Comment éviter que ce genre d'aventure nous arrive dans les futures épiceries décentralisées de Mozilla ? (après https://twitter.com/clochix/status/424824354124230657 )

yo.md

Clochix

Comment éviter que ce genre d'aventure nous arrive dans les futures épiceries décentralisées de Mozilla ?

n1k0

apprendre aux gens à ne pas installer n'importe quoi me semble un premier combat de premier plan :) après, qu'ils comprennent ce que ça induit d'installer quelque chose, de se responsabiliser vis à vis de ça

C'est important, mais pas suffisant.

L'article fait une très bonne analyse des points qui mènent à l'abus d'extensions.

Ownership of a Chrome extension can be transferred to another party, and users are never informed when an ownership change happens

Zéro excuse pour Chrome. Chrome peut informer l'utilisateur de qui a donné l'ownership et qui l'a récupérer. Chrome peut tenter de fournir des indicateurs qui aideront l'utilisateur à décider s'il continue à faire confiance ou pas (par exemple, moyenne des notes des autres extensions créées par le nouveau possesseur. Ce n'est qu'un exemple, aux ingés de Google trouver de meilleurs idées).

there is currently no way to disable extension auto-updating

Zéro excuses là non plus, il faut donner l'option à l'utilsateur. Les utilisateurs peuvent avoir des niveaux de confiance différents, il faut les laisser l'exprimer, mais si par défaut l'auto-update est activé.

Even when you have it narrowed down to Chrome, since nothing detects a malicious Chrome extension, the best course of action is to meticulously check the latest reviews of every extension and hope that someone else has figured out where the ads are coming from. What can users do to protect themselves? It's very hard to keep yourself in the loop with Chrome extension updates. Extensions usually don't have changelogs

Les extensions qui seront victimes de ce genre de problèmes auront une bonne user base, donc dans le lot, il y a des gens qui vont désinstaller l'extension et/ou envoyer des revues avec des notes "0 étoile". Il est possible pour Chrome de constater des effets de masse brutaux et de prévenir tout le monde. Par exemple, si en 2 jours, 5% des utilisateurs ont désinstallé l'extension ou si sur la dernière semaine, la moyenne des notation est bien plus faible que la moyenne totale, prévenir tous les utilisateurs que telle extension a une grosse baisse de popularité. Chaque utilisateur pourra faire le choix d'ignorer ou de se renseigner plus sur le problème. Là encore, je donne un exemple pensé en 5 mins ; je laisse aux ingés de Google le soin de penser à qqch de plus intelligent et robuste.

Extensions are synced to your Google account, which means that even wiping out a computer and reinstalling the OS will not remove the malware—signing-in to Chrome will just download it again.

En théorie, si les 3 points plus haut sont réglés, celui-là n'est plus un problème.

En conclusion, éduquer les utilisateurs sur les conséquences du choix d'installer des extensions, c'est bien, mais leur donner plus de choix (désactiver auto-update) et les informer suffisamment pour savoir s'ils continuent à faire confiance (changement d'ownership, baisse soudaine de popularité), c'est aussi un pas dans le bon sens. Et ce pas est à la portée à court terme de Google. Alors qu'éduquer deux milliards d'internautes sur le fait qu'une update, c'est une injection de code potentiellement malicieux que les antivirus ne détectent pas, c'est un travail de titan même pas à la portée de Google à mon avis...

Oui, oui, oui, oui, oui. MAIS si on donne les moyens #auxgens de savoir et COMPRENDRE ce qu'ils font, il n'y a plus de marché pour les usines à abrutis comme Chrome.

Was my point actually.

PS: après si on décrète qu'éduquer est impossible et qu'il faut surseoir à l'abrutisme de façon défaitiste, il faut bien comprendre qu'on outille alors ledit abrutisme. On le cautionne même. Concernant Mozilla, je ne suis pas entièrement convaincu que ce soit sa mission première.

Et oui je suis au niveau valeurs et long terme, et tu es dans les pratiques et le court terme. Forcément les deux types de visions s'alignent difficilement :)

Oui, oui, oui, oui, oui. MAIS si on donne les moyens #auxgens de savoir et COMPRENDRE ce qu'ils font, il n'y a plus de marché pour les usines à abrutis comme Chrome.

Je ne suis pas sûr que Chrome aime le genre de pub qu'Ars Technica vient de leur faire. Dommage que les extensions Firefox souffrent des mêmes problèmes, sinon, il auraient sauté dessus pour tirer à boulet rouge :-)

A faire des choix trop tranchés à la place des gens, ils ouvrent des portes à de tels abus. Ces abus leur font de la mauvaise pub. Là où je veux en venir, c'est que le côté "usine à abruti" peut mener à un retour de flamme dont ils se passeraient bien.

après si on décrète qu'éduquer est impossible et qu'il faut surseoir à l'abrutisme de façon défaitiste,

Je n'ai pas dit "impossible", j'ai dit "travail de titan" ;-)
Je fais des coding goûter à Bordeaux pour éduquer. De mon point de vue, je fais un acte politique, armant enfants et parents en leur donnant les mots pour penser leurs usages du numérique. Du point de vue mainstream, j'enseigne le code qui est un truc cool dans le temps. Ma petite pierre à ce travail de titan ('tain d'aileurs, faut que je pose une date pour le 3ème...).

Et oui je suis au niveau valeurs et long terme, et tu es dans les pratiques et le court terme. Forcément les deux types de visions s'alignent difficilement :)

On a besoin des deux. Elles ne sont d'ailleurs pas mutuellement exclusives.
A court terme, il serait d'ailleurs irresponsable de la part de Google de ne rien faire suite à cet incident.
Continuons le travail de long terme. D'ailleurs, y'a des coding goûter ou équivalent à Montpellier ? ;-)

Aussi, l'article d'Ars Technica qui est une réaction plutôt à court terme et contribue à un patrimoine d'exemple dont on peut se servir pour éduquer les gens dans une démarche de long terme. Si Chrome (ou Firefox, of course) se mettait à informer les utilisateurs du changement de propriétaire d'un addon ou d'une baisse de popularité, ça habituerait aussi les gens à un certain niveau d'information pour prendre une décision de choix de confiance. Cette habitude créérait une attente (à long terme) dans ce que les utilisateurs attendent des logiciels en général. 'fin tout ça pour dire que court et long terme ne s'affrontent pas et sont plutôt même complémentaires.

'fin tout ça pour dire que court et long terme ne s'affrontent pas et sont plutôt même complémentaires

Je dis pas le contraire, je dis même la même chose, juste qu'elles sont difficiles à aligner. Maintenant ne réagir à une situation d'urgence qu'en la patchant par du pré-pensé, c'est à mon sens idiot — à tout le moins peu efficace sur le long-terme, voire contre productif puisque cela habitue les utilisateurs à ce qu'on pense à leur place. Je n'invoque pas l'absence totale de sécurisation logicielle, je préconise une approche éducative conjointe. J'ai l'impression d'avoir du mal à faire passer ce concept tout bête, ça m'embête™.

D'ailleurs, y'a des coding goûter ou équivalent à Montpellier ? ;-)

Heu, c'était vraiment pas obligé ça :( Mais oui j'y travaille (y'a comme une scop à faire tourner aussi, tu sais ?).

D'ailleurs, y'a des coding goûter ou équivalent à Montpellier ? ;-)

Heu, c'était vraiment pas obligé ça :( Mais oui j'y travaille (y'a comme une scop à faire tourner aussi, tu sais ?).

C'était juste une petite boutade (d'où le ";-)"). Je sais que tu bosses, que vous bossez et je sais aussi que c'est du boulot d'organiser un coding goûter ou équivalent. Mon intention n'était pas de te jeter une pierre ou faire un reproche ou te culpabiliser. Mes excuses sincères pour cette ligne pas très fine.

Nan ça va t'inquiète je gère :D on a déjà discuté avec @ametaireau des coding goûters et j'ai vraiment envie de me lancer là-dedans sur Montpellier :) On a aussi envie avec scopyleft d'organiser des sessions gratuites d'initiation technique orientées grand public. On a juste un pb de gagnage de croûte là tout de suite :D

Zéro excuse pour Chrome. Chrome peut informer l'utilisateur de qui a donné l'ownership et qui l'a récupérer.

Zéro excuses là non plus, il faut donner l'option à l'utilsateur. Les utilisateurs peuvent avoir des niveaux de confiance différents, il faut les laisser l'exprimer, mais si par défaut l'auto-update est activé.

Sur le principe, forcément, donner le choix est toujours positif. Maintenant dans le débat qui nous occupe ça serait au mieux une déresponsabilisation de la part de, ça ne résout rien.

J'informe l'utilisateur pour dire que l'extension de Christian Domingo est maintenant gérée, avec l'autorisation de ce dernier, par Pascal Wheeze. Il ne connaissait déjà pas Christian Domingo à la base. D'ailleurs il n'a aucun moyen de savoir si ce sont des noms réels, de faux profils ou même des noms empruntés à des personnes réelles tierces.

Au mieux il fait une requête sur son moteur de recherche préféré, passe une heure à explorer linkedin, twitter et facebook pour au final dire "oui" ou "non" en fonction du métier et du ressenti de quelques écrits en ligne, peut être même pas dans une langue qu'il parle.

Auto-update ? Donc au mieux il va arbitrairement choisir de ne pas mettre à jour alors que le navigateur lui conseille par défaut de le faire, pour ensuite juger au cas par cas en fonction des messages de mise à jour, qui bien sûr ne pourront pas donner un vrai aperçu de ce qu'il se passera.

Même pour nous quatre, c'est un faux choix. Alors pour des gens qui ne parlent pas forcément anglais, qui ne comprennent pas les enjeux techniques, c'est non seulement une fausse sécurité mais en plus potentiellement contre-productif (quand il aura refusé une mis à jour essentielle pour sa sécurité ou qu'il restera sur une vieille version qui pose des problèmes à des tiers, on sera bien avancés).

Personnellement Peugeot me dirait "dorénavant la pièce de plastique du tableau de bord est géré par le sous-prestataire AF Technology S.A. au lien de G.H.Y. Inc., vous achetez quand même ? J'aurai l'air bien fin. Citroën lors du contrôle technique me dit "Citroën conseille de mettre à jour le logiciel de contrôle de l'ABS, il y a potentiellement une amélioration de sécurité" vous pensez vraiment que le choix m'apporte quelque chose ?

Il s'agit de ne pas se méprendre : Il faut laisser le choix. Mais ça ne résout pas du tout le problème posé par les extensions.

@edas L'article d'Ars Technica dit quelque chose de très vrai dans le fait que la passation d'ownership est une information très importante parce qu'elle remet en question une décision passée basée sur la confiance. Vu que la passation est importante, il faut que le responsable du "store d'extension"/"marketplace" envoie des signaux à l’utilisateur pour lui faire comprendre qu'un choix fait dans le passé a peut-être des raisons d'être remis en question.
Peut-être que ma suggestion (donner les 2 noms) est une mauvaise idée comme tu le dis. Là encore, je laisse le soin aux gens compétents de décider quel est le bon signal à envoyer et comment il est envoyé. C'est un détail d'implémentation qui demande une bonne quantité de travail. Mais n'envoyer aucun signal à l'utilisateur comme c'est le cas actuellement est une erreur.

Éduquer est nécessaire mais malheureusement pas suffisant. Parce qu’on n’a matériellement pas le temps de tout contrôler, et qu’il faut pouvoir déléguer ce contrôle à des gens potentiellement de confiance. En matière de logiciel, je délègue ma confiance à deux organisations : Debian et Mozilla. J’installe et met à jour des logiciels depuis leurs sites les yeux fermés. Malheureusement, il y a des cas où le logiciel dont j’ai besoin n’est pas disponible sous Debian, et où je l’installe depuis une source de confiance moindre. C’est typiquement le cas pour toutes les dépendances de paquets Ruby ou Node.js que j’installe les yeux fermés, en priant simplement que si l’un d’eux pose problème, quelqu’un sur les Internet finira bien par s’en rendre compte et que l’information finira par arriver devant mes yeux. Mais je suis conscient que c’est de la pensée magique à la fiabilité toute aléatoire.

Je pense que des autorités de délégation de confiance sont indispensables à la vie en société. L’important n’est pas tant de déléguer que de pouvoir choisir à qui on délègue. Je n’ai personnellement aucune confiance en Apple, mais je comprend que d’autres puissent leur faire confiance. Dans ce cas, le modèle de vérification draconienne des applications sur l’App Store est une bonne chose. Le souci est qu’il mélange vérification technique et validation morale, donc qu’en acceptant l’une je sois forcé d’accepter l’autre. Je ne jette pas la pierre à Apple, Mozilla, pour des raisons respectables, interdit également certains contenus dans son épicerie.

Donc l’enjeu c’est de créer des épiceries auxquelles on puisse déléguer la vérification des logiciels et auxquelles on fasse confiance, tant d’un point de vue technique que moral. Mais la validation de logiciels est un gros travail, et il ne devrait pas forcément être effectué gratuitement par des bénévoles. Il faut donc également réfléchir au moyen de rémunérer ce travail.

Quant à mieux informer les utilisateurs pour leur permettre de faire des choix éclairés, c’est indispensable, mais là encore je crains que ça ne soit pas suffisant. Nous sommes confrontés à des choix toute la journée, qui nous bouffent du temps de cerveau disponible. Je ne crois pas que, aussi conscient soit-on de l’importance de chacun de ces choix, on les fasse tous de manière raisonnable. Lorsque je met à jour ma machine tous les matins en me brossant les dents, j’ai rarement le temps de lire les notes de révision et les avertissements sur les modifications de comportement de paquets. Je sais que c’est important, je sais que j’ai déjà payé mon manque d’attention. Malgré tout, je continue à agir ainsi en dilettante, parce que sinon je vais encore être en retard.

Par ailleurs, j’accorde ma confiance à Mozilla, pas à tel ou tel développeur d’application. Je me fous de savoir si le propriétaire a changé. J’ai installé l’extension parce qu’elle était sur le site de Mozilla, je la met à jour pour la même raison, en me disant que si elle devient frauduleuse, Mozilla cessera de la diffuser. Mais si le développeur de l’extension change juste sa politique, met en place un pistage des utilisateurs, ou de la réclame au sein de son application… je me ferai avoir. Parce que ça n’empêchera pas l’application d’être encore distribuée, et parce que je n’aurai pas lu les notes de version qui l’annoncent.

Je ne sais pas quoi faire :(

Après avoir tout lu je crois, je m'étonne de ne voir apparaître à aucun moment le terme "argent", ou la notion d'économie. Car c'est probablement ce qui oppose les trois protagonistes - Apple, Google, Mozilla - dans leur approche du problème, et le nerf de la guerre. Et donc guide leur stratégie. Apple vend cher ses appareils, qui eux même génèrent un revenu par utilisateur supérieur, et a donc un intérêt fort à verrouiller son écosystème, à surveiller les soumissions de développeurs, et à censurer ce qui nuirait à leur image. Et aussi à faire payer l'accès à son cheptel. Google au contraire joue depuis toujours sur la gratuité ou le plus bas prix de chaque chose pour derrière faire sa marge sur la publicité (entre autres). Donc encourage la prolifération de contenus. Mozilla tient la position la plus difficile qui consiste à faire mieux que tout le monde avec encore moins de revenus. Tout cela ne donne évidemment pas de réponse, mais permet d'apprécier différemment la position de chacun. Apple est confortablement installé, et Google fera les modifications nécessaires (si / ) quand cela commencera à avoir un impact trop négatif sur son image (ou si cela peut augmenter les inscriptions sur Google+). Eux, contrairement à vous, d'après tout ce qui se trouve plus haut, ce soucient assez peu de l'éducation des utilisateurs...

Je crois que là où je veux en venir, c'est qu'aujourd'hui, tout le monde (?) a déjà entendu au moins une fois la phrase "si c'est gratuit, c'est vous le produit", et que pourtant rien ne change. Plus encore, j'ai l'impression qu'on assiste à une sorte de résignation (mal) ou de sentiment de maîtrise à la "je me sers de tel réseau social, mais je mets rien dessus, hein !" (pire ?). Du coup, la partie éducation n'est vraiment pas gagnée de ce côté là.

Et donc, puisque la sensibilisation à la technique montre ses limites (j'entends par là le travail d'explication de ce que peut faire un navigateur, un site, une extension en matière de collecte des données, de fichage, de ciblage, etc.), peut-être que l'on aurait plus de succès à expliquer aux gens le côté économique des choses (ce qu'une entreprise qui exploite ces données en tire). On pourrait aussi mettre l'accent sur la transparence économique, comme on le fait déjà avec le code open source ? Imaginer des labels "code bio, écrit par des développeurs élevés en plein air".

En ce qui concerne Mozilla, pour peu que la question soit posée, il doit être possible d'y répondre. On pourrait imaginer un système double qui emprunterait à tous les autres. Par exemple la libre diffusion gratuite sur la plateforme de téléchargement à tous les projets dont le code est public (avec l'espoir que la communauté veillera), et l'obligation à ceux qui souhaitent diffuser leur projet avec un code fermé de se soumettre à une revue de code payante. Non ?

Sinon, plus simplement, @DavidBruant, vous avez besoin de bénévoles pour vous aider à organiser les Coding Goûters ?