Voici le deuxième article d’une série de 5 sur la sortie de diaspora* v0.5.0.0. Il est consacré aux améliorations permettant une meilleure protection de la vie privée de l’utilisateur de diaspora*, le réseau social Libre et décentralisé. Retrouvez les autres articles depuis celui-ci.

Plus de données en clair dans les e-mails

Lorsque je parle des e-mails à des personnes non techniques, j’explique que l’e-mail n’est pas une lettre mais une carte postale : n’importe qui sur le chemin de la carte peut la lire, et n’importe qui peut la poster en signant du nom qu’il le souhaite. Les communications entre les serveurs diaspora* sont chiffrées et les utilisateurs accèdent au site par HTTPS. Cependant, cette sécurité ne sert à rien si le contenu des messages est envoyé en clair dans les e-mails de notification. Ce n’est maintenant plus le cas dans diaspora*, seul un message générique informant d’une réponse et un lien vers le message sur diaspora* est envoyé (#5494).

Plus de données EXIF sur les photos

Un autre problème courant de vie privée sur Internet vient des méta-données des fichiers, notamment des images. Les métas-données sont des informations liées à un fichier qui décrivent son contexte : le type de fichier, la date de création, la date de dernière modification… Pour les images, les données EXIF vont plus loin en indiquant l’orientation de la photo, les caractéristiques de l’appareil, est-ce que le flash était actif ou non et même, dans le cas où l’appareil est munis d’un GPS (comme c’est le cas d’un téléphone portable par exemple), l’emplacement géographique d’où la photo a été prise. Pour montrer l’ampleur du problème, un bidouilleur s’est amusé à récupérer sur internet un échantillon d’un million de photos publiques de chats et à les afficher sur une carte. Le résultat est assez bluffant. La version 0.5.0.0 de diaspora* permet grâce à un réglage de retirer automatiquement les données EXIF des photos envoyés sur diaspora*. Et fidèle à la philosophie « laisser le choix, mais d’abord protéger », ce réglage est bien sûr activé par défaut (#5510).

Moins de requêtes vers des sites externes

Troisième amélioration et non des moindres : limiter les requêtes de l’utilisateur vers des serveurs externes. Chaque requête envoyé par un navigateur vers un serveur web contient une multitude d’informations pour permettre au serveur web de renvoyer le meilleur contenu possible. Par exemple, le navigateur indique qui il est (Firefox, Internet Explorer…), sa version, son adresse IP, le système d’exploitation sur lequel il fonctionne, mais aussi sa résolution de l’écran, les polices de caractères et ses plugins (Flash, Java…) disponibles… Toutes ces informations mises bout à bout, il devient possible de créer un profil de l’utilisateur quasiment unique (tellement les combinaisons sont nombreuses). Ainsi, il est possible de suivre l’utilisateur de site en site juste en utilisant les informations qu’il transmet. Le projet Panopticlick de l’Eletronic Frontier Fondation vous montre cela très bien.

Lorsqu’un utilisateur affiche un flux diaspora*, son navigateur échange bien sûr avec le serveur diaspora* où il est inscrit, mais pas que. De nombreuses autres requêtes sont envoyées de son ordinateur pour récupérer des données très variées. Par exemple, diaspora* utilise jQuery, une bibliothèque JavaScript. Il est possible de l’importer depuis un CDN, un site qui la met à disposition pour tous les sites qui le souhaitent, plutôt que depuis le pod directement. Les avantages sont multiples : économie de bande passante pour le pod, version toujours à jour, vitesse accrue pour le visiteur car la bibliothèque a probablement déjà été mise en cache par un autre site qui utilise aussi le CDN… Cependant, si elle n’est pas en cache, la lier depuis un CDN implique pour le navigateur de faire une requête vers ce serveur et donc de lui envoyer les informations dont j’ai parlé ci-dessus. Le CDN proposé par diaspora* était celui de Google. C’est maintenant jQuery.com (#5105). Utiliser un CDN pour charger jQuery dans diaspora* est dans tous les cas un réglage à faire manuellement par le podmin, ce n’est pas le comportement de diaspora* par défaut et votre vie privée était ici déjà protégée.

Mais il y avait d’autres domaines où diaspora* pouvait être amélioré pour éviter des requêtes vers un serveur externe. diaspora* propose par exemple de lier son compte Facebook lorsque l’on inscrit. Cela permet notamment de poster des messages depuis diaspora* vers Facebook, mais aussi d’importer des données de Facebook dans diaspora* comme l’avatar de l’utilisateur. Le but a toujours été de stocker l’avatar en local, mais un bug faisait qu’en réalité il était lié directement depuis Facebook. Donc, à chaque fois qu’un utilisateur diaspora* affichait un avatar d’un autre utilisateur lié depuis Facebook, son navigateur faisait une requête vers leurs serveurs. La version 0.5.0.0 corrige ce problème (#5493).

Le plus grand nombre de requêtes fait vers l’extérieur de diaspora* concerne cependant les images. Il y a trois types d’images qui sont intégrées directement dans diaspora* depuis des sites externes : les images embarquées dans le message par les utilisateurs en utilisant la syntaxe markdown, les images ajoutées par OpenGraph qui crée une prévisualisation du site en bas d’un message contenant un lien, et toutes les images en provenance des autres pods (avatar, images uploadées sur un message…). Il n’est pas question de garder ces images en cache, on parle ici de centaine de Go de données : toutes les images du “réseau” diaspora*. Cela poserait de plus des soucis de confidentialité vis à vis des autres pods puisque les fichiers seraient répliqués sur chacun des noeuds du réseau. La version 0.5 propose donc, grâce à Dennis Schubert, l’inclusion d’un proxy en NodeJS : Camo (#5386). Ce proxy peut être activé séparément pour les trois types d’images (markdown, OpenGraph, autres pods). Le pod se transforme en intermédiaire en faisant les requêtes vers le serveur externe à la place du navigateur, puis lui renvoie le contenu. En pratique, cela augmente énormément la bande passante utilisée par le pod. Cette fonctionnalité est donc un réglage non activé par défaut, et ce sera au podmin de décider du niveau de protection qu’il souhaite apporter. Un réglage raisonnable pourrait par exemple être d’activer le proxy pour les images liées avec markdown et pour l’aperçu créé par OpenGraph, mais de faire confiance aux autres pods du réseau et de continuer de charger les avatars et images directement depuis eux. Cette solution atteint sa limite avec l’impossibilité de contrôler l’hébergement choisi par les autres pods. Joindiaspora.com utilise par exemple Heroku, un service d’Amazon AWS, ce qui implique de nombreuses requêtes vers leurs serveurs pour charger les avatars et images des utilisateurs de JoinDiaspora.com.

Il reste un cas principal où des requêtes sont faites directement vers un serveur externe : l’inclusion de contenu tierce directement dans le flux lorsqu’un utilisateur poste un lien d’un site connu par la bibliothèque oEmbed tel que YouTube, Twitter, DailyMotion, Vimeo, Soundcloud et bien d’autres. Il ne s’agit pas ici d’image mais bien de contenu directement (du flux audio ou vidéo par exemple) ce qui fait qu’il n’est pas facile de mettre Camo comme intermédiaire. La nouvelle version de diaspora* n’améliore pas ce problème pour l’instant, les utilisateurs qui souhaitent ne pas faire de requêtes vers ces serveurs peuvent utiliser un module complémentaire comme RequestPolicy pour contrôler les requêtes envoyées par leur navigateur.

La possession de ses données par l’utilisateur

À chaque instant, un utilisateur de diaspora* peut aller dans les paramètres de son compte et demander le téléchargement de ses données. Deux archives sont disponibles, la première contient un JSON avec toutes les informations de l’utilisateur (son profil, ses contacts, ses messages, ses commentaires…) et la seconde contient toutes les photos envoyées sur diaspora* par l’utilisateur. Si cette fonctionnalité existe depuis longtemps dans diaspora*, elle était plus ou moins cassée depuis un moment. Les données étaient sous forme d’un XML qui était parfois incomplet et invalide car il était traité immédiatement par l’application. Avec cette nouvelle version, diaspora* génère un JSON plus facilement réutilisable, mais surtout cette génération a lieu en tâche de fond en étant déléguée à Sidekiq, ce qui évite des problèmes lorsque les messages sont nombreux et que le serveur est surchargé (#5354) (#5499). L’export des photos était lui aussi cassé et a été réécrit pour être aussi délégué à Sidekiq (#5685). Ces améliorations sont une étape de plus vers la fonctionnalité très demandée « migration entre deux pods », qui permettra de transférer son compte d’un serveur diaspora* à un autre. Il reste cependant beaucoup de travail à faire pour y parvenir.

Voilà, c’est tout pour les principales fonctionnalités de protection de la vie privée des utilisateurs dans diaspora* v0.5.0.0. Comme vous l’avez vu, il y a eu de belles améliorations qui montrent que la vie privée reste une des valeurs phares du projet. Gardez à l’esprit cependant que même avec les meilleurs réglages par défaut du monde, un utilisateur qui s’en fiche fera n’importe quoi. Un bon logiciel ne remplace pas une bonne éducation

Original post of La bande des Geexxx.Votez pour ce billet sur Planet Libre.