EFF : l'intégration d'Amazon à Ubuntu 12.10 pose des problèmes de sécurité

L'intégration d'Amazon au sein d'Ubuntu 12.10 continue de créer la polémique et cette fois c'est l'Eletronic Frontier Foundation qui pointe les pratiques de Canonical.

Parmi les nouveautés introduites au sein d'Ubuntu 12.10 Quantal Quetzal, le moteur de recherche universel a été largement optimisé et l'éditeur Canonical y a introduit les résultats du cyber-marchand Amazon. Interrogé par nos soins, Nicolas Barcet, Ubuntu Cloud Manager, expliquait qu'initialement « le but était d'obtenir des résultats au-delà des données de l'ordinateur » tout en tirant parti de la pertinence du catalogue d'Amazon. Bien entendu pour Canonical, il s'agit également de générer des liens d'affiliation et donc de mettre en place une nouvelle forme de revenus.

En version expérimentale, l'intégration d'Amazon ne pouvait pas être désactivée mais au regard des divergences créées au sein de la communauté, Canonical a finalement rajouté une option permettant de limiter les résultats de recherche au contenu de l'ordinateur. Pourtant selon l'EFF (Electronic Frontier Foundation, l'organisation américaine chargée de promouvoir la vie privée des internautes, cette initiative ne serait pas suffisante.

En effet, si Canonical expliquait sur son blog que les connexions aux serveurs sont opérées via HTTPS, il n'en va pas de même pour les résultats retournés sur l'ordinateur de l'utilisateur. « Techniquement, lorsque vous effectuez une recherche au sein du Dash, votre ordinateur effectue une connexion sécurisée vers productsearch.ubuntu.com en envoyant votre requête et votre adresse IP », explique l'EFF dans un communiqué officiel. En revanche, l'organisation ajoute : « Si des produits Amazon sont retournés pour s'afficher (sur votre écran) votre ordinateur procèdera au chargement des images des produits depuis les serveurs d'Amazon via une connexion HTTP ».

Pour l'EFF, il suffirait donc que quelqu'un se connecte au même réseau Wifi pour intercepter les données transitant depuis une machine vers Amazon. Puisqu'il s'agit d'un moteur de recherche universel, les résultats d'Amazon seront retournés même si l'utilisateur entend récupérer un document stocké sur son disque dur. Ce qui signifie que le mot-clé tapé pour une recherche locale pourra être intercepté par un tiers via la connexion à Amazon. Aussi pour l'EFF, « c'est un problème de vie privée majeur si vous n'êtes pas en mesure d'effectuer une recherche sur votre ordinateur sans diffuser ce que vous recherchez à tout le monde ».



Cette intégration comporte davantage de problèmes. En effet, l'EFF explique que par défaut ces requêtes ne sont pas seulement envoyées vers Amazon mais également vers des sites Internet tiers et notamment Twitter, Facebook et la BBC. Cette fonctionnalité est notamment promue pour pouvoir récupérer les documents d'autres fournisseurs comme Google Docs, les photos de Picasa ou les vidéos de YouTube.

L'EFF demande ainsi la désactivation de l'intégration des parties tierces par défaut, ainsi qu'une explication claire pour l'utilisateur de la durée de conservation des requêtes et de l'adresse IP de l'utilisateur ainsi que les sites vers lesquels ces informations sont envoyées. L'organisation souhaite également davantage de souplesse pour par exemple permettre l'affichage des résultats d'Amazon sans pour autant devoir nécessairement partager ses requêtes avec Facebook. Et de conclure :

« Nous apprécions le fait qu'Ubuntu soit assez ambitieux pour innover et concurrencer directement d'importants systèmes d'exploitation propriétaires, mais s'il vous plaît, faites cela en respectant la vie privée et la sécurité de vos utilisateurs. Les utilisateurs de Windows et Mac sont habitués à voir leurs données envoyées vers des parties tierces sans leur consentement par des éditeurs de logiciels tentant d'augmenter leurs profits pour leurs actionnaires. Faisons en sorte que la distribution GNU/Linux Ubuntu soit une exception à cette règle ».