Aldus - le blog du livre numérique, depuis 2006

Quand pourra-t-on en finir avec Adobe? C'est la question qui vient naturellement à la lecture du billet publié hier sur TheDigitalReader. Une alerte de plus -nous en avions déjà eu au printemps dernier de la part de spécialistes de ces questions-, mais qui pose aujourd'hui clairement le problème de l'utilisation qui est faite des données sur nos bibliothèques personnelles. Je donne une traduction complète de ce billet tant il interpelle sur la politique suivie par Adobe avec sa version ADE4. Il serait enfin temps que les éditeurs européens agissent enfin solidairement pour clarifier les conditions dans lesquelles Adobe utilise les données de millions de lecteurs à travers toute l'Europe. C'est aussi à la Commission Européenne de se pencher sur ce problème, tant l'échelle est importante aujourd'hui avec le développement de la lecture numérique dans tous les pays. En France on pense également au développement de PNB (Prêt numérique en bibliothèque), un dispositif qui doit absolument être clarifié quant aux informations que récupère effectivement Adobe au niveau des bibliothèques et des abonnés concernés. La traduction du billet de Nate Hoffelder:

Adobe vient de nous faire une démonstration éloquente de la manière dont il traite aujourd'hui les questions de sécurité et de confidentialité.

Un ami hacker m'a alerté sur le niveau de violation de la sécurité et de la vie privée de la part d'Adobe. Celui-ci examinait la DRM d'Adobe à des fins éducatives quand il a remarqué que Adobe Digital Editions 4, la nouvelle version de l'application de lecture d'Epub d'Adobe, semblait envoyer un très grand nombre de données vers les serveurs d'Adobe.

Cette source m'a dit, et je peux le confirmer, qu'Adobe suit les utilisateurs au travers de l'application et télécharge les données sur leurs serveurs (Adobe a été contacté à l'avance de cette publication, mais a refusé de répondre).

Pour être clair, je peux aussi vous dire que Benjamin Daniel Mussler, le chercheur en sécurité, qui a trouvé la faille de sécurité sur Amazon.com, a également testé cela à ma demande et l'a vu de ses propres yeux.

Adobe recueille des données sur les livres numériques qui ont été ouverts, les pages qui ont été lues, et dans quel ordre. Toutes ces données, y compris le titre, l'éditeur, et d'autres métadonnées sur le livre sont actuellement envoyées au serveur d'Adobe en texte clair.

Je ne plaisante pas; Adobe n'est pas seulement connecté à ce que les utilisateurs font, il procède aussi à l'envoi de ces données sur leurs serveurs en clair, d'une façon telle que toute personne observant l'accès aux serveurs peut librement tout écouter et tout savoir.

Mais attendez, il y a plus.

Adobe n'est pas seulement en train de traquer ce que les utilisateurs font avec ADE4; cette application a également été scanné mon ordinateur, organiser la collecte des métadonnées de tous les ebooks installés sur mon disque dur et le téléchargement de ces données envoyé sur les serveurs d'Adobe.

Pour être clair, ce qui inclut non seulement les ebooks j'ai ouvert avec ADE4, mais aussi les ebooks que je stocke dans Calibre et chaque ebook en Epub que j'installe sur mon disque dur.

Juste pour montrer que je ne suis ni en train d'exagérer ni d'être sous l'influence d'un quelconque médicament, en voici la preuve.

     ADE-4-datacollector
     données adobe

Le premier fichier prouve que Adobe suit les utilisateurs au travers de l'application, tandis que le second montre que Adobe indexe ma collection d'ebooks.

Les deux fichiers ci-dessus ont été générés en utilisant les données recueillies par une application appelée Wireshark. Cette petite application astucieuse peut être utilisé pour connecter l'ensemble des informations qui sont envoyés ou reçus par l'ordinateur via un réseau. Muussler et moi, nous avons vu que les données ont été envoyées à 192.150.16.235, l'une des adresses IP d'Adobe. Wireshark connecte toutes les données envoyées à Adobe et sur ​​demande réinjecte les fichiers texte.

Il s'agit d'une violation caractérisée de la vie privée et de la sécurité à un niveau tel que je passerais sur les aspects techniques et encore moins sur les aspects juridiques soulevés.

Sur le plan technique, ce genre d'erreur n'est pas nouvelle. De nombreuses applications ont été pris en train d'envoyer des données en texte clair, et d'autres ont été surprises à capturer des données sans autorisation (des carnets d'adresses mail, par exemple). De plus, LG a été pris dans une violation de la confidentialité très similaire  en novembre dernier lorsque l'un de leur Smart TV a été surpris à télécharger les métadonnées de fichiers privés d'un utilisateur vers les serveurs de LG -et comme Adobe, ces données ont été envoyé en texte clair.

Je partage ces détails qui ne sont pas là pour excuser ou justifier Adobe, mais pour vous montrer que c'est une erreur stupide et crétine, que Adobe aurait vu venir à bout s'ils avaient eu ne serait-ce que le cerveau d'un poisson rouge.

En ce qui concerne les aspects juridiques, je ne suis toujours pas sûr de combien de lois sur la protection de la vie privée ont été violés. La plupart des États américains ont des lois sur la vie privée sur les livres empruntés dans les bibliothèques; si l'application a été installé dans une bibliothèque ou utilisée avec un ebook d'une bibliothèque alors ces lois n'ont pas été respectés. De plus, Adobe peut avoir également violé les sections de protection des données de la FERPA, les droits à l'éducation familiale et la vie privée, et des lois similaires adoptées par les États comme la Californie (je vais devoir laisser un avocat répondre à ce sujet).

Et puis il y a les lois européennes sur la confidentialité, dont certaines font les lois des États-Unis très laxistes en regard.

En parlant de l'Europe, la Foire du Livre de Francfurt s'ouvre cette semaine. Adobe sera présent sur les stands, et quelque chose me dit qu'ils ne seront pas déçu du voyage (pour ma part j'ai l'espoir que la direction d'Adobe sera présente pour être interrogé).

En tout cas, je vous recommande fortement en tant qu'utilisateurs d'éviter de mettre à jour les applications d'Adobe. Heureusement pour nous, il existe des alternatives.

Plutôt que d'utiliser ADE 4, je vous suggère d'utiliser une application fournie par Amazon, Google, Apple ou Kobo. Amazon utilise le format Kindle, et chacune des trois dernières plates-formes d'ebook utilise sa propre DRM unique et le format Epub comme format de fichier à l'intérieur de leurs applications (Google et Kobo vous permettront de télécharger un ebook qui peut être lu dans Adobe DE, que la DRM n'est pas utilisé en interne soit par Kobo ou Google).

Chacune de ces quatre plates-formes sont sensibles à la faille de sécurité d'Adobe. Bien sûr, je ne peux pas dire avec certitude si ces plates-formes sont plus sûres et privées qu'Adobe, mais je suis sûr qu'elles seront plus dans le respect de la sécurité dans les prochaines semaines.

PS: à lire également le billet d'Eric sur Survol.