le
Confiance dans les logiciels, accès aux données utilisateurice, et Debian
Ci-dessous, le plan d’un point de discussion qui aurait pu être traité pendant l’atelier du 17 septembre, mais ne l’a pas été faute de temps.
Ce qu’on installe, ce qu’on installe frileusement, ce qu’on n’installe pas.
Qu’est-ce qui fait qu’on a plus ou moins confiance ?
Exemple : les navigateurs web, installeriez-vous (oui, non, frileusement) :
- Google Chrome
- Mozilla Firefox
- Chromium, Ungoogled Chromium , qutebrowser, luakit
On peut aussi faire confiance à un logiciel propriétaire :
- Photoshop ? (a priori oui, les pratiques d’Adobe pour ce produit n’ont pas suscité de grosse crainte)
- Facebook Messenger ? (Androïd, la collecte invisibilisée de données devient la norme)
- Apple Messages ? (a priori l’exploitation des données personnelles n’est pas leur créneau)
Plusieurs façons d’installer un logiciel, exemple (montrer) pour Firefox :
- Télécharger depuis un site (officiel ?)
- Depuis les dépots Debian
Mais aussi :
- Github (montrer et décrire son rôle, évoquer Salsa)
- Snap (en bref)
- Pip (anecdote)
- Google play, Apple store, Samsung/Sony/etc Store
La communauté a des pratiques de vérification pour se défendre :
- humain (développeur, développeuse) : observation du code source (pas possible si propriétaire)
- humain (social) : construit par des gens de confiance, un réseau de confiance (comme ADN, Debian). Via internet, la cryptographie authentifie l’humain.
- logiciel : sous Debian, lintian pendant la construction du paquet
- logiciel : compilation reproductible
- logiciel : la cryptographie pour sécuriser les transmissions internet et calculer les condensats des fichiers
La conclusion, c’est qu’on éxécute des logiciels qui n’ont pas nécessairement le même statut. Dès qu’on exécute un bout de code non sûr sous son propre compte utilisateurice, cela peut compromettre l’ensemble des données situées dans notre répertoire $HOME.
C’est un problème ayant des réponses plus ou moins abordables :
- séparer les usages et les données en ayant plusieurs appareils
- utiliser des comptes utilisateurices différents selon le risque lié à l’application
- utiliser des outils techniques comme chroot, la virtualisation, le sandboxing