La vie privée made in Mozilla (suite)


Haro sur le panda roux

Suite à mon billet de la semaine dernière pas mal de choses ont bougés, plutôt en bien, même si comme on va le voir ce n'est pas encore idéal. Je ne sais pas si c'est lié à la publication de ce billet (il a beaucoup circulé sur Mastodon, moins sur Twitter, mais dans tout les cas et au vu du trafic en direction de ce blog ces derniers jours, mon cyber-ego digital me dit que oui), mais dans les jours qui ont suivis, pas mal d'utilisateurs de Firefox ont sortis piques et fourches pour aller dire à Mozilla tout le bien qu'ils pensaient de l'inclusion du traqueur de Google sur l'onglet Discovery de la page about:addons des logiciels de la Fondation (ça a notamment commencé sur Github puis sur Hacker News).

Résultat, Mozilla a du sortir du bois et tenter quelques pirouettes de communication pour calmer la grogne. Clamer haut et fort que les données moissonnées sont agrégées et anonymisées n'ayant (à raison) pas suffit, ils ont finis par déployer ce vendredi 14 juillet un correctif sur le site qui servait le chasseur de données de Google (discovery.addons.mozilla.org en l'occurence). Ce dernier consiste à... prendre en compte l'entête Do Not Track (DNT) s'il est envoyé par le client Web ! En creux cela signifie que Mozilla, pourtant promoteur de cet entête, ne le respectait pas vraiment sur ces propres sites (ou alors, vu la définition floue de ce paramètre en avait une interprétation particulière).

Quoiqu'il en soit, cela fonctionne t'il ? Regardons donc ce qui ce passe dans Firefox, avec un profil flambant neuf :



Sur le profil par défaut de Firefox, dans lequel DNT n'est pas activé (pensez à le faire donc), on constate que sans l'entête dans la requête du client, le script maudit de Google la Pieuvre est chargé (en fait pas vraiment car le résolveur de la machine sur laquelle le test à été fait ment et considère que google-analytics.com est un domaine qui n'existe pas). Et en activant DNT maintenant ?



On voit bien l'entête DNT: 1, et effectivement le traqueur n'est pas chargé. La solution déployée par Mozilla étant côté serveur, elle est également normalement fonctionnelle pour Thunderbird (je vous laisse faire le test 😛). Pour y activer DNT, même méthode que pour Firefox :



Quelques mots pour finir sur le fond de l'affaire. Le comportement de Mozilla dans cette histoire n'est ni respectable ni défendable. Qu'ils veuillent collecter des données sur l'utilisation qu'ont les gens de la page incriminée dans about:addons, cela semble plutôt normal pour des développeurs. Il y a ceci dit plein de méthodes beaucoup plus respectueuses pour la vie privée de tous : en général, elles réclament juste de demander poliment le consentement de l'utilisateur. Avant l'ère de la donnée reine, cela s'appelait une enquête de satisfaction. Et ça marchait ! Autre point, plus inquiétant, comment un prétendu défenseur de la vie privée comme Mozilla peut-il en arriver à farcir ces sites de traqueurs Google, d'images invisibles de Doubleclick ou Yahoo (la liste est ici, en déroulant le deuxième point)... bref, à ce comporter comme un vulgaire site d'actualités racoleuses ? Je n'ai pas vraiement de réponses à apporter, mais cela en dit à mon avis assez long sur la longue dérive que subit le Web d'une manière générale. Et sur Mozilla aussi. Dans tous les cas, cela nous rappelle que, comme pour la sécurité informatique, les questions de vie privée en ligne imposent une vigilance constante.