RSS

ADE4 vous espionne encore plus

08 Oct

Adobe-logo TheDigitalReader nous alerte sur la politique suivie par Adobe avec sa version ADE4. Il serait enfin temps que les éditeurs européens agissent enfin solidairement pour clarifier les conditions dans lesquelles Adobe utilise les données de millions de lecteurs à travers toute l’Europe. C’est aussi à la Commission Européenne de se pencher sur ce problème, tant l’échelle est importante aujourd’hui avec le développement de la lecture numérique dans tous les pays.

La traduction du billet de Nate Hoffelder:

Adobe vient de nous faire une démonstration éloquente de la manière dont il traite aujourd’hui les questions de sécurité et de confidentialité.

Un ami hacker m’a alerté sur le niveau de violation de la sécurité et de la vie privée de la part d’Adobe. Celui-ci examinait la DRM d’Adobe à des fins éducatives quand il a remarqué que Adobe Digital Editions 4, la nouvelle version de l’application de lecture d’Epub d’Adobe, semblait envoyer un très grand nombre de données vers les serveurs d’Adobe.

Cette source m’a dit, et je peux le confirmer, qu’Adobe suit les utilisateurs au travers de l’application et télécharge les données sur leurs serveurs (Adobe a été contacté à l’avance de cette publication, mais a refusé de répondre).

Pour être clair, je peux aussi vous dire que Benjamin Daniel Mussler, le chercheur en sécurité, qui a trouvé la faille de sécurité sur Amazon.com, a également testé cela à ma demande et l’a vu de ses propres yeux.

Adobe recueille des données sur les livres numériques qui ont été ouverts, les pages qui ont été lues, et dans quel ordre. Toutes ces données, y compris le titre, l’éditeur, et d’autres métadonnées sur le livre sont actuellement envoyées au serveur d’Adobe en texte clair.

Je ne plaisante pas; Adobe n’est pas seulement connecté à ce que les utilisateurs font, il procède aussi à l’envoi de ces données sur leurs serveurs en clair, d’une façon telle que toute personne observant l’accès aux serveurs peut librement tout écouter et tout savoir.

Mais attendez, il y a plus.

Adobe n’est pas seulement en train de traquer ce que les utilisateurs font avec ADE4; cette application a également été scanné mon ordinateur, organiser la collecte des métadonnées de tous les ebooks installés sur mon disque dur et le téléchargement de ces données envoyé sur les serveurs d’Adobe.

Pour être clair, ce qui inclut non seulement les ebooks j’ai ouvert avec ADE4, mais aussi les ebooks que je stocke dans Calibre et chaque ebook en Epub que j’installe sur mon disque dur.

Juste pour montrer que je ne suis ni en train d’exagérer ni d’être sous l’influence d’un quelconque médicament, en voici la preuve.

ADE-4-datacollector
données adobe

Le premier fichier prouve que Adobe suit les utilisateurs au travers de l’application, tandis que le second montre que Adobe indexe ma collection d’ebooks.

Les deux fichiers ci-dessus ont été générés en utilisant les données recueillies par une application appelée Wireshark. Cette petite application astucieuse peut être utilisé pour connecter l’ensemble des informations qui sont envoyés ou reçus par l’ordinateur via un réseau. Muussler et moi, nous avons vu que les données ont été envoyées à 192.150.16.235, l’une des adresses IP d’Adobe. Wireshark connecte toutes les données envoyées à Adobe et sur ​​demande réinjecte les fichiers texte.

Il s’agit d’une violation caractérisée de la vie privée et de la sécurité à un niveau tel que je passerais sur les aspects techniques et encore moins sur les aspects juridiques soulevés.

Sur le plan technique, ce genre d’erreur n’est pas nouvelle. De nombreuses applications ont été pris en train d’envoyer des données en texte clair, et d’autres ont été surprises à capturer des données sans autorisation (des carnets d’adresses mail, par exemple). De plus, LG a été pris dans une violation de la confidentialité très similaire  en novembre dernier lorsque l’un de leur Smart TV a été surpris à télécharger les métadonnées de fichiers privés d’un utilisateur vers les serveurs de LG -et comme Adobe, ces données ont été envoyé en texte clair.

Je partage ces détails qui ne sont pas là pour excuser ou justifier Adobe, mais pour vous montrer que c’est une erreur stupide et crétine, que Adobe aurait vu venir à bout s’ils avaient eu ne serait-ce que le cerveau d’un poisson rouge.

En ce qui concerne les aspects juridiques, je ne suis toujours pas sûr de combien de lois sur la protection de la vie privée ont été violés. La plupart des États américains ont des lois sur la vie privée sur les livres empruntés dans les bibliothèques; si l’application a été installé dans une bibliothèque ou utilisée avec un ebook d’une bibliothèque alors ces lois n’ont pas été respectés. De plus, Adobe peut avoir également violé les sections de protection des données de la FERPA, les droits à l’éducation familiale et la vie privée, et des lois similaires adoptées par les États comme la Californie (je vais devoir laisser un avocat répondre à ce sujet).

Et puis il y a les lois européennes sur la confidentialité, dont certaines font les lois des États-Unis très laxistes en regard.

En parlant de l’Europe, la Foire du Livre de Francfurt s’ouvre cette semaine. Adobe sera présent sur les stands, et quelque chose me dit qu’ils ne seront pas déçu du voyage (pour ma part j’ai l’espoir que la direction d’Adobe sera présente pour être interrogé).

En tout cas, je vous recommande fortement en tant qu’utilisateurs d’éviter de mettre à jour les applications d’Adobe. Heureusement pour nous, il existe des alternatives.

Plutôt que d’utiliser ADE 4, je vous suggère d’utiliser une application fournie par Amazon, Google, Apple ou Kobo. Amazon utilise le format Kindle, et chacune des trois dernières plates-formes d’ebook utilise sa propre DRM unique et le format Epub comme format de fichier à l’intérieur de leurs applications (Google et Kobo vous permettront de télécharger un ebook qui peut être lu dans Adobe DE, que la DRM n’est pas utilisé en interne soit par Kobo ou Google).

Chacune de ces quatre plates-formes sont sensibles à la faille de sécurité d’Adobe. Bien sûr, je ne peux pas dire avec certitude si ces plates-formes sont plus sûres et privées qu’Adobe, mais je suis sûr qu’elles seront plus dans le respect de la sécurité dans les prochaines semaines.

Adobe justement qui a répondu hier en communiquant sur DigitalBookWorld. Il a bien reconnu qu’il récoltait des informations et en a donné la liste:

Adobe confirme certains détails des récents rapports publiés par TheDigitalReader et Ars Technica. Adobe Digital Editions 4, la dernière version de la plate-forme d’ebook largement utilisée, organise bien la collecte de nombreuses données sur les habitudes de lecture d’ebook de ses utilisateurs.

Selon Nate Hoffelder de TheDigitalReader: « Adobe recueille des données sur les ebooks qui ont été ouverts, les pages qui ont été lues, et dans quel ordre. »

En réponse, Adobe a confirmé que la collecte de ces données regroupant les pratiques sont effectivement en place. « Adobe Digital Editions permet aux utilisateurs de visualiser, de gérer des livres numériques et autres publications numériques, dans leurs capacités à lire sur leurs appareils préférés -qu’ils achètent ou empruntent ». Adobe poursuit:

« Toutes les informations recueillies par l’utilisateur sont collectées uniquement à des fins telles que la validation de la licence et de faciliter la mise en œuvre de différents modèles de licence pour les éditeurs. En outre, ces informations ne sont enregistrées que pour le livre numérique en cours de lecture par l’utilisateur et non pour toute autre eBook dans la bibliothèque de l’utilisateur ou en lecture/ disponible dans n’importe quel autre lecteur. La vie privée de l’utilisateur est très importante pour Adobe et toutes les informations sur la collecte des données dans le logiciel Adobe Digital Editions est en ligne avec le contrat de licence de l’utilisateur final et la politique de confidentialité d’Adobe.

Mise à jour: Hoffelder a rapporté que le logiciel Adobe Digital Editions semblait recueillir des informations sur sa bibliothèque entière d’ebooks et pas seulement les titres vus à travers le logiciel Adobe Digital Editions. Dans un échange postérieur avec Adobe, qui comprenait le fichier d’Hoffelder affecté à l’appui de cette suspicion, la société a réitéré sa déclaration antérieure selon laquelle « les informations ne sont enregistrées que pour le livre numérique en cours de lecture par l’utilisateur et non pour toute autre eBook dans le mode de bibliothèque ou en lecture/ disponible dans n’importe quel autre lecteur « .

Selon les derniers rapports, les données semblent transiter sur les serveurs d’Adobe en texte clair, qui fait craindre que des tiers pourraient facilement avoir accès à elles.

Mise à jour: Adobe reconnaît que la transmission de données non cryptées pourrait poser un risque pour la sécurité: « S’agissant de la transmission des données recueillies, Adobe est en train de travailler sur une mise à jour pour résoudre ce problème ». Adobe dit en outre que plus d’informations viendront au moment de cette mise à jour.

Dans sa déclaration cet après-midi, Adobe énumère les données qu’il recueille grâce à Adobe Digital Editions:

  • Nom d’utilisateur: le nom d’utilisateur est recueilli pour authentifier l’utilisateur.
  • Device ID: ID de l’appareil est collecté à des fins Digital Right Management (DRM) afin que les éditeurs limitent généralement le nombre d’appareils d’un livre numérique ou la publication numérique qui peuvent y être lus.
  • ID certifié App: le Certified App ID est collecté dans le cadre du flux de travail de la DRM pour s’assurer que les applications certifiés peuvent rendre un livre, réduisant le craquage et l’implémentation caduque de la DRM.
  • Device IP: l’adresse IP de l’appareil est recueillie pour déterminer la zone de géo-localisation, car les éditeurs ont différents modèles de tarification en place en fonction de l’emplacement du lecteur, acheter un eBook donné ou de la publication numérique.
  • Durée pendant laquelle le livre a été lu: cette information est recueillie pour faciliter les modèles de tarification limités ou mesurés afin que les éditeurs ou distributeurs facturent les lecteurs sur une base d’une durée d’un livre lu. Par exemple, un lecteur peut emprunter un livre pour une période de 30 jours. Alors que certains éditeurs/ distributeurs facturent pendant 30 jours à compter de la date du téléchargement, d’autres suivent un modèle de tarification mesurée et facturent pour le temps réel qu’un livre est lu.
  • Pourcentage du livre lu: ces renseignements sont recueillis pour permettre aux éditeurs de mettre en œuvre des modèles d’abonnement dans lesquels ils peuvent facturer en fonction du pourcentage de la lecture du livre. Par exemple, certains éditeurs facturent seulement un pourcentage du prix total si seulement un certain pourcentage du livre est lu.

En outre, les données suivantes sont fournies par l’éditeur dans le cadre de la licence actuelle et DRM pour l’eBook:

  • Date d’achat / téléchargement
  • ID du distributeur et Adobe URL de l’opérateur du serveur de contenu
  • Métadonnées du livre fournies par l’éditeur (y compris le titre, auteur, liste de prix de l’éditeur, le numéro ISBN)

Adobe Digital Editions est utilisé par un grand nombre de lecteurs de livres numériques, y compris les éditeurs et les usagers de bibliothèques. Alors qu’Adobe soutient que ses pratiques de suivi des données sont dans les limites de ses accords d’utilisation et la politique de confidentialité, la portée du programme semble venir comme une surprise pour beaucoup.

Adobe a été contacté pour des éclaircissements et des informations supplémentaires, notamment si Adobe Digital Editions 4, qui a été lancé le 8 septembre dernier, est la seule version de la plate-forme qui ait fait l’objet du programme de collecte de données qu’Adobe présente aujourd’hui. Les versions antérieures semblent jusqu’ici ne pas être affectées. Nous mettrons à jour ce billet dès que d’autres d’informations seront disponibles.

Mise à jour: Adobe n’a pas directement abordé les rapports que les versions précédentes de la plate-forme ne sont pas soumis à la collecte de données, mais il affirme que les accords d’utilisation régissant les versions 3 et 4 ne diffèrent pas par rapport aux données de l’utilisateur. Un porte-parole Adobe dit: « Alors que les capacités des produits supplémentaires ont été ajoutées dans la version 4 pour faciliter les besoins des éditeurs et d’autres modèles d’affaires, le contrat de licence de l’utilisateur final et la politique de confidentialité ne nécessitent pas de changements. Les informations recueillies par l’utilisateur dans les versions 3 et 4 sont collectées uniquement à des fins telles que la validation de la licence et de faciliter la mise en œuvre de différents modèles de licence par les éditeurs ».

 
Poster un commentaire

Publié par le 2014/10/08 dans Evénements

 

Étiquettes : , , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :