Follow

Alors ça, c’est un putain de gros mensonge (ou Qwant serait dans l’illégalité la plus totale…)

Techniquement, c’est particulièrement faux sauf à étayer à mort de comment ils font pour rendre le stockage des logs (qui je le rappelle est une obligation légale) anonymes.

Show thread

Sur mandat de perquisition, il y a toutes les chances du monde pour que Qwant fasse exactement comme toute autre boîte FR : elle filera tout ce qu’elle connaît sur vous (ou en tout cas les IP qui vous seront associées)

Show thread

Par défaut, la recherche Qwant passe dans un GET (et non un POST), et donc peu être présente dans les logs systèmes fonction de la configuration du serveur en face.

Show thread

Par défaut, la query part est stockée dans les logs. Sur réquisition judiciaire, c’est donc l’intégralité de vos recherches qui seraient communiquées, sauf config spécifique faite côté Qwant.

Show thread

Bon, alors vu qu’on me tanne pas mal avec ce post, une petite mise-au-point et éclaircissement 😊

Show thread

On va commencer par le méa-culpa : je pensais à l’époque de ce tweet que la collecte des logs serveurs web était une obligation légale. Il s’avère que j’avais tord sur ce point.

Show thread

Je vais du coup reformulé mon propos : je ne pense pas que Qwant soit en mesure de réaliser ce que Léandri dit qu’il fait. Je vais détailler en essayant de faire court, parce que ça peut être long 😂

Show thread

La collecte des logs serveurs est à mes yeux légitimes et ne remettrait pas en question une étiquette « respect de la vie privée ». Pour des raisons de sécu en particulier, il est légitime de conserver suffisamment longtemps ces données pour pouvoir remonter une intrusion, ou même à des fins purement techniques (suivi des erreurs…)

Show thread

On peut faire les choses très proprement, cloisonner le stockage, purger régulièrement les données, se refuser à en faire un usage autre que technique (revente, analyse…).

Show thread

On peut strictement tout faire sauf… refuser de les communiquer sur une réquisition judiciaire qui les demanderait. Ou en tout cas ça serait extrêmement compliqué et l’objet d’une procédure longue et compliquée (et je sais de quoi je parle 😂).

Show thread

On peut chercher à mettre en place des mesures de sécurité supplémentaires, « anonymiser » les données sans perdre les finalités de post-mortem & cie. C’est compliqué. Souvent encore l’objet d’études scientifiques. Et certainement pas dans les top priorité de Qwant vu le bordel ambiant.

Show thread

Et quand on est une start-up, d’autant plus pas encore rentable (et je sais aussi de quoi je parle 😂), on ne va pas aller faire de la conf système aux petits oignons quand on n’a même pas encore son cœur de cible opérationnel… Faut pas trop déconner non plus.

Show thread

Dans le cas spécifique du post de Léandri, il y a une chose encore plus intrigante qui me fait aussi me dire qu’il n’a pas réfléchit du tout à ce qu’il a dit.

Show thread

Dans le cas d’une utilisation professionnelle de Qwant, il y a toutes les chances du monde qu’il y ait un proxy journalisant en sortie de réseau. Et donc l’intégralité du trafic des gendarmes est *DÉJÀ* journalisé en interne et l’employeur est parfaitement capable de dire qui a visité quoi et fait quelle recherche.

Show thread

(Et dans la gendarmerie & cie, je parierais même pour du MITM TLS sur le proxy histoire de bien avoir tout le trafic y compris chiffré)

Show thread

Que l’administration utilise du coup Qwant, Google, Bing ou autre, il est plus que probable que ça ne change pas grand chose en terme de vie privée de la personne.

Show thread

Sinon que les données ne sont pas exploitées de manière commerciales. Mais du coup sur réquisition, on aura les infos. Que ça soit Qwant qui les file. Ou l’employeur.

Show thread

Bref, Qwant a perdu beaucoup en confiance/crédibilité vu l’actualité. Et les propos de Léandri manquent au mieux d’une bardée de petites étoiles et mentions complémentaires pour ne pas prendre le lecteur pour un pigeon…

Show thread

Ceci n’est que mon opinion personnelle sur le sujet. Faites-vous la vôtre 😊

Show thread

@aeris

La seule reponse que t'aura c'est "Tu fais partie d'une cabale contre qwant"

@aeris
Après si on applique le droit européen la période de rétention est plutôt courte non ? 🤔
"Nous appelons tous les hébergeurs à rejeter cette pratique illicite et à se conformer au droit de l'Union européenne : à ne retenir aucune données de connexion concernant leurs utilisateurs pour une durée supérieure à 14 jours."
laquadrature.net/fr/requisitio

@aeris Dans les écoles aussi probablement... étant donné que pour respecter la règlementation on doit le faire nous de notre côté...

@Eragon
@aeris
J'ai plus le nom de la loi mais y a un archivage légal obligatoire des logs pour savoir quelle IP est allé où sur les accès internet par les fai et côté hébergement la startup comme la grosse boîte doivent fournir des logs pendant 1 an en cas de requête judiciaire.

@wallace @aeris Il me semblait que c'était que côté fai...
mais bon ça change pas grand chose au final... que ce soit le fai ou l'hébergeur

@Eragon @wallace Tu as une obligation légale niveau FAI, mais tu as une obligation « responsabilité » côté employeur & cie.

@Eragon @wallace Si tu ne tiens pas un journal, tu es responsable pénalement des délits commits. Si tu as un journal, tu peux te retourner contre l’employé/utilisateur/whatever.

@Eragon @wallace Mais a priori, j’en étais aussi tout autant persuadé jusqu’à avant hier, il n’y a strictement aucune obligation de journalisation côté hébergeur ou éditeur…

@aeris
@Eragon
La France bataille pour porter cela à 2 ans et FDN et la Quadrature ont fait un recours à l'EU pour ramener la France sur le maxi de l'EU qui se compte en quelques mois. @bayartb tu saurais sans doute nous éclairer ? Il me semble que c'était la LCEN.

@Eragon
@aeris
Exemple reçu y a 10 ans, un gars de suicide, la gendarmerie a demandé les logs du surf des derniers mois au fai, et nous avions des ip dans la liste, on nous a demandé les logs d'acces web avec les pages demandées avec une requête en référé.

@wallace @Eragon Oui, côté FAI c’est obligatoire. Côté éditeur/hébergeur non.

@aeris
@Eragon
legifrance.gouv.fr/affichTexte c'est bien la LCEN ça prend tout service mis à disposition d'utilisateur. En tant qu'infogereur on garde donc les acces web, mail, sftp,... Tout ce qui vient requêter les serveurs.

@wallace @Eragon Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :

@aeris
@Eragon
legifrance.gouv.fr/affichTexte oui c'est très clair le fait de mettre à disposition par une personne physique ou morale même à titre gratuit. Donc c'est bien tout le monde fai comme hébergeur et infogereur ou boite qui administre son infrastructure.

@wallace @Eragon Spa ce que me remonte les avocats & gendarmes depuis quelques jours…

Show more

@Eragon @aeris
Et dire qu'on anonimise ou qu'on les stoque pas n'est pas recevable donc en tant qu'hebergeur d'un site tu prends la sanction, de mémoire c'etait 5 ans de prison et 150ke d'amende y a 10 ans.

@mirabellette @wallace @Eragon Pour les opérateurs de réseau de télécommunication ouvert au public. Ce que tu n’es pas.

@aeris @wallace @Eragon

Intéressant, donc si je te suis bien, les "Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne" est en fait un synonyme d'opérateur de réseau de télécommunication ?

@mirabellette @wallace @Eragon Pas « si on me suit bien ». Tous les gens compétents en la matière semblent me dire exactement ça. Avocat, juriste, gendarme…

@aeris @wallace @Eragon

Sauf que là c'est toi qui me le dis pas et pas les dits avocats, juriste, gendarme, emmanuel macron et la reine d'angleterre.

Si tu as une source, je prends :)

Et il s'agit pas d'être compétent ici, c'est un sujet assez pointu qui demande de connaître cette question précise. La compétence et la connaissance sont deux choses différentes.

Show more
Show more
Show more

@aeris Je pense que le plus gros danger n'est pas là où on regarde : plutôt que de se focaliser sur nos recherches, est-ce que l'intérêt de l'État (ou des fonctionnaires qui veulent du pouvoir) ne serait pas plutôt de « sous-traiter » à une entreprise pour scanner le web français et repérer certains posts ou pages « dangereuses » (pour eux) et faire en sorte qu'elles soient effacées ou désindexées ?

Comment sous-traiter ça ? Subventionner outre-mesure une entreprise qui ferait ce job. #qwant ?

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!