Follow

Vu que le sujet revient à nouveau avec la conférence Google, un petit « Sco pa tu manaa » sur les GAFAM et la vie privée. ⬇️

Les positions actuels de la plupart des entités (associations, militants, etc) sur les GAFAM se résument plus ou moins à « Les GAFAM, c’est le mal ». Et à rejeter en bloc tout ce qui vient d’eux, quitte à en devenir caricatural…

On va commencer par le cas simple du F de GAFAM. Clairement, Facebook est le seul à faire strictement n’importe quoi et a comme seul et unique objectif de réellement vous la foutre bien profond. C’est dans l’ADN de ce bordel.

Les GAAM restants, ils ne font pas de merde. Ou très peu. Et généralement bien moins que toutes les alternatives existantes…

Niveau respect du RGPD, ils sont très loin devant les autres. Sur mes différentes demandes d’accès RGPD, ils ont été les plus prompts à répondre, et généralement très transparents sur les données communiquées, qui étaient exhaustives et à jour. Je ne peux pas en dire autant des demandes Carrefour ou CDiscount par exemple…

Sur des conférences auxquelles j’ai assisté sur les outils de protection des données mis en œuvre par Google, j’ai été juste choqué : je serais étonné que vos infras soient autant conformes RGPD que les leurs…

Saviez-vous qu’ils n’ont pas un seul accès qui ne soit pas nominatif et tracé ? Avec des jetons d’accès temporaires limités dans le temps ET les droit d’accès ? Y compris pour du support/SAV/maintenance ?

Vous avez ça en prod vous ? Ou alors vous avez les classiques root//root qui traînent partout pour la maintenance ? 🤔
Êtes-vous capables de tracer qui a généré cet accès à une donnée et pourquoi ?

Les usages pros des GAFAM, ou plus précisément de Google, Amazon & Microsoft, sont cadrés par des contrats béton. Les pratiques ont bien évoluées depuis le « no man's land » d’il y a quelques années.

Les vrais problèmes des GAAM, c’est :
- Leur taille.
Et surtout :
- Ce que leurs clients en fond.

Les 2 cumulés font qu’ils sont incontournables et que tout le monde va chez les mêmes, qu’on retrouve du coup du Google Analytics ou du bouton Facebook partout.

Ce ne sont pas les GAFAM le problème : n’importe quelle boîte à ce niveau de présence aurait les mêmes problèmes (théoriques) de vie privée (recoupement d’info & cie)…

C’est renforcé par le fait que tout ça est essentiellement US, avec des problèmes de juridiction… Les US auraient les mêmes problèmes avec l’UE si c’était nous qui avions remporté le gateau…

Arrêtons avec la paranoïa de « Ne prenez pas de machines chez AWS ou GCP ou Azure parce qu’ils vont vous piquer vos données ». C’est juste du gros n’importe quoi. Ils font ni plus ni moins ce que du OVH ou Scaleway font.

Faites juste les choses proprement. Choisissez bien vos zones pour limiter les risques d’ingérence US. Lisez vos CGU.
Bref, c’est vous qui merdez en pratique, pas eux.

Les mesures de protection que vous devriez de toute façon avoir en prod, comme le chiffrement de vos disques, vous protégerons d’un éventuel débordement.

Et les trucs théoriques à base de « oui mais en VM, ils ont accès à toutes nos données via l’hôte ». Oui et ? Qui a choisi d’héberger son parc sur du cloud multi-tenant déjà ? Ah oui, vous… Le risque est présent que ça soit un GAFAM ou non : n’importe qui sur l’infra peut powned l’hôte et accéder à vos données. C’est donc un risque que vous devez DÉJÀ mitiger sur vos infras cloud.

Ça veut dire pas de données critiques sur des environnements multi-tenants. Point.
Vous voulez faire de la virtu, vous en faites sur *votre* matos. Dédié.

Sur leurs produits maintenant. Type Alexa & cie. Il suffit que les gens n’achètent pas pour que ça ne se vendent pas.
Ils ont « juste » fournit un produit. Qui techniquement nécessite de toute façon d’écouter en permanence. Partant de là, qui a encore merdé ? 🤔

Show more

@aeris Raisonnement non valable qui oublie un peu qu'un individu en société n'est pas rationnel

@aeris C'est toute la difficulté de la gestion de l'information pour certains. Il est plus facile de dire "lui il fait de la merde" que de se remettre en question sur une gestion un tant soit peu réfléchie des données à caractère sensible

@aeris Je suis rarement d'accord avec toi, mais pour le coup, excellent thread.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!