- Avec l’activation par défaut de la Privacy-Preserving Attribution (PPA) dans Firefox 128, la controverse s’étend à la confiance accordée à un navigateur qui mettait en avant la protection de la vie privée
- La PPA est une fonctionnalité « expérimentale » qui mesure anonymement les performances publicitaires, mais elle est proposée en opt-out après la mise à jour, ce qui oblige l’utilisateur à la désactiver lui-même
- Le critique Jonah Aragon estime que Mozilla prévoyait la réaction négative des utilisateurs, tout en ne laissant ni communication préalable suffisante ni assez de temps pour des tests par la communauté
- Côté Mozilla, Bas Schouten défend l’idée que si le système est trop difficile à comprendre pour les utilisateurs, un modèle en opt-in n’est pas approprié, et que la priorité est de protéger contre le suivi publicitaire
- Même si un serveur d’agrégation masque les utilisateurs individuels, le fait que les données utilisateur quittent l’appareil et les intérêts de Mozilla dans la publicité restent au cœur du débat
Controverse autour de l’activation par défaut de la PPA dans Firefox 128
- Firefox 128 attire davantage l’attention pour une controverse sur la protection des données que pour ses nouvelles fonctionnalités pratiques
- Cette nouvelle version intègre la technologie Privacy-Preserving Attribution (PPA), qui mesure anonymement la publicité et ses performances
- Mozilla présente la PPA comme une fonctionnalité « expérimentale », mais l’a livrée automatiquement avec la mise à jour vers Firefox 128 et l’a activée par défaut
- Les utilisateurs doivent désactiver eux-mêmes la PPA
- Il faut même savoir que la fonctionnalité a été introduite en arrière-plan pour pouvoir la désactiver
- Les critiques de Jonah Aragon se concentrent sur le fait que Mozilla savait que les utilisateurs de Firefox ne voudraient pas d’une telle fonctionnalité
- Si les utilisateurs l’avaient souhaitée, Mozilla aurait dû annoncer la PPA à l’avance et laisser à la communauté le temps de la tester
- Mozilla propose une documentation de support sur la PPA depuis un mois : Privacy-Preserving Attribution
Explications de Mozilla et question du flux de données
- Bas Schouten estime qu’il est difficile d’expliquer aux utilisateurs un système comme la PPA
- Selon lui, si les utilisateurs ne peuvent pas prendre une décision suffisamment éclairée, un modèle en opt-in n’a pas de sens
- Il considère qu’il faut protéger les utilisateurs contre le suivi publicitaire, et que de nouvelles fonctionnalités continuent d’être activées sans toujours leur demander leur avis
- Aragon critique cette posture, qui fait passer Mozilla pour « le berger d’un public mal informé »
- En réponse, certains soulignent que les utilisateurs de Firefox sont justement des adultes dont l’avis mérite tout particulièrement d’être entendu
- La PPA inclut un serveur d’agrégation entre les fournisseurs de publicité et les données utilisateur
- Il anonymise les informations de chaque navigateur avant de fournir des données aux annonceurs participants
- Les fournisseurs de publicité ne peuvent donc pas identifier des utilisateurs individuels
- Mais comme les données utilisateur sont transférées vers le serveur d’agrégation, il est impossible d’éviter qu’elles quittent l’ordinateur de l’utilisateur
- Mozilla estime que ce serveur ne fait pas partie d’un réseau publicitaire, mais les critiques rejettent cette distinction
- Aragon reproche à Mozilla d’avoir redéfini le réseau publicitaire pour faire comme si ce serveur n’appartenait pas au côté fournisseur de publicité
Rachat d’Anonymous et problème de confiance autour de Firefox
- Le fait que Mozilla ait racheté il y a quelques semaines Anonymous, l’entreprise qui développe la PPA, alimente aussi les soupçons
- Anonymous joue un rôle d’intermédiaire entre la publicité et l’utilisateur
- Certains soupçonnent Mozilla de vouloir améliorer sa trésorerie via la PPA, mais les montants concernés restent inconnus
- Le choix d’une telle approche par Firefox, qui mettait en avant la protection des données, crée un problème de confiance
- Aragon estime qu’à ce stade, la promesse de Mozilla est l’élément central de la protection des données collectées, et que, techniquement, il serait facile plus tard de modifier le système pour permettre aux annonceurs d’accéder à des données individuelles
- Ces inquiétudes existaient déjà lors du rachat d’Anonymous, mais il était difficile d’imaginer que Mozilla construirait un réseau publicitaire par une voie détournée
- Firefox est le seul grand concurrent de Google Chrome, tandis que les autres navigateurs reposent sur Chromium
- En tant que navigateur indépendant, Ladybird gagne en élan, mais il est encore loin d’être un navigateur web fiable
2 commentaires
Comme cela semble être un article sur le même sujet, je mets le lien ici.
GN⁺ : Firefox ajoute et active le [ad tracking] sans consentement de l’utilisateur
Avis sur Hacker News
Les instructions pour désactiver cette fonctionnalité se trouvent ici[1], mais la procédure consiste à aller dans menu hamburger → Paramètres → Vie privée et sécurité, puis à faire défiler jusqu’à la nouvelle section « Web Site Advertising Preferences » et à décocher « Allow web sites to perform privacy-preserving ad measurement »
[1] https://support.mozilla.org/en-US/kb/privacy-preserving-attr...
La valeur interne du réglage est
dom.private-attribution.submission.enabled, et je compte la désactiver de force via une policyMême en saisissant « advertising » dans la barre de recherche des paramètres, aucun résultat n’apparaît
L’entreprise a décidé unilatéralement, sans demander à l’utilisateur, ce que le logiciel devait faire ; ce genre de pratique façon Silicon Valley est courant, mais épouvantable
Peu importe que la fonctionnalité guérisse le cancer ou offre des chiots gratuits : je ne veux pas qu’une fonctionnalité que je n’ai pas explicitement ordonné d’exécuter tourne
Le CTO de Mozilla a publié un message à ce sujet sur /r/firefox :
https://old.reddit.com/r/firefox/comments/1e43w7v/a_word_abo...
La réaction des utilisateurs était totalement prévisible avant même la parution du premier article web
Si les personnes décisionnaires chez Mozilla ne l’ont pas anticipée, cela signifie soit qu’elles ne comprennent pas du tout les préoccupations des gens en matière de vie privée, soit qu’elles s’en moquent, et aucun des deux cas n’est bon
C’est très problématique, et ce commentaire précédent vaut aussi la peine d’être lu : https://news.ycombinator.com/item?id=40966312
Cette course aux armements risque fort d’aller vers l’introduction de DRM dans les publications web et les flux vidéo, et Google mène déjà des expérimentations
Si la télémétrie est désactivée, cette fonctionnalité l’est aussi, mais l’interface ne l’indique pas ainsi et donne l’impression qu’elle est activée
Le fait qu’elle existe et soit activée par défaut n’est pas une bonne chose, mais si vous aviez déjà refusé la télémétrie, elle est également refusée
Ce qui est réellement hostile aux utilisateurs, c’est d’exécuter quelque chose à leur insu et sans leur consentement
Après une mise à jour, Firefox utilise souvent un nouvel onglet pour promouvoir des fonctionnalités que Mozilla juge importantes, comme son VPN ou Firefox mobile, mais cette fois il n’a rien dit de ce changement
Le coût pour m’en informer était « gratuit », et pourtant ils ont activement choisi de ne pas le faire
« Faire quelque chose » contre la surveillance commence par la transparence ; si la direction de Mozilla ne considère pas cela comme important, elle n’est pas qualifiée pour diriger une telle entreprise
Les utilisateurs de Firefox l’utilisent parce qu’ils ne veulent pas des tactiques suspectes que Google ou Microsoft répètent, et ils ne veulent pas confier le contrôle de leur navigateur aux personnes en salle de réunion qui obligent l’équipe RP à publier une longue non-réponse sur le problème
Il y a beaucoup d’explications sur les raisons pour lesquelles cette technologie a été créée, mais presque rien sur le problème principal : une entreprise qui prétend défendre les droits des utilisateurs a pris une décision hostile aux utilisateurs, à savoir pousser un changement en douce et activer un réglage manifestement controversé sans avertissement ni communication
La formule RP « nous aurions dû communiquer davantage » sonne, pour les utilisateurs qui ont étudié et choisi ce navigateur pour de bonnes raisons, comme « nous l’avons activement caché », ce qui est le meilleur moyen de renforcer leur sentiment d’aliénation
On compare parfois la Wikimedia Foundation à une organisation atteinte d’un cancer[1] ; la Mozilla Foundation, elle, semble atteinte d’Alzheimer, oubliant sans cesse qui elle est et pourquoi elle existe
[1] https://en.wikipedia.org/wiki/User:Guy_Macon/Wikipedia_has_C...
Cliqz était une autre tentative de Mozilla d’investir dans des technologies préservant la vie privée ; à l’époque c’était la recherche, cette fois c’est la publicité, et dans les deux cas cela a été lancé discrètement sans consentement des utilisateurs
J’ai donc cherché comment désactiver ça
Allez dans les paramètres, saisissez privacy dans la barre de recherche, et sous « Firefox Data Collection and Use », le dernier élément est la case à cocher « Allow websites to perform privacy-preserving ad measurement »
Quand j’ai vérifié à l’instant, elle était déjà décochée de mon côté
Sur Firefox mobile, il suffit d’ouvrir
chrome://geckoview/content/config.xhtml, de définirgeneral.aboutConfig.enablesurtrue, puis, dansabout:config, de passerdom.private-attribution.submission.enabledàfalseLe problème semble être de savoir si, par une manipulation astucieuse des attributs, on peut amener le service d’agrégation à fournir au site publicitaire, sur plusieurs sites, un rapport presque unique pour un utilisateur donné
<https://support.mozilla.org/en-US/kb/privacy-preserving-attr...>
<https://datatracker.ietf.org/doc/html/draft-ietf-ppm-dap>
<https://github.com/mozilla/explainers/tree/main/ppa-experime...>
programs.firefox.policies.Preferences."dom.private-attribution.submission.enabled" = false;(https://gitlab.com/engmark/root/-/commit/bbb3ff9efb878ddda38...)
Comme ils n’ont pas jugé bon de rendre cette option visible dans les réglages, il faut utiliser une méthode de contournement pour activer
about:configJe me demandais où faire un don pour le développement du navigateur Ladybird ; avant que quelqu’un ne réponde, c’est ici : https://donorbox.org/ladybird
Le lien pour Servo est ici : https://servo.org/sponsorship/
En tant que développeur web, c’est indispensable pour pouvoir convaincre le grand public de migrer
Développer un navigateur aussi rapide que Firefox prend du temps, et CSS et JS ne sont pas une mince affaire
Même s’ils finissent réellement un navigateur dans quelques années, rien ne garantit qu’il n’y aura pas, d’une manière ou d’une autre, une dégradation de la qualité et des dérives liées à la monétisation
À mon sens, la seule option est un projet dont l’objectif est de dépolluer les navigateurs open source
https://librewolf.net/
Quand ça ne marche pas, on peut revenir à Firefox
Les problèmes surviennent généralement sur des sites douteux, des sites qui utilisent une forte protection anti-bot et du fingerprinting, ou des sites qui utilisent des API GPU
Il n’y a pas d’entité juridique derrière le projet ; donc si quelque chose arrive au projet, même si c’est peu probable, il n’y a pas de structure de responsabilité juridique
Les binaires ne sont pas signés, et même si la signature de code fonctionne un peu comme un business, elle a quand même un sens
Il n’y a pas non plus de mécanisme de mise à jour automatique ; surtout sous Windows, le fait de recommander de s’appuyer sur un client tiers pour mettre à jour le navigateur est un problème assez important
On ajoute un intermédiaire supplémentaire, et comme les binaires ne sont pas signés, rien ne garantit qu’on ne télécharge pas un binaire malveillant
C’est appréciable de pouvoir l’installer avec Brew
La confidentialité était l’une des rares raisons qui me faisaient tolérer les performances régulièrement lentes et médiocres de Firefox, ainsi que sa tendance à ralentir toute la machine
Si elle disparaît, je me demande bien pourquoi continuer à l’utiliser ; autant utiliser Chrome
Au moins, il est léger et assez rapide
Cette méthode fonctionne en ajoutant du bruit, mais un attaquant ne peut-il pas la contourner en augmentant le signal ?
Si l’on suppose qu’un attaquant peut créer des annonceurs/navigateurs Sybil, cela semble tout à fait possible
On définit un ensemble d’expositions de référence M composé de plusieurs identifiants publicitaires et de plusieurs annonceurs Sybil, puis, pour chaque utilisateur ciblé, on définit aussi un ensemble d’expositions marqueurs M avec plusieurs identifiants publicitaires et plusieurs annonceurs Sybil
Ensuite, on stocke les expositions marqueurs + de référence dans de nombreux navigateurs Sybil afin qu’elles dépassent la ligne de base de signalement avec une certaine probabilité
Quand l’utilisateur ciblé visite le site web ciblé, on demande un rapport de conversion pour chaque publicité/annonceur
On obtient alors un signal de référence provenant des publicités/annonceurs de référence et un signal marqueur provenant des publicités/annonceurs marqueurs ; si cet utilisateur fait partie des utilisateurs ciblés, on peut s’attendre à ce que le signal « marqueur » soit plus fort que la référence
Si vous estimez que cette attaque est plausible, il serait probablement utile d’ouvrir une issue
Firefox devrait intégrer un bloqueur de pistage qui bloque toutes les publicités et tous les morceaux de code tiers liés au profilage qui reposent sur l’exécution de JavaScript, tout en laissant les images publicitaires intégrées à la page, servies directement par le propriétaire de la page et basées sur son contenu
Comme les publicités dans les magazines
Tout le reste revient simplement à accepter l’idée de l’industrie publicitaire selon laquelle « construire des profils, c’est acceptable »
De nos jours, les annonceurs pensent avoir droit à tout, et Firefox leur a donné un coup de main
Avant, j’avais mis un bouton « Download Firefox » sur mon site web, mais je l’ai retiré à cause d’incidents similaires par le passé
J’ai aussi arrêté de recommander Firefox à mes amis et à ma famille, et aujourd’hui je ne peux plus vraiment le recommander
Je ne suis même plus sûr que le choix du navigateur fasse une grande différence de nos jours
J’utilise encore Firefox, plutôt par tradition, mais je sais aussi que d’autres personnes techniquement compétentes l’ont quitté
Sans doute pour des raisons similaires : Firefox ne donne pas l’impression d’être moins agaçant que les autres navigateurs
Si Firefox perd de plus en plus de ses soutiens les plus dévoués et qu’ils deviennent indifférents, l’avenir semble assez sombre