BlogZiNet

Brendan Eich, CTO de Mozilla, sur son blog personnel, revient en détails sur les raisons qui ont poussé Mozilla à retarder l’activation par défaut dans Firefox de la fonctionnalité qui a beaucoup fait parler d’elle dans la presse spécialisée, à savoir l’acceptation par défaut des seuls cookies tiers des sites déjà visités. Voici une traduction de son billet :

Mozilla est impliqué dans une importante discussion sur la vie privée sur Internet. Nous croyons à la prise de contrôle par les utilisateurs de leur expérience en ligne et nous voulons un écosystème Web sain et prospère. Nous n’y voyons pas de contradiction. Cependant, une expérimentation décisive est parfois nécessaire pour le prouver.

À l’occasion du passage de Firefox 22 du canal Aurora au canal bêta, nous pouvons d’abord noter que la fonctionnalité qui a beaucoup fait parler d’elle dans la presse spécialisée, à savoir l’acceptation par défaut des seuls cookies tiers des sites déjà visités, est présente mais désactivée par défaut. Nous en reparlerons. Le blog des versions futures de Firefox n’a pas un mais deux billets sur cette version bêta qui devrait être distribuée à tous en version finale le 25 juin prochain. Le premier qui titre comme l’autre sur WebRTC présente les principales nouvelles fonctions de Firefox 22 bêta avec des liens permettant d’en apprendre davantage :

Alors que Firefox 21 est sorti en version finale pour tout le monde et que les canaux bêta et Nightly ont vu leurs versions progresser d’un cran, le canal Aurora ne devrait pas tarder à rendre disponible Mozilla Firefox 23 dont une fonctionnalité clé ayant des répercussions importantes sur la sécurité et le confort d’utilisation de Firefox est annoncée par Tanvi, ingénieur sécurité chez Mozilla. À partir de Firefox 23 (qui sortira en version finale le 6 août prochain), le contenu mixte sera bloqué sur les pages HTTPS :

Firefox 23 a progressé cette semaine du canal Nightly vers le canal Aurora, fourni avec une nouvelle fonctionnalité de sécurité du navigateur. Le bloqueur de contenu mixte est activé par défaut dans Firefox 23 et protège nos utilisateurs des attaques de l’homme du milieu (man-in-the-middle) et des oreilles indiscrètes sur les pages HTTPS.

Quand une page HTTPS contient des ressources HTTP, les ressources HTTP sont appelées contenu mixte. Avec la dernière version Aurora, Firefox va bloquer certains types de contenu mixte par défaut, offrant une option par page pour que les utilisateurs puissent « désactiver la protection » et outrepasser le blocage.

Quels types de contenu mixte sont bloqués par défaut et quels types ne le sont pas ? La communauté de sécurité du navigateur a divisé le contenu mixte en deux catégories : le contenu mixte actif (tel que les scripts) et le contenu mixte passif (tel que les images). Le contenu mixte actif est considéré comme plus dangereux que le contenu mixte passif parce que le premier peut modifier le comportement d’une page HTTPS et potentiellement voler les données sensibles des utilisateurs. Firefox 23+ bloquera par défaut le contenu mixte actif, mais autorisera le contenu mixte passif sur les pages HTTPS. Pour plus d’informations sur les différences entre contenu mixte actif et contenu mixte passif, voir ce billet.

Jay Sullivan, COO de Mozilla, y chapeaute une nombreuse variété d’équipes y compris celles de Firefox OS. Cela lui confère une autorité pour parler de la vision de Mozilla concernant la personnalisation dans le respect :

La mission de Mozilla nous oblige à fournir aux gens une expérience Internet qui leur permette de contrôler leur vie en ligne et qui les traite avec respect. Respecter une personne englobe de respecter sa vie privée. Nous aspirons à un principe de « sans surprise » : l’idée est que, lorsque des informations sont recueillies sur une personne, ce doit être en toute conscience et ce doit être utilisé de manière à bénéficier à cette personne. Les gens devraient être conscients de la façon dont les informations sont recueillies et utilisées. Chaque individu devrait également être en mesure de décider si l’échange de données à caractère personnel pour les services reçus en retour semble juste. Cela peut être difficile à atteindre, surtout quand c’est mis en balance avec la commodité et la facilité d’utilisation : les gens attendent une expérience utilisateur rapide et simplifiée sans invites excessives ni choix déroutants. Mais nous nous efforçons de toujours tendre vers cet idéal.

Mozilla est un participant actif à l’écosystème de l’économie du Web d’aujourd’hui. Une grande partie du contenu et des informations que les gens apprécient et dont ils bénéficient est financée par le marketing et le parrainage numériques. Il s’agit d’un business model valide. Nous pensons simplement que lorsque les données personnelles sont collectées pour fournir ces services, la collecte doit être faite avec respect et avec le consentement du consommateur. Le commerce fonctionne mieux lorsque les utilisateurs comprennent les transactions auxquelles ils prennent part. Les meilleures relations à long terme avec le consommateur sont bâties sur la confiance.

Mozilla aspire à permettre la personnalisation — la personnalisation des annonces publicitaires, des contenus, des recommandations, des offres et plus — qui ne repose pas sur le fait que le client reste dans l’ignorance de qui a accès à ces informations et avec qui ces informations sont partagées. En tant que fournisseur majeur de navigateur Web et, maintenant, développeur de système d’exploitation, le rôle de Mozilla est d’expérimenter et d’innover avec cette aspiration pour objectif. En tant que projet open source, où les contributions sont bien accueillies par tous, nous encourageons tout le monde dans l’industrie à aider, en proposant des approches constructives et en collaborant avec nous au grand jour.

Voici quelques exemples du travail que Mozilla fait pour explorer la personnalisation dans le respect :

• Persona est un système d’identité pour le Web. Il donne aux gens la maîtrise de leurs connexions sur le Web. Les gens choisissent quelle identité présenter à un service donné. En particulier, les gens peuvent garder les facettes de leur vie – travail, personnel et autres – distinctes.
• Do Not Track permet de dire à un site Web que vous souhaitez vous retirer du pistage par les tiers à des fins notamment de publicité comportementale. Il permet aux utilisateurs d’exprimer comment ils aimeraient que les informations sur eux-mêmes soient traitées. Ça présente de nombreux avantages. Les personnes qui utilisent Firefox doivent activement permettre le Do Not Track (Ne pas me pister), s’assurant ainsi très clairement que l’utilisateur a effectué un choix explicite. Aussi, Do Not Track est indépendant de toute technologie particulière, fournissant de la résilience face à l’évolution de la technologie. Nous continuons à travailler avec un large éventail de parties intéressées pour voir le Web adopter Do Not Track.
• Les politiques de cookies tiers ont été évaluées pour un meilleur équilibre entre publicités personnalisées et pistage des utilisateurs à travers le Web sans leur consentement. Par exemple, une version expérimentale de Firefox autorise les cookies à être installés par les parties premières et par les tiers pour qui Firefox a stocké un cookie pour le domaine de la partie, mais va bloquer les cookies tiers par défaut dont le domaine n’est pas connu du stockage des cookies de Firefox. Nous avons évalué cette approche, aussi bien que les autres, en travaillant avec les parties prenantes de l’industrie.

Il devrait être possible de faire plaisir aux utilisateurs (et oui, la bonne offre au bon moment peut être un grand plaisir), tout en les traitant avec respect. Nous continuons à expérimenter et à évaluer de nouvelles façons de donner aux utilisateurs le contrôle de leur expérience sur le Web et vous invitons à nous rejoindre pour réaliser cette vision. Nous partagerons bientôt plus de nouvelles.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Cette tribune intervient alors que les négociations au W3C sur l’adoption du DNT par le monde de la publicité semblent tourner court. Jonathan Mayer, qui avait le premier parler de la nouvelle politique pour les cookies de Mozilla avant qu’elle soit explicitée par Alex Fowler, semble lier la décision de Mozilla de bloquer les cookies tiers par défaut au refus des publicitaires de prendre en considération la volonté exprimée par les internautes par le biais du DNT.

Ainsi, l’échéance approche pour que Firefox 21 fournisse à tous ses utilisateurs un choix ternaire pour mieux exprimer leur volonté de ne pas être pistés (ou d’être pistés). Volonté qui est dorénavant « suivie » par Mozilla : Alex Fowler a annoncé la semaine dernière la mise à disposition du public d’un tableau de bord montrant le niveau d’adoption du DNT par les utilisateurs de Firefox. Vous le voyez ce sujet est brûlant et, comme l’annonce Jay Sullivan en fin de billet, nous ne tarderons pas à en recevoir des nouvelles fraîches.

Les cookies traqueurs ont été mis en lumière par la décision – et surtout les réactions qu’elle a provoquées dans le monde de la publicité en ligne – de Mozilla de changer le comportement par défaut de Firefox vis à vis des cookies tiers. Les cookies tiers ne seront bloqués qu’à partir de Firefox 22 prévu pour le 25 juin pour l’écrasante majorité des utilisateurs du navigateur de Mozilla. Dès aujourd’hui, ils peuvent cependant exercer une gestion fine de leurs cookies grâce à une extension qui, par la fréquence de ses alertes d’action sur les cookies, leur permettra de prendre conscience de la prégnance du sujet.

Self-Destructing Cookies, extension en vedette sur AMO, ne nécessite pas de redémarrage après son installation dans Firefox (pour ordinateur de bureau et pour Android). Ce module applique une politique stricte qui ne garde un cookie d’un site que durant l’ouverture de celui-ci dans un onglet. Self-Destructing Cookies aide contre le pistage et les attaques CSRF. Les services dignes de confiance peuvent être mis en liste blanche.

L’extension sans redémarrage pour Firefox Password Analyzer permet d’analyser la solidité des mots de passe que vous avez autorisé Firefox à enregistrer. Ce module, vérifié par l’équipe d’AMO, accédera à la base de données des mots de passe enregistrés et les analysera localement. Les mots de passe ne seront pas envoyés sur le réseau vers un serveur distant.

Dans sa campagne pour faire respecter la volonté des internautes à ne pas être pistés (Do Not Track ou DNT), Mozilla, qui a réussi à le faire inclure dans les principaux navigateurs et qui pousse en faveur de sa standardisation par le W3C, doit, au milieu des coups bas, convaincre les publicitaires (et les sites qui en vivent) d’honorer la manifestation explicite de cette volonté. Aujourd’hui, Alex Fowler, le directeur de la vie privée et de la politique publique chez Mozilla, annonce la mise à disposition du public d’un tableau de bord montrant le niveau d’adoption du DNT par les utilisateurs de Firefox. Ainsi, acteurs de ce dossier et pouvoirs publics (dont certains se sont positionnés en faveur du respect de la volonté exprimée par les internautes) auront à leur disposition de vrais chiffres pour convaincre ou, peut-on rêver, imposer :

Nouveau tableau de bord pour Do Not Track : les utilisateurs de Firefox continuent à dénicher et à activer le DNT

Mozilla est heureux de publier un nouvelle page interactive de mesure rendant compte des données mensuelles sur l’adoption par les utilisateurs du Do Not Track (DNT) dans Firefox. Nous rendons ces données publiques à la fois parce que ça fait partie de notre mission et que nous savons il y a un fort intérêt pour le sujet.

À l’heure actuelle, l’adoption du DNT aux États-Unis est d’environ 17 pour cent. Au niveau mondial, la moyenne est autour de 11 pour cent. Se fondant sur ces pourcentages, nous estimons que nos utilisateurs envoient plus de 135 millions de signaux DNT tous les jours — plus de 4 milliards de signaux DNT chaque mois.

La nouvelle page a des graphiques interactifs qui montrent la courbe d’adoption globale pour Firefox (de bureau) et Firefox pour Android (mobile), ainsi que deux cartes qui procurent une vue des différences régionales de l’adoption dans le monde entier.

Veuillez noter qu’aucun utilisateur de Firefox n’est pisté pour générer les données pour ces mesures. Toutes les 24 heures, Firefox et Firefox pour Android téléchargent automatiquement la dernière liste des modules complémentaires dangereux et/ou des extensions à désactiver dans le cadre de notre service de liste de blocage. Comme un signal DNT est inclus dans toutes les requêtes faites par le navigateur d’un utilisateur qui a enclenché le DNT, nous pouvons compter le nombre de fois que nous voyons le signal. Aucune autre information n’est enregistrée sur nos serveurs. Toute personne ayant un site Web et l’accès à un serveur Web peut commencer à compter combien d’utilisateurs envoient « DNT:1 », qui est la façon dont le signal est exprimé via les requêtes HTTP.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

Voir sur ce sujet sur BlogZiNet la traduction du billet de Sid Stamm, toujours sur le blog Vie privée de Mozilla, qui présente le nouveau dispositif ternaire de Firefox pour mieux connaître la volonté de l’utilisateur, à venir dans Firefox 21 actuellement à tester dans le canal de développement bêta.

En 2010, Harvey Anderson, directeur juridique de Mozilla, montrait comment Mozilla lutte au quotidien, surtout en utilisant les outils juridiques offerts par le droit des marques, contre les arnaques au téléchargement. Aujourd’hui, Alex Fowler, le directeur de la vie privée et de la politique publique, dénonce sur le blog de Mozilla une utilisation abusive des marques de Mozilla par une société commerciale britannique qui vend des logiciels d’espionnage des citoyens à des États autoritaires et annonce la riposte juridique amorcée par Mozilla :

Un rapport récent de Citizen Lab a découvert que le spyware commercial produit par Gamma International est conçu pour persuader les gens par la ruse de penser qu’il s’agit de Mozilla Firefox. Nous avez expédié aujourd’hui à Gamma une lettre de cease and desist exigeant que ces pratiques illégales cessent immédiatement.

En tant que projet open source ayant la confiance de centaines de millions de personnes de par le monde, défendre les marques déposées de Mozilla contre ce type d’abus est vital pour notre marque, nos utilisateurs et le succès continu de notre mission. Mozilla a un long passé de protection des utilisateurs en ligne et a été reconnue comme société Internet la plus digne de confiance pour la protection des renseignements personnels en 2012 par l’institut Ponemon. Nous ne pouvons pas tolérer qu’une société éditrice de logiciels utilise notre nom pour déguiser des outils de cybersurveillance qui peuvent être – et dans plusieurs cas en fait ont été – utilisés par les clients de Gamma pour violer les droits de l’homme et la vie privée en ligne des citoyens.

Il est important de noter que le spyware n’a pas d’effet sur Firefox lui-même, ni lors du processus d’installation ni quand il opère secrètement sur l’ordinateur d’une personne ou sur son appareil mobile. Le logiciel de Gamma est tout à fait à part et utilise uniquement notre marque et nos marques déposées pour mentir et tromper en tant que méthode parmi d’autres pour éviter la détection et la suppression.

Grâce au travail de l’équipe de recherche du Citizen Lab, nous pensons que le spyware de Gamma tente de donner aux utilisateurs la fausse impression que, à la manière d’un programme installé sur leur ordinateur ou leur appareil mobile, il est lié à Mozilla et à Firefox, et est donc digne de confiance, tant sur le plan technique que dans son contenu. C’est réalisé de deux façons :

1. Lorsqu’un utilisateur examine le spyware installé sur sa machine en affichant ses propriétés, Gamma dénature son programme en « Firefox.exe » et inclut les propriétés associées à Firefox ainsi qu’un numéro de version et les revendications relatives au droit d’auteur et aux marques déposées attribuées « à Firefox et aux développeurs de Mozilla ».
2. Pour un utilisateur expert qui examine le code sous-jacent du spyware installé, Gamma inclut mot pour mot le « manifeste d’assembly » du logiciel Firefox.

L’équipe de recherche du Citizen Lab nous a fourni des exemple provenant des trois cas suivants qui démontrent comment cet usage abusif de notre marque, de nos marques déposées et de la confiance du public est une fonction incluse dès la conception des produits d’espionnage de Gamma et n’est pas propre au déploiement par un seul client :

• Une attaque de logiciels espions à Bahreïn visant des militants pour la démocratie ;
• La découverte récente de spywares de Gamma apparemment en usage au sein des élections à venir en Malaisie ; et
• Une démo promotionnelle réalisée par Gamma.

Chaque exemple illustre exactement la même façon de désigner faussement le spyware installé comme provenant de Mozilla. Les propres brochures et vidéos promotionnelles de Gamma font la promotion de l’une des fonctions essentielles de leur logiciel de surveillance qui est qu’il peut être déployé secrètement sur le système d’une personne et qu’il passe inaperçu.

Malheureusement, Mozilla est habitué à l’usage abusif de sa marque. Nous avons lutté contre les entreprises qui utilisent nos marques déposées pour amener les utilisateurs à télécharger des logiciels malveillants (malwares) livrant des informations personnelles ou faisant payer pour Firefox, parfois de façon très organisée et criminelle. Non seulement ces activités sont illégales, mais aussi nous les prenons au sérieux car elles sont trompeuses, nuisent aux utilisateurs, sèment la confusion chez le consommateur et compromettent la réputation de Mozilla.

Nous sommes reconnaissants pour l’important travail de groupes tels que le Citizen Lab, Privacy International, le Centre européen pour les droits constitutionnels et de l’homme et Reporters sans frontières et encourageons toute personne intéressée par la prédominance croissante et les implications sociétales de la cybersurveillance à soutenir leurs efforts.

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 ».

Crédit Numerama

FinSpy est le nom du spyware de Gamma International

Voir aussi sur BlogZiNet sur un sujet connexe : Marques - Le Bon, la Brute et le Truand par Harvey Anderson (Mozilla) du 6 mai 2009

L’actualité du projet Mozilla en mars a encore été dominée par l’annonce de nouvelles fonctionnalités dont le blocage des cookies tiers qui fait parler de lui et OdinMonkey, un nouveau moteur JavaScript de rupture, le Mobile Word Congress 2013 où a été présenté Firefox OS, l’annonce de nouveaux bureaux pour Mozilla Paris et l’assentiment à l’accord sur les brevets autour du codec VP8 entre Google et la MPEG-LA.

À partir de décembre 2012, j’avais accepté de fournir un résumé de l’actualité de Mozilla pour la newsletter de MozFr de Clarista. Cette grande contributrice au projet Mozilla n’a pu tenir le rythme mensuel pour nous raconter les péripéties de la communauté francophone et a publié une newsletter pour tout le premier trimestre dans laquelle l’actualité de Mozilla n’a pu trouver sa place. Comme j’avais collecté des nouvelles sur le pad, je trouvais dommage de les perdre alors qu’on pourrait les garder sous la main pour plus tard. Donc, dans quatre billets, je publie ma sélection classée des nouvelles du projet Mozilla.

Voici donc, pour le mois de janvier, mon choix dans les nouvelles parues en français sur les fils Identi.ca et Twitter de MozillaZine-fr.org. Vous pourrez y retrouver le blocage des plugins dans Firefox où des nombreuses fonctionnalités ont été introduites comme le bilan de santé et des nouveautés pour la version pour Android qui est maintenant disponible pour de nombreux processeurs ARMv6, la version 1.0 de la polémique politique de participation communautaire de Mozilla, la nomination du principal évangéliste de Mozilla, Tristan Nitot, au Conseil national du numérique renouvelé par le gouvernement français, la reconnaissance de Mozilla comme la société Internet 2012 la plus digne de confiance pour la protection des renseignements personnels, le lancement de la nouvelle édition du concours mondial de vidéos Firefox Flicks et bien plus encore.