Mot-clé - filtrage

Fil des billets - Fil des commentaires

mercredi 17 juin 2009

Collection d'extensions pour Firefox ayant pour but de renforcer sa vie privée sur le web

La fondation Mozilla propose désormais aux utilisateurs de créer, partager et de collaborer sur des « collections ». Une collection est un ensemble d'extensions, de thèmes et de greffons qui étendent les fonctionnalités d'un logiciel; dans notre cas, il s'agit du navigateur web Firefox mais cela concerne également Thunderbird.

Pour utiliser les collections, il est au préalable nécessaire d'équiper Firefox de l'extension Add-on Collector.

La collection « Protection Vie Privée »

J'ai créé une collection dédiée à la protection de la vie privée sur le web, qui contient les extensions suivantes :

  1. Get jetable mail : Permet de générer à la volée des alias mail qui expirent automatiquement.
  2. CustomizeGoogle : Permet de filtrer les publicités et cookies de Google.
  3. Torbutton : Permet de basculer simplement sur TOR+privoxy durant la navigation web. Aide à la configuration de Firefox pour une navigation protégée.
  4. BetterPrivacy : Permet la gestion des cookies de Flash, autrement inaccessibles.
  5. Adblock Plus : Permet de filtrer les publicités, soit directement, soit en s'abonnant à des listes de règles prédéfinies.
  6. Adblock Plus: Element Hiding Helper : Permet d'ajouter simplement des filtres à la liste d'Adblock Plus, en créant des règles optimisées.
  7. BugMeNot : Permet la navigation anonyme sur des sites demandant une identification.
  8. FoxyProxy : Permet de passer automatiquement par des proxies prédéfinis par listes ou motifs lors de la navigation web.
  9. User Agent Switcher : Permet de changer à la volée l'identification de votre navigateur web.

Le but de cette collection « Protection Vie Privée » est d'apporter à l'utilisateur un ensemble cohérent d'outils, simples à utiliser, qui lui permettrons de protéger sa vie privée durant son utilisation du web : filtrage des cookies insidieux, des publicités envahissantes (et traçant les profils), gestion automatique des proxies, email jetable contre le SPAM, etc.

Un avantage secondaire des collections est la simplicité pour déployer des configurations standards: en installant une collection contenant les extensions à utiliser, on diminue le nombre de manipulations à faire, et la mise à jour de chaque élément est automatisée via l'administrateur de la collection qui décide quelle version employer.

Je discute avec des utilisateurs a priori avancés dans l'utilisation du web sur les forums Ubuntu-fr afin d'obtenir des retours sur cette collection orientée grand public.

Retours sur la collection « Protection Vie Privée »

La principale remarque est l'absence de l'extension NoScript.

C'est une remarque intéressante, qui s'inscrit dans un contexte plus large. Il y a plusieurs discussions sérieuses sur la pertinence ou non de mettre l'utilisateur grand public sur un Firefox avec NoScript. Cela va plus loin que le simple fait de « bloquer la publicité » ou de « protéger l'utilisateur ». J'expose ici simplement les 4 arguments majeurs qui soutiennent que NoScript n'est pas adapté au grand public :

  1. Impact d'usage. L'extension a un impact très fort sur le web. Énormément de sites populaires s'appuient sur des scripts pour construire leurs interfaces dynamiques. Bloquer ces scripts revient alors à fortement dégrader l'expérience de l'utilisateur sur ce genre de site;
  2. Utilisation contraignante. Il faut identifier puis catégoriser les sites web et les scripts qu'ils comportent. C'est un processus long, complexe et agaçant pour l'utilisateur qui est engagé dans une simple démarche d'utilisation;
  3. Efficacité contestée. Le renforcement de la sécurité est fortement contestable, car sans démarche active il est difficile de proposer une couverture fiable des techniques d'attaque. À moins de désactiver entièrement les scripts, mais là on retombe sur le point 1;
  4. Fonctionnalités déjà disponibles. Adblock Plus permet le blocage des scripts externes (et aussi internes, mais moins facilement) aux pages. Via les listes d'inscription, un filtrage des scripts publicitaires est déjà mis en place pour l'utilisateur.

Bonus : la collection « Utilisation courante du web »

J'ai également créé une collection Utilisation courante du web qui apporte un ensemble d'extensions utiles au quotidien pour la navigation web. On peut considérer cette collection comme un « kit de base » permettant une utilisation confortable du web.

vendredi 12 juin 2009

HADOPI, c'est fini

Étant donné que :

12. Considérant qu'aux termes de l'article 11 de la Déclaration des droits de l'homme et du citoyen de 1789 : " La libre communication des pensées et des opinions est un des droits les plus précieux de l'homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la loi " ; qu'en l'état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu'à l'importance prise par ces services pour la participation à la vie démocratique et l'expression des idées et des opinions, ce droit implique la liberté d'accéder à ces services ;

17. Considérant, en outre, qu'en vertu de l'article 9 de la Déclaration de 1789, tout homme est présumé innocent jusqu'à ce qu'il ait été déclaré coupable ; qu'il en résulte qu'en principe le législateur ne saurait instituer de présomption de culpabilité en matière répressive ; que, toutefois, à titre exceptionnel, de telles présomptions peuvent être établies, notamment en matière contraventionnelle, dès lors qu'elles ne revêtent pas de caractère irréfragable, qu'est assuré le respect des droits de la défense et que les faits induisent raisonnablement la vraisemblance de l'imputabilité ;

Décision n° 2009-580 DC du 10 juin 2009

Je ne vois rien à ajouter.

jeudi 19 mars 2009

Le grand pare-feu d'Australie prend l'eau

Le grand pare-feu d'Australie, déjà mort-né, vient de succomber une deuxième fois après la publication des mécanismes de filtrages mis en œuvre. Le contenu ciblé est sans surprise la pornographie, mais également des ressources politiques, médicales ou culturelles.

Beaucoup de personnes et d'organisations font l'analyse politique et technique d'un tel dispositif, je relèverais juste ici quelques détails qui m'ont amusé.

Par exemple, au moment de sa publication la liste contenait des références déjà obsolètes : noms de domaines inutilisés, adresses IP changées, etc. Pour être efficace, une filtrage doit être réactif. Dans l'approche du chat et de la souris retenue (les autorités australiennes identifient une nouvel élément, puis l'ajoutent à la liste noire), l'avantage est à l'« attaquant » (personne publiant des informations) car ce dernier dispose de l'initiative en choisissant où, quand et comment publier; le « défenseur » (le gouvernement australien) ne pouvant que répondre à l'attaque en bloquant. Le délais entre l'attaque et la défense devant être le plus court possible, cela impose au défenseur un effort important qui fini par le faire renoncer.

Également, du point de vue technologique les approches retenues sont bien trop naïves, avec des identifications partielles. Les URI sont incomplètes : la liste noire comporte ainsi www.water-melon.jp/shop/img/1008_1.jpg sans préciser le protocole utilisé pour accéder à la ressource. Est-ce http, https, ftp, gopher, wais, bittorrent, GNUtella, autre chose ? Sans identification complète de la ressource, la liste noire désigne paradoxalement à la fois trop largement des éléments, ce qui bloque des publications légales, et ne parvient pas à cibler précisément le contenu à censurer.

Mais aussi, bien sur, un filtrage simple sur un nom de domaine est inefficace car il suffit d'en créer un nouveau; les moteurs de recherche et le bouche à oreille suffisant pour maintenir le référencement auprès des utilisateurs.

Il faut aussi mentionner le chiffrement des connexions rendant inapplicable ce genre de filtrage, ainsi que les effets de différents aspects du routage (NAT, proxies, réécriture d'adresse, cache, etc) qui rendent compliqué ou impossible l'identification de la source et de la destination d'une transaction informatique.

Ce qu'il faut juste retenir est que le filtrage d'internet est actuellement impossible, du point de vue technique. Qu'on se félicite ou non d'un tel état n'a guère d'importance, ce qui compte est de l'accepter afin de pouvoir avancer. Si on part du principe qu'on ne résout pas un problème humain avec un outil technique, il faut alors mettre l'effort ailleurs si « on » souhaite « protéger » les citoyens d'une exposition à des publications estimées dangereuses. Par exemple, en investissant dans l'enseignement et l'éducation au lieu de faire des dépenses dans la répression. Mais au final, il s'agit bel et bien d'un choix de société qui doit impliquer la concertation entre le législateur et le peuple, pour aboutir sur un consensus explicite.

Au final, quelque soit la solution retenue, le résultat sera toujours le même : les utilisateurs faisant un effort minimal pour se protéger ne seront pas affecté par le filtrage, et la très grosse majorité des personnes inquiétées juridiquement ne seront pas représentatives de la cible originale du dispositif de filtrage. Tiens, curieusement cela me rappelle l'histoire des DRM. Ces mesures techniques de protection auront vécu deux années en France pour ensuite disparaître; et si on gagnait du temps en renonçant dès à présent chez-nous à un filtrage similaire ?

Références