Follow

Petit thread à la con du jour, parce que.
Vous n’êtes pas sans savoir que j’ai de plus en plus de mal avec les positions/comportements de certains militants/associations/whatever. Et je viens de trouver pourquoi : je n’arrive plus à les distinguer des complotistes qu’on est supposé aussi combattre.

Toute leur réflexion repose sur des prédicats qui en soit sont déjà complexes et difficiles à dire s’ils sont vrais ou faux. « Google cherche à tous savoir de vous » par exemple.

Est-ce vrai ? Cette question en elle-même mérite une étude précise et fine pour avoir une réponse. Qui risque d’être tout sauf binaire.

Autant par exemple pour du tracking publicitaire, oui, clairement Google veut être partout et recroise tout ce qu’ils peuvent. Mais c’est le cas UNIQUEMENT dans un contexte où la publicité a un intérêt pertinent.

Partant de ce prédicat qu’ils vont considérer comme vrai sans aucune étude ni condition ni rien, les assos/militants/whatever brodent autour un raisonnement qui relève de la théorie du complot.

« Parce que Google cherche à tout savoir, si on leur donne le moindre truc, ils vont le stocker, l’analyser, le recroiser et le revendre. »

À partir de là le truc s’auto-alimente. Toute présence de Google dans un point de la chaîne devient un problème en soi. Toute présence de Google devient nocive, toxique, à combattre. Et quand on demande « pourquoi », on obtient comme seule et unique réponse le prédicat de départ qui n’a jamais été pondéré.

Le machin est bâti sur une théorie complotiste à la base… OK, ce n’est pas du niveau de la Terre plate ou de l’homéopathie. MAIS CE N’EST PAS PLUS PROUVÉ !

Si vous filez un bout d’IP à Google Cloud Engine, vous n’allez pas vous retrouver dans une base d’analytics publicitaire par exemple. Ou en tout cas on n’a actuellement pas de preuve que ça sera le cas…

Si vous téléchargez une google font, votre IP ne sera pas vendu à une régie pub dans un coin d’Internet. Ou alors on vient avec des éléments de preuve.

De là arrive l’autre biais complotiste qu’on voit habituellement dans les théories du complot conventionnelles. « Oui mais ils le peuvent ». Certes. Et ?

Je combat suffisamment un gugus paranoïaque sur le fait que ce n’est pas parce qu’un truc est sur le papier possible qu’il est plausible ou exploitable ou rentable ou… 😑

Oui l’intégralité de l’informatique mondiale est foutue si la NSA est capable d’infectée de manière invisible l’intégralité de tous les systèmes matériels existants. Oui tout indique qu’il doit exister en théorie des tonnes de moyens d’y parvenir en accumulant des tonnes de failles.
Mais non en pratique l’exploitation globale du bordel est infaisable et encore moins sans que ça ne se voit…

Comme on dit, « si on cherche on trouve » et donc on pourra toujours imaginer le scénario le pire du pire du pire qui fait que ce qu’on cherche à prêter à notre adversaire est possible. Reste du coup à calculer la probabilité que ça soit réellement fait… Ce que beaucoup oublie de réfléchir…

Le côté « complotiste » est d’autant plus flagrant que les solutions proposées sont généralement tout aussi dogmatiques et irréfléchies que pour les pendants plus connues de théories du complot.

De la même manière qu’un anti-nucléaire va réclamer du solaire ou de l’éolien sans envisager les défauts (parfois plus violent que le problème initial), on entend rapidement toujours les mêmes mots dans le domaine informatique : intérop, décentralisation, standardisation…

Et les trucs relèvent tellement du dogme & cie que j’ai par exemple débattu pendant plusieurs heures avec un gens sur pourquoi la décentralisation pouvait souvent être pire que bien en terme de vie privée…

Et que toujours comme pour les complotistes, tu as beau lui avoir démontré par A+B que la décentralisation était un problème supplémentaire pour la vie privée (à données & échanges pourtant équivalents, on leak des métadonnées beaucoup plus fines en décentralisé qu’en centralisé), le gens en face ne voulait pas démordre de sa solution. Le dogme pur et dur. La balle en argent.

@aeris
C'est vrais que dans certains cas, le militantisme tourne à l'endoctrinement

@aeris Si en plus tu lui dit
"Ca se trouve l'informatique quantique à usage militaire est bcp plus évolué que dans le civil/publique et ils ont déjà de quoi casser n'importe quel algo de chiffrement"
Il fait un AVC ^^

@aeris en fait j'ai l'impression, comme un peu toujours, c'est le dogmatisme. Dogmatisme écolo (anti nucléaire), dogmatisme anti gafam, etc.

@aeris oulà je sais pas écrire moi : "j'ai l'impression que le problème, comme un peu toujours, c'est le dogmatisme".

@aeris C’est super intéressant, merci.

Est-ce que je comprends bien que ce serait par exemple ceci :

Pour l’e-mail :
1) Si tout le monde est sur GMail, le transport des paquets est bien à l’abri dans du TLS et la distribution se passe chez GMail.
2) Si chacun a son serveur mail, même en chiffrant avec GnuPG les serveurs décentralisés se relaient les mails, et les en-têtes sont en clair. Donc potentiellement des gens sur le réseau verront qui parle avec qui.

C’est ça ?

@eurobxl En fait c’est même encore plus extrême que ça…
Plaçons nous d’un point de vue strictement réseau. On ne parle même pas d’analyse de SMTP ou de métadonnées.
Si A chez Gmail écris à B chez Gmail, on a A=ip a.a.a.a qui envoie un truc à gmail=ip g.g.g.g. Le mail étant interne Gmail, il n’y a *AUCUN* trafic externe pour délivrer le mail à B. B = ip b.b.b.b se connecte 2h après et récupère le mail. Il est impossible de coréler ces 2 évènements (émission et lecture) vu qu’ils sont asynchrones.

Show newer

@aeris

Le problème est que tu ne sais pas ce que Google fait de tes données, c'est une question de confiance.

Aujourd'hui, le coût en stockage a tellement baissé que je ne vois pas vraiment pourquoi Google ne stockerait pas tout en vue de la revente de la donnée ou d'un usage ultérieur.

Google est dans le business de la donnée, il travaille les données, leur donne du sens afin de les revendre.

Qui te dit qu'ils ne font pas de tracking à partir des Google font à la facebook.

@aeris
Sans compter qu'ils ont peut-être des obligations légales de collecte et qu'ils transfèrent juste à des tiers. cf les révélations de Edward

Show newer
@aeris ça vient à mon avis aussi de la position axiologique qu'on prend quand on fait de la sécurité: toujours envisager le pire. Mais effectivement certains oublient que c'est une position axiologique pour agir efficacement, pas une réalité.

@aeris Pourtant, connaître les sites que tu visites permet de constituer un profil publicitaire plus précis. C'est tout bénef pour Google, non ? 🤔

@kvuilleumier Non. Ce n’est pas « tout » bénef. Encore moins depuis le RGPD.

@kvuilleumier Ils savent DÉJÀ ce que tu visites avec du GA qui est taillé pour et (était) conforme à la loi en vigueur. Ils n’ont pas besoin de faire la même chose avec GF qui les foutaient de facto en illégalité la plus totale y compris avec des lois pré-RGPD.

@kvuilleumier Et même sur GA, il faudrait déjà en soi étudier les effets réels de cet outil et ce qu’on lui prête. Je ne serais pas étonné qu’on soit très très loin de ce que les gens en disent.

@aeris Bon, du ciblage publicitaire, il y en a, c'est évident et facile à voir. Maintenant, la part d'influence de GA là-dedans, bonne question...

@aeris Euh comment ça "dans" GA, "avec" GA plutôt, non ? Ou alors je ne comprends pas.

@kvuilleumier Il n’y a à ma connaissance aucune preuve de la réutilisation des IP éventuellement collectées par GA pour faire de la revente de données au profit de Google.

@aeris Donc ciblage publicitaire Google = cookies, mais pas les autres produits (GA, GF...) ?

@kvuilleumier Que l’IP soit travaillée sur demande de l’utilisateur de GA initial (le client de google, pas le visiteur) pour augmenter ses revenus est éventuellement envisageable (et encore une fois, je n’ai pas vu de rapport à ce sujet). Que Google traite l’info en elle-même pour recroisement avec l’ensemble de ses autres sous-systèmes, proof-it.

@aeris Effectivement, mais j'ai peur que ça soit de toute façon impossible à prouver, dans un sens comme dans l'autre. C'est bien là le fond du problème, personne ne le sait vraiment, alors je comprends les réactions de certains qui ne préfèrent pas prendre de risques et bannir complètement Google. On ne peut pas vraiment leur en vouloir, même si c'est peut-être un tantinet extrême(-iste) 😅

Show newer
Show newer

@kvuilleumier C’est le cas si l’utilisateur final active l’option de son côté. Je ne me rappelle pas avoir vu passer un seul rapport que GA ferait du retargeting en lui-même…

@aeris Cela dit, c'est pas faux, quand tu vois certaines publicités "ciblées" qu'il t'envoie, il y a de quoi se poser des questions parfois...

@kvuilleumier Qu’il ne soit pas efficace n’est pas une preuve qu’ils ne font pas de recroisement ceci dit 😂

@aeris Le fait que tu cites le RGPD est pertinent, car jusqu'à son avènement, les amendes et pénalités encourues étaient tellement ridicules que de jouer dans une zone grise pouvait avoir un intérêt économique (rapport entre les risques et les gains potentiels). Maintenant, ça donne à réfléchir...

@aeris Finalement, je me dis quelque part que ton discours rejoint le mien, quant au complotisme frénétique et le fait de vivre dans une peur continuelle et entretenue : framapiaf.org/@kvuilleumier/10

@aeris Tu me diras, GA peut être bloqué, moins GF et la récupération d'IP, mais ça reste une théorie bancale et impossible à prouver, je te l'accorde...

C'est bien ça le problème : qu'ils stockent frénétiquement toutes les IP qui circulent ou non, dans un cas comme dans l'autre, c'est impossible à prouver à moins d'avoir un œil dans leur tambouille interne. Loi ou pas.

Quant à l'utilité réelle de ce pistage et son impact sur la publicité, c'est une question délicate, oui.

@aeris Pour les fonts, intérêt direct pour Google :
collecté les visites d'un utilisateur pour pouvoir faire du ciblage publicitaire, effectivement on ne sait pas si ils le font, après l'onglet "privacy" est pas très explicité ça laisse présager le pire
Indirecte : promouvoir une solution simple pour installer des polices de caractères sur son site, permettant d'augmenter la notoriété de la marque Google

@hugopoi Ils ont déjà tout ce qu’il faut pour ne pas avoir besoin de cette donnée. Les équipes sont séparées, les données aussi, techniquement c’est de toute façon un problème difficile pour eux.

@hugopoi Et c’est encore pire aujourd’hui, avec des IP qui n’ont quasiment plus d’intérêt, encore moins sur téléphone (CGNAT partout, roaming partout…)

@aeris effectivement je viens vérifié il y a pas de cookie envoyé pour fonts.googleapis.com, donc ça limite l'usage à juste mesurer des audiences via le Referer.

@hugopoi Dans le cas des fonts, ils ont l’air en plus de faire le boulot proprement.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!