un don pour le développement du navigateur Ladybird ; avant que quelqu’un ne réponde, c’est ici : https://donorbox.org/ladybird

    • J’ai fait un don à Ladybird et à Servo
      Le lien pour Servo est ici : https://servo.org/sponsorship/
    • Il faudrait bientôt commencer à ajouter une cible de build Windows
      En tant que développeur web, c’est indispensable pour pouvoir convaincre le grand public de migrer
    • Mieux vaut ne pas trop espérer
      Développer un navigateur aussi rapide que Firefox prend du temps, et CSS et JS ne sont pas une mince affaire
    • Pourquoi Ladybird ? Pourquoi pas Servo ?
    • Je ne vois pas en quoi cela résout le problème
      Même s’ils finissent réellement un navigateur dans quelques années, rien ne garantit qu’il n’y aura pas, d’une manière ou d’une autre, une dégradation de la qualité et des dérives liées à la monétisation
      À mon sens, la seule option est un projet dont l’objectif est de dépolluer les navigateurs open source
  • https://librewolf.net/
    Quand ça ne marche pas, on peut revenir à Firefox
    Les problèmes surviennent généralement sur des sites douteux, des sites qui utilisent une forte protection anti-bot et du fingerprinting, ou des sites qui utilisent des API GPU

    • J’ai quelques critiques à formuler à propos de LibreWolf
      Il n’y a pas d’entité juridique derrière le projet ; donc si quelque chose arrive au projet, même si c’est peu probable, il n’y a pas de structure de responsabilité juridique
      Les binaires ne sont pas signés, et même si la signature de code fonctionne un peu comme un business, elle a quand même un sens
      Il n’y a pas non plus de mécanisme de mise à jour automatique ; surtout sous Windows, le fait de recommander de s’appuyer sur un client tiers pour mettre à jour le navigateur est un problème assez important
      On ajoute un intermédiaire supplémentaire, et comme les binaires ne sont pas signés, rien ne garantit qu’on ne télécharge pas un binaire malveillant
    • Je l’ai installé il y a quelques jours, il fonctionne très bien et je n’ai encore rencontré aucun problème
      C’est appréciable de pouvoir l’installer avec Brew
  • La confidentialité était l’une des rares raisons qui me faisaient tolérer les performances régulièrement lentes et médiocres de Firefox, ainsi que sa tendance à ralentir toute la machine
    Si elle disparaît, je me demande bien pourquoi continuer à l’utiliser ; autant utiliser Chrome
    Au moins, il est léger et assez rapide

  • Cette méthode fonctionne en ajoutant du bruit, mais un attaquant ne peut-il pas la contourner en augmentant le signal ?
    Si l’on suppose qu’un attaquant peut créer des annonceurs/navigateurs Sybil, cela semble tout à fait possible
    On définit un ensemble d’expositions de référence M composé de plusieurs identifiants publicitaires et de plusieurs annonceurs Sybil, puis, pour chaque utilisateur ciblé, on définit aussi un ensemble d’expositions marqueurs M avec plusieurs identifiants publicitaires et plusieurs annonceurs Sybil
    Ensuite, on stocke les expositions marqueurs + de référence dans de nombreux navigateurs Sybil afin qu’elles dépassent la ligne de base de signalement avec une certaine probabilité
    Quand l’utilisateur ciblé visite le site web ciblé, on demande un rapport de conversion pour chaque publicité/annonceur
    On obtient alors un signal de référence provenant des publicités/annonceurs de référence et un signal marqueur provenant des publicités/annonceurs marqueurs ; si cet utilisateur fait partie des utilisateurs ciblés, on peut s’attendre à ce que le signal « marqueur » soit plus fort que la référence

  • Firefox devrait intégrer un bloqueur de pistage qui bloque toutes les publicités et tous les morceaux de code tiers liés au profilage qui reposent sur l’exécution de JavaScript, tout en laissant les images publicitaires intégrées à la page, servies directement par le propriétaire de la page et basées sur son contenu
    Comme les publicités dans les magazines
    Tout le reste revient simplement à accepter l’idée de l’industrie publicitaire selon laquelle « construire des profils, c’est acceptable »
    De nos jours, les annonceurs pensent avoir droit à tout, et Firefox leur a donné un coup de main

    • Avec cette logique, Wikipedia ne pourrait charger aucune image
  • Avant, j’avais mis un bouton « Download Firefox » sur mon site web, mais je l’ai retiré à cause d’incidents similaires par le passé
    J’ai aussi arrêté de recommander Firefox à mes amis et à ma famille, et aujourd’hui je ne peux plus vraiment le recommander
    Je ne suis même plus sûr que le choix du navigateur fasse une grande différence de nos jours
    J’utilise encore Firefox, plutôt par tradition, mais je sais aussi que d’autres personnes techniquement compétentes l’ont quitté
    Sans doute pour des raisons similaires : Firefox ne donne pas l’impression d’être moins agaçant que les autres navigateurs
    Si Firefox perd de plus en plus de ses soutiens les plus dévoués et qu’ils deviennent indifférents, l’avenir semble assez sombre