Tristan Nitot nous présentait vendredi dernier l’anti-malware de Firefox 3 et surtout nous expliquait en substance pourquoi c’était en quelque sorte une fonctionnalité “on/off” (soit on s’en sert totalement soit on ne s’en sert pas) et comment elle fonctionnait en interaction avec une “blacklist” fournie établie par Google.
Il concluait l’article sur une petite note indiquant qu’au moment il écrivait aucune décision n’a été prise ni dans un sens ni dans l’autre
concernant le moyen de contourner cette protection par l’utilisateur qui le désire.
Je précise que je réfléchis ici sur son concept tel qu’il est présenté actuellement. Et du coup je ne peux qu’abonder avec les commentaires qui vont plutôt dans le sens du “contre” jusque-là. Le débat en commentaire de l’article cité vaut la peine d’être lu, je rebondis d’ailleurs un peu sur les craintes évoquées par Yannick, les questions de Pierre et surtout le long mais très intéressant et détaillé commentaire de Jehan qui pose de bonnes questions, notamment éthiques et sur la (dé)responsabilisation de l’utilisateur.
Effectivement, le choix actuel est simple :
- soit on utilise cette fonctionnalité et dans ce cas-là l’accès à tout site considéré comme dangereux par Google vous est tout simplement interdit (et on vous colle un message à l’écran pour vous dire que ce site est maaaaal)
- soit on ne l’utilise pas et on surf sans être prévenu de rien par son navigateur (donc comme maintenant quoi)!
L’option la plus “normale” (vous pouvez surfer, on vous averti avec un message bien alarmiste comme quoi ce site est peut être infecté par un malware pouvant nuire à votre pc ou à vos données mais vous pouvez décider de passer outre) a tout simplement été écartée sous prétexte que lorsqu’on propose aux gens de passer outre, ils le font ! bah ouaip ? et alors ?
En gros il faut donc choisir si on accepte une “censure” pilotée par Google ou non lorsqu’on surf avec FF3 ? Il me semble qu’il existe une troisième voie, celle utilisée par exemple en général par votre pare-feu personnel un tant soit peu évolué quand vous l’installez :
- la possibilité à l’installation de choisir si on lui laisse entièrement les commandes (éventuellement avec un mode “permissif” et un mode “aggressif”) ou de prendre les commandes en manuel - comprendre être simplement averti avec choix de continuer ou de bloquer le site soupçonné d’être corrompu
Cette méthode aurait le mérite, à mon humble avis, de mettre tout le monde d’accord et d’éviter la levée de boucliers actuelle ! Donner aux administrateurs la possibilité de paramétrer cette fonction sur un parc entier voir d’ajouter à la blacklist de google sa propre blacklist pourrait même devenir un premier rempart très intéressant au passage. Pouvoir la centraliser et la diffuser sur son réseau interne devrait aussi être envisagé pour des raisons évidentes de gestion de la bande passante (point soulevé en commentaire sur le billet de Nitot et que j’ai trouvé plutôt pertinent) et d’une réplication excessivement inutile de cette liste par toutes les occurences de Firefox 3 dans un même réseau LAN.
Bien évidemment, il serait intéressant aussi d’avoir une idée claire des données échangées entre le client Firefox et le serveur Google qui héberge cette blacklist (et surtout de savoir ce que ce même serveur retient comme données du client qui l’interroge ;)).
Bref, cette fonctionnalité et son implémentation actuelle prêtent vraiment à débat. C’est déjà le cas et gageons que ce n’est pas fini !
Pour ma part, si j’aime être averti des dangers que j’encours et qu’on m’explique comment éviter les problèmes, j’ai tendance à ne pas apprécier du tout qu’on pense à ma place. vous imaginez donc bien ma position actuelle je pense…
7 commentaires
Je ne savais pas que Firefox préparait un outil de ce genre pour sa version 3 et je suis un peu étonnée ! Ca me fait penser au SP 2 de Windows qui efface tout simplement (par exemple) les mp3 reçus par msn de l’ordinateur sous prétexte qu’ils sont potentiellement dangereux ! Et sans laisser le choix de prendre le risque ou non !
Ca me déçoit un peu de leur part je dois dire…
Tu t’en fous, t’es sous Linux
Moi oui (les 3/4 du temps), le parc que je gère et la plupart des gens que je dépanne, non !
Bien que lisant ce site régulièrement et celui de Tristan, c’est la 1ere fois que je laisse un commentaire.
Cela me fait penser à No Script qui empêche d’avoir de la pub.
Il y a 3 cas: autoriser temporairement, autoriser, et celui que je juge judicieux, révoquer les permissions temporaires.
Je ne suis pas un pro comme certains qui se sont exprimes chez Tristan, Mais je trouve ce système plus pertinent que celui proposé (s’il voit le jour)
Ah ben qu’est-ce que c’est que c bazar, moi aussi je préférerais que l’on me laisse le choix quand même. Si je passe outre c’est en toute connaissance de cause !
@hristou Eh bien merci pour ton commentaire déjà !
Effectivement, un fonctionnement à la façon de “No Script” (excellentissime extension) serait vraiment bienvenue par rapport au choix effectué par Mozilla, AMHA.
@daria bah ce bazar, c’est une étrange décision de la fondation Mozilla ! Franchement, je m’étonne qu’ils aient fait un choix pareil… C’est tellement “déroutant” de la part de libristes d’une part et j’imagine qu’ils avaient anticipé la levée de boucliers que ça ferait à l’égard de cette fonctionnalité. Ca me surprend vraiment je dois dire.
Il est effectivement désagréable que le tandem de choc Google/Firefox mette en place un tel dispositif. Jusqu’où cette incursion peut-elle aller ? On peut l’imaginer et élaborer des scenarii très divers, mais nul ne sait réellement, en l’état actuel des choses, quelles sont - si tel est le cas - les intentions cachées de Google et de Mozilla sur le moyen/long terme. Un internet “préfiltré” (selon divers critères qui peuvent être idéologiques, économiques ou autres) ne me semble pas une hypothèse incongrue. A suivre de très près. Et ne pas nécessairement suivre aveuglément ceux qui nous chantent l’internet libre dans toutes les tonalités.
Un trackback
[...] 3 "Protect me from what I want" ! by Burninghat.net [...]