Mozilla a de grands projets pour 2012 allant bien au-delà du navigateur. Mozilla compte bien être en accord avec ses principes et notamment le respect de la vie privée et de la maîtrise par l’utilisateur de ses données personnelles, sujets sur lesquels réfléchissait déjà Mozilla.

Je comptais seulement évoquer le billet de Mitchell Baker, la présidente de Mozilla, sur la souveraineté de l’utilisateur pour nos données, mais vous pouvez désormais le lire en français traduit par Clochix, avant une autre traduction du billet de Ben Adida que celle que je vous propose maintenant.



Mozilla va offrir de nouveaux services centrés sur l’utilisateur en 2012

PrivacyChez Mozilla, nous nous sommes depuis longtemps concentrés sur le développement de logiciels qui donnent aux utilisateurs le contrôle sur leur vie en ligne. Cela signifie concevoir de façon à donner aux gens des idées plus profondes sur la façon dont le Web fonctionne, des fonctionnalités logicielles uniques pour personnaliser leur expérience en ligne et la maîtrise de leurs données personnelles. Dernièrement, nous avons réfléchi sur la façon dont la souveraineté de l’utilisateur a grandi pour dépendre plus que juste du navigateur. De nombreux sites Web stockent des données d’utilisateurs étendues et agissent au nom de l’utilisateur. Alors que le navigateur peut être entièrement sous contrôle de l’utilisateur, de nombreux services que les utilisateurs aiment ne le sont pas. Parfois, ces services Web gèrent les données d’une manière douteuse pour l’utilisateur, voire nuisible.

Il est clair que les besoins de Mozilla pour accélérer et fournir, en plus du navigateur Firefox, certains services afin d’améliorer le contrôle des utilisateurs sur leur expérience en ligne et leur données personnelles. La présidente de Mozilla, Mitchell Baker, le dit de cette façon (NDT : traduit en français) :

Je crois qu’il est impératif que nous développions de nouvelles offres. Pour les multiples aspects de la vie en ligne, nous avons besoin de plateformes ouvertes, interopérables, au service du bien commun, au code source libre et basées sur des standards. […] Nous avons choisi d’apporter nos valeurs là où les gens vivent.

Les services que nous sommes en train d’imaginer et sur lesquels nous travaillons dur afin de les lancer dans les semaines et mois à venir comprennent : une approche novatrice de l’identité, un système d’exploitation mobile basé sur le Web et un App Store. Pour offrir ces services, nous aurons besoin de stocker les données des utilisateurs sur les serveurs de Mozilla à une échelle beaucoup plus grande que ce que nous avons à ce jour. Cela nécessite beaucoup de soin et de réflexion. Nous avons commencé le processus pour arriver à comprendre comment faire cela et essayé quelques évaluations pilotes. Je tiens à vous dire ce que nous pensons et solliciter vos pensées et vos idées.

Notre approche actuelle - Firefox Sync

Mozilla stocke déjà des données cryptées avec Firefox Sync, ce qui permet à des millions d’utilisateurs de Firefox de conserver les signets, l’historique et les mots de passe synchronisés entre plusieurs installations de Firefox, y compris Firefox Mobile. Nous sécurisons ces données avec de la cryptographie plus avancée que celle-là même utilisée par les institutions financières. Généralement, les banques utilisent le chiffrement au niveau du transport (SSL) : vos données sont cryptées en transit entre votre navigateur et les serveurs de la banque. Une fois qu’elles arrivent aux serveurs de la banque, elles sont, bien sûr, décryptées. Par comparaison, Firefox Sync utilise le chiffrement au niveau de l’application : vos données sont cryptées par Firefox avant qu’elles ne soient envoyées sur le réseau et elles restent cryptées une fois qu’elles arrivent sur nos serveurs et sont stockées sur nos disques. Seul votre client Firefox peut déchiffrer les données. Mozilla n’a pas les clés de décryptage.

Cela signifie que nous ne voyons jamais vos données. Si nous subissons une brèche dans notre serveur ou si quelqu’un est sorti de nos centres de données avec quelques disques durs dans la main, alors vos données resteront à l’abri des regards indiscrets. Peu d’autres compagnies vont jusqu’à de telles extrémités pour sécuriser vos données.

Les nouveaux services que nous envisageons, lorsque cela sera possible, continueront à utiliser ce niveau de sécurité des données.

Limites du chiffrement au niveau de l’application

Si nous ne pouvons pas voir vos données, alors vous êtes incroyablement en sécurité, mais nous ne pouvons pas faire grand-chose pour vous aider non plus. Le chiffrement au niveau de l’application est comme le coffre-fort que vous gardez dans votre garde-robe : vous pouvez y placer des objets de valeur et vous pouvez les récupérer si vous êtes là en personne, mais vous ne pouvez pas facilement demander à un colocataire de rapidement vous dire au téléphone combien d’argent comptant vous avez stocké dans le coffre. Par comparaison, il est facile d’appeler un colocataire et de lui demander de vous lire un numéro de téléphone que vous avez laissé sur la table de la cuisine. Certaines données sont si précieuses que vous avez besoin de les garder dans un coffre-fort. D’autres données peuvent ne pas être aussi sensibles et pourraient être plus utiles si vous pouviez obtenir de l’aide pour les gérer, les récupérer et les traiter. Quelque chose d’aussi simple que de vous envoyer des rappels d’anniversaires d’amis nécessite que le service voit ces données lorsque vous êtes déconnecté.

J’ai écrit précédemment au sujet des limites du cryptage pour protéger les données. Le chiffrement n’est pas magique. Il n’est pas approprié pour toutes les applications. Si nous voulons offrir des services alternatifs réalistes qui donnent l’exemple de la souveraineté de l’utilisateur, alors il faudra stocker les données de l’utilisateur sur nos serveurs, souvent sans chiffrement au niveau de l’application.

Lignes directrices de conception

Nous proposons quelques grandes lignes de départ pour la conception :

  • Un avantage clair pour l’utilisateur : l’utilisateur doit toujours avoir un intérêt clair et direct à ce qu’on stocke ses données. Le stockage agressif des données de l’utilisateur « juste au cas où ce serait nécessaire plus tard » n’est pas acceptable.
  • Inventaire des données : nous devrions toujours savoir quelles sont les données que nous recueillons, où et comment elle sont stockées, et pourquoi le stockage de chaque point de données est crucial pour la fonction de l’utilisateur final. Nous devons nous assurer que les utilisateurs puissent facilement obtenir cet inventaire, le comprendre, le mettre à jour ou le supprimer.
  • Minimiser les données visibles sur le serveur : si nous pouvons mettre en œuvre une fonction donnée en n’envoyant jamais de données au serveur ou en utilisant le chiffrement au niveau de l’application, alors nous le ferons.
  • Minimiser la rétention des données : nous devons stocker les données aussi peu de temps que possible. En particulier, si nous avons besoin de serveurs uniquement pour fournir un point de transit pour les données, alors ces données devraient seulement transiter, et ne jamais être stockés.
  • Agréger dès que possible : nous allons explorer si nous pouvons mettre en œuvre la fonctionnalité avec des données agrégées à travers un nombre important d’utilisateurs, plutôt que de garder des points de données individuels. (Étant donné la richesse de ces ensembles de données, nous ne pouvons pas prétendre que la « désidentification » est particulièrement utile pour protéger les utilisateurs individuels.)

Nous voulons passer au crible toutes les fonctionnalités que nous considérons en nous appuyant sur les processus existants que le projet Mozilla connaît déjà bien : Bugzilla. Les problèmes seront suivis dans Bugzilla, avec un problème de suivi de haut niveau que nous nous attendons à appeler « Sécurité des données ».

Les gens

Les personnes suivantes se sont réunis pour former une équipe de sécurité de données Mozilla pour développer ces idées et les amener dans nos offres de produits :

  • Jay Sullivan, qui conduit à la définition de grands produits Mozilla qui incarnent nos valeurs,
  • Sid Stamm, qui dirige l’ingénierie pour la vie privée dans Firefox et la plateforme Web,
  • Jonathan Nightingale, qui dirige le groupe d’ingénierie de Firefox,
  • Alex Fowler, qui dirige la vie privée et la politique et se concentre sur l’amélioration de la gestion des informations,
  • Brendan Eich, qui a mené dès le premier jour la direction technique du projet Mozilla,
  • Michael Coates, qui dirige la sécurité des infrastructures, supervisant les applications, serveurs & réseaux,
  • Chris Beard, qui dirige nos programmes de marketing et d’engagement,
  • David Ascher, qui mène la réflexion de Mozilla sur la façon dont les utilisateurs partagent et découvrent le Web,
  • Ben Adida, c’est moi, je dirige le travail d’identité chez Mozilla.

Nous savons que nous aurons besoin d’agrandir cette équipe pour inclure les personnes avec des horizons plus variés, des gens de l’intérieur et en dehors du projet Mozilla, et des gens de partout dans le monde. Nous auront également besoin d’être conscient des diverses juridictions et coutumes locales dans la façon dont nous concevons et hébergeons nos services.

Au-delà de la conformité

La sécurité des données exige une  conformité méticuleuse à la réglementation et aux meilleures pratiques, mais nous nous efforçons de faire plus. Nous impliqueront nos architectes logicielles les plus expérimentées et les experts en sécurité afin de déterminer comment concevoir une meilleure confidentialité. Ces discussions et ces itérations, comme tous les avis existants de sécurité et de confidentialité, seront publiques par défaut, de sorte qu’ils puissent être vérifiés, tout comme notre code source (sauf si ces divulgations donnaient aux attaquants une longueur d’avance, bien sûr, auquel cas nous garderons l’information secrète temporairement). En outre, comme tous les projets Mozilla, nous allons impliquer nos utilisateurs dans le processus d’architecture pour une souveraineté des utilisateurs plus grande. Il est crucial que les utilisateurs comprennent les solutions que nous proposons, les avantages fournis par ces solutions et la façon dont leurs données sont utilisées pour retirer cet avantage.

S’en tenir à nos principes

La souveraineté de l’utilisateur nécessite un grand navigateur et un certain nombre de services centrés sur l’utilisateur. Nous aimerions construire certains de ces services et nous avons l’intention de le faire avec un dévouement aussi fort que jamais à nos principes de respect de la vie privée : pas de surprises, de véritables choix, des réglages judicieux, des données limitées et le contrôle de l’utilisateur. Nous n’allons pas vendre ou céder vos données. Nous vous expliquerons toujours quelles données nous stockons et pourquoi nous les stockons. Nous vous laisserons toujours partir et emporter vos données avec vous, et nous expliquerons toujours quel avantage vous obtenez de cette collecte de données.

Nous apprécions vos commentaires, dans les blogs, sur dev.planning ou sur Twitter avec le hashtag #mozdatasafety.



Sources et références