Je ne suis pas un grand lecteur au travers des applications de lecture sur smartphone et tablette. Je préfère mes liseuses qui m'apporte un confort de lecture que je juge sans égal. Néanmoins je recherche toujours des outils intéressants qui me dépanne de temps en temps sur mes bidules habituels.
Au fil des années j'ai retenu les applications PocketBook et Readera mais elles ne me satisfaisaient jamais complètement du côté de d'audio et du Texte-vers-Parole (oui, adoptons ce terme, plutôt que l'affreux anglicisme), le seul mode que je trouve intéressant sur les applications de lecture. J'ai découvert au début de l'été une nouvelle application en mode open-source, Readest et j'ai pu l'utiliser largement ces derniers mois. Une belle réussite, avec des voix nombreuses et des réglages très précis. Sincèrement je vous conseille de la tester pour vos livres de la rentrée littéraire, vous ne serez pas déçus. Elle est évidemment gratuite. Vous pouvez la télécharger sur vos "magasins" d'applications habituels.
Voici les différents fonctions qui sont proposés sur Readest :
Accès multiplateforme: Lisez facilement sur Windows, macOS, Linux et le web.
Modes de lecture personnalisables: Ajustez les thèmes, les polices et les mises en page selon vos préférences, y compris la prise en charge des EPUB verticaux.
Vue multi-livres: Lisez et comparez jusqu'à quatre livres simultanément avec des mises en page dynamiques.
Annotations et surlignages: Prenez des notes, surlignez et ajoutez des signets facilement.
Synchronisation entre les appareils: Votre progression de lecture, vos notes et vos surlignages restent à jour où que vous alliez.
Texte-vers-parole: Écoutez vos livres grâce à la fonction de lecture à haute voix intégrée.
Open-Source: Plongez dans le code, suggérez des fonctionnalités ou contribuez sur GitHub.
Vous trouverez également beaucoup de détails sur le forum Reddit en français ici.
N'hésitez pas à me faire part de vos retours, surtout si vous êtes grand lecteur au travers d'applications.
Nouvelle application de lecture de livre numérique proposée par Numilog et ePagine cet été. Vous pourrez la retrouver sur le PlayStore de Google.
Elle est compatible avec la DRM LCP, développée par EDRLab, permettant un accès simplifié aux contenus numériques par rapport à la DRM d'Adobe.
Vous pourrez la tester. Personnellement, j'ai téléchargé quelques livres. J'observe un manque de fluidité dans le défilement des pages. Plus embêtant, régulièrement au lieu du changement de page, c'est le menu qui s'ouvre. J'en déduis que c'est le frottement du bord de page qui est en cause, manip qui est difficile à complètement bannir à l'usage. J'ai observé aussi des problèmes d'affichage dans la justification de certains livres numériques. Bref, pas de quoi me faire changer mes deux applications favorites, à savoir Pocketbook Reader et ReadEra. À vous de juger...
Je vous propose de vivre une expérience numérique qui est à la croisée des chemins entre un escape game et l’histoire dont vous êtes le héros sous forme d’application Android. Rien que ça.
La genèse du projet
Le mois d’octobre est le mois dédié à la cybersécurité. Durant tout ce mois, à la médiathèque Louis-Aragon de Fontenay-sous-Bois, nous avons publié chaque jour sur notre page Facebook un conseil en matière d’hygiène numérique et nous publierons une synthèse sur notre blog parce que les posts sur les réseaux sociaux s’envolent mais les billets restent. Comme le cybermoi/s se termine le 31 octobre, jour d’Halloween, l’idée de faire quelque chose de terriblement effrayant tombait à point nommé. C’est donc pour conclure ce mois consacré à la cybersécurité et à la sensibilisation des menaces qui visent notre intimité numérique que j’ai conçu une petite application ludo-éducative.
N’ayant pas l’équipe R&D de Google avec moi, ne vous attendez pas à tester le futur Fortnite. J’ai réalisé l’appli grâce à App Inventor qui est un Scratch pour concevoir des applis Android. L’objectif de l’appli est surtout de faire de la sensibilisation et de la pédagogie.
Peur sur nos données : le principe
Le point de départ de l’application est simple. Vous vous retrouvez enfermés dans un data center et devrez résoudre des énigmes pour passer les étapes et retrouver la sortie. Simple. Basique.
Avec cette appli, j’ai souhaité aborder les thématiques classiques de la protection des données personnelles à travers une approche plus ludique qu’un article ou un atelier traditionnel. L’idée est de montrer concrètement ce qui peut se passer en ligne quand on utilise un mot de passe trop faible, comment l’industrie publicitaire parvient à nous pister et à collecter des données sur nous et à notre insu. Quand on dit que le smartphone est un mouchard de poche, l’application permet de mesurer à quel point on peut récupérer des données en installant un simple programme sur son appareil.
Plutôt que de privilégier la technique, Peur sur nos données est plutôt orientée pédagogie. En effet, chaque énigme de ce mini escape game est l’occasion d’expliquer de façon claire et concise les risques et comment s’en prémunir.
Les réponses aux énigmes sont simples à deviner. Quand on les connaît. Pour les trouver, il faudra compter sur votre curiosité. Elles sont toutes donner pour peu qu’on sache les trouver. Certaines font appel à des connaissances d’hygiène numérique de base d’autres s’appuient sur un mécanisme vidéoludique et un gameplay inédits. (teasing de malade).
Pas d’omelette sans casser les oeufs
Pour pouvoir révéler à l’utilisateur des informations relatives à son adresse IP, la configuration de son DNS, s’il utilise un VPN ou pas, l’application nécessite évidemment certaines autorisations pour fonctionner :
Accéder à la position exacte au premier plan uniquement
Accéder à la position approximative (à l’aide des réseaux) au premier plan uniquement
Evidemment, l’application ne transmet pas de données à des tiers et les renseignements collectés par l’appli ne sont pas transmis à un serveur. Vous pouvez donc l’installer et l’essayer sans inquiétude.
L’application n’est pas disponible sur le Play Store, vous pouvez la télécharger ici et l’installer directement sur votre appareil sans passer par le magasin d’applis de Google. Vous devrez autoriser les sources inconnues pour poursuivre l’installation. Si Google Play Protect vous invite à analyser l’application, ce n’est pas nécessaire, vous pouvez passer cette étape. L’application n’est pas optimisée pour les tablettes.
J’ouvre l’année 2021 avec un billet d’humeur en lien avec la polémique autour de WhatsApp et de la bascule qui est en train de s’opérer au profit de l’application Signal.
Cela fait des années que j’utilise mes petits bras musclés pour sensibiliser à la protection des données personnelles et aider les personnes qui le souhaitent à passer le cap pour apprendre à utiliser des outils qui aident à protéger notre intimité. Bien évidemment, je ne suis pas le seul et d’autres le font avec plus de force et de succès que moi. Qu’ils en soient remerciés.
Les révélations de Snowden en 2013 ont provoqué un électrochoc au sein de l’opinion public en rendant concret ce qu’on savait tous plus ou moins. Les Etats pratiquent la surveillance de leur population depuis des années. Ces révélations ont choqué mais ne se sont pas traduites par un changement en profondeur des pratiques. Les GAFAMs ne se sont jamais aussi bien portés qu’au cours de ces dernières années, il suffit de constater le niveau de capitalisation boursière des ces entreprises. Presque 8 ans après les révélations du lanceur d’alerte, autant d’années d’actions d’associations de défense des libertés numériques, une cohorte de lois liberticides votées au grès des circonstances et du contexte terroriste, il aura fallu attendre une banale modification des Conditions Générales d’Utilisation de WhatsApp et un tweet de l’homme actuellement le plus riche du monde pour que la prise de conscience que notre vie privée est précieuse se traduise en actes.
L’application Signal apparaît dans le top des classements des applis téléchargées dans certains pays. Après avoir passé une année 2020 désastreuse en matière de protection de la vie privée reléguée à l’arrière-plan en raison du confinement, du télétravail et de l’utilisation massive d’outils de visio peu respectueux de nos données personnelles, c’est probablement la première bonne nouvelle de l’année 2021. Nous avons de quoi nous réjouir que des personnes décident de changer de crémerie. La force des GAFAMs et leur capacité à nous enfermer dans leurs prisons dorées reposent sur l’effet de réseau. Pendant très longtemps ce phénomène nous a contraint à rester dans écosystèmes toxiques dont le modèle économique est construit sur celui du capitalisme de surveillance. Tout simplement parce que notre réseau social est présent sur Facebook ou WhatsApp. Etre prêt à se déconnecter de ses proches, de ses amis et des personnes avec lesquelles on est prêt à partager d’une façon ou d’une autre notre intimité, demande une force de conviction que tout le monde n’a pas. Et c’est d’ailleurs à ce moment précis que l’argument imbécile « De toute façon, je n’ai rien à cacher » intervient et termine de convaincre une majorité de personnes de continuer à utiliser les services des GAFAMs.
Or les choses sont en train de changer depuis cette semaine. Je suis sûr que comme moi, vous avez fait l’expérience autour de vous de gens qui se sont mis à vous en parler, à vous dire qu’ils avaient installé Signal. Vous vous retrouvez désormais à discuter avec une partie de vos contacts sur cette appli. Et c’est très bien !
Mais ! Parce qu’il y a toujours un mais. Au lieu de prendre le temps de se réjouir de cette situation et d’apprécier que les efforts de sensibilisation fournis depuis des années commencent à payer, il y a des personnes qui sont malheureusement dans la critique en disant que c’est bien mais pas suffisant. Parmi les critiques, on peut retrouver :
les maximalistes : Ceux-là critiquent le fait que les personnes utilisent désormais Signal mais continuent aussi à se servir de Google, du navigateur Chrome, de Gmail ou d’Outlook…. ;
les juristes : l’organisation qui est derrière Signal est américaine et par extension soumise au Cloud Act ;
les techos : Signal repose sur une architecture centralisée ;
les techos bis : Signal nécessite de fournir son numéro de téléphone pour fonctionner ;
les cryptos : Ok Signal intègre le chiffrement de bout-en-bout mais laisse des traces avec les métadonnées…
Evidemment qu’aucune solution n’est parfaite. Si vous tenez à protéger intégralement votre vie privée, n’utilisez aucun service connecté à Internet ! Si vous n’êtes pas prêt à vivre comme un ermite, vous pouvez déjà vous rassurer avec les éléments suivants :
L’application Signal est gérée par une fondation à but non lucrative. Elle n’aura pas à céder à la pression des actionnaires qui chercheraient à optimiser les coûts et obtenir une rentabilité et un taux de croissance à deux chiffres;
L’intégralité de l’application est open source et par conséquent auditable. La transparence assumée est la seule garantie qu’il n’y a pas de porte dérobée ou de cochonneries qui trahirait le message et la confiance affichés par Signal ;
Le protocole de chiffrement utilisé par Signal est réputé pour être robuste. (Cet argument ne sera peut-être plus valable d’ici 2, 5 ou 10 ans. Si ça se trouve, la NSA ou une autre agence de renseignement a déjà identifié une faille et est en train d’exploiter cette vulnérabilité dans son coin. Mais c’est le principe d’une faille 0-day, on ne sait pas qu’elle existe tant qu’elle n’a pas été divulguée) ;
C’est une application qui est recommandée par Snowden, mais ça c’est pas nouveau ;-).
Comme le revendique une célèbre association, la route est longue mais la voie est libre. C’est important qu’il y ait une avant-garde éclairée qui pointe les lacunes ou les limites de tel outil mais elle doit veiller à ne pas se couper des masses qui décident de changer ses pratiques pour continuer à être audible et éviter de rester dans un entre-soi élitiste. Imaginez le degré de « disruption » que cela représente pour la plupart de passer de WhatsApp à Signal. Imaginez la force, la patience, l’énergie que ça va demander à beaucoup de gens d’expliquer à tonton Roger ou tata Suzanne comment fonctionne Signal et qui leur diront « Mais c’est pareil que l’autre, pourquoi changer ?! »
Alors oui, la situation n’est pas totalement parfaite. Mais c’est un changement mineur dont on peut se féliciter et espérer qu’il en produise d’autres. La protection de la vie privée en ligne nécessite d’apprendre à apprendre. Il va falloir abandonner des habitudes et des outils qui sont devenus notre quotidien au fil des années. Au-delà de la question des pratiques, il faut aussi se poser collectivement le coût de la vie privée. L’évolution commerciale du web nous a fait croire que les services pouvaient être gratuits et cette illusion est fortement responsable de la situation dans laquelle on se trouve actuellement. Notre intimité et notre vie privée ont un coût. Sommes-nous à prêts à le payer ?
L’été est propice à la découverte, à des tests ou à des choses que je n’ai pas le temps de faire le reste de l’année. Entre deux vagues de chaleur et un changement de masque pour se protéger du Covid, j’ai souhaité comprendre et voir comment fonctionnait l’application qu’on allait bientôt fournir aux usagers de la médiathèque dans laquelle je travaille. Attaché au respect de leur vie privée et à la protection de leurs données personnelles, je me suis dit qu’une appli peut être un véritable piège dans ce domaine. Cette idée m’est venue après la lecture du blog Pixel de tracking que je vous invite à lire si vous vous intéressez à la problématique du tracking et des données personnelles.
Télécharger l’appli
L’application Ma Bibli est disponible pour iOS et Android. C’est cette dernière version que j’ai testée. Premier réflexe, lire les autorisations que l’appli demande disponibles sur le Play Store. L’appli dispose des autorisations suivantes :
Mobile
read phone status and identity
Lieu
approximate location (network-based)
precise location (GPS and network-based)
Caméra
take pictures and videos
Stockage
read the contents of your USB storage
modify or delete the contents of your USB storage
Micro
record audio
ID de l’appareil et informations relatives aux appels
read phone status and identity
Photos/Contenus multimédias/Fichiers
read the contents of your USB storage
modify or delete the contents of your USB storage
Autre
receive data from Internet
prevent device from sleeping
control flashlight
view network connections
run at startup
full network access
change your audio settings
control vibration
Qu’en dit Exodus Privacy ?
Hmm… 18 permissions indiquées sur le Play Store, on passe à 28. Le fichier AndroidManifest.xml indique bien 28 permissions.
Les pisteurs repérés par Exodus Privacy sont Google Firebase et Google AdMob. Un petit tour sur le site de ce dernier a de quoi soulever quelques interrogations :
Vous consacrez beaucoup d’énergie à vos applis. AdMob vous permet de les monétiser facilement grâce à des annonces diffusées dans l’application, des informations clés exploitables, et des outils performants et faciles à utiliser qui les améliorent.
https://admob.google.com/intl/fr/home/
Regardons sous le capot avec Charles Proxy
Charles Proxy est un outil qui permet d’analyser le trafic HTTP et HTTPS entre un appareil et Internet. Cela inclut également les requêtes, les réponses et les en-têtes HTTP.
Afin de limiter les risques de sécurité les applications intègrent de plus en plus des dispositifs pour éviter que des attaquants ne captent le trafic et ne parviennent à exploiter des failles de sécurité sur les serveurs contactés par l’application. Un de ces dispositif est le SSL spinning.
Le principe est le suivant : l’application n’accepte de se connecter et d’échanger qu’au serveur ayant un certificat spécifique
N’ayant pas voulu contourner cette mesure dans le cadre de mon test, les observations que je peux faire sur Ma Bibli sont donc à relativiser car elles ne traduisent pas une analyse profonde et exhaustive de l’appli. Toutefois, on peut reconnaître le soin pris par le prestataire pour protéger l’appli.
Au lancement de l’application Ma Bibli, plusieurs communications avec des services tiers s’exécutent. L’appli sollicite des services de Google et évidemment ceux du prestataire :
Maps.googleapis.com > permet de géolocaliser l’utilisateur et de lui indiquer une liste de bibliothèques disponibles en fonction de sa position géographique.
L’appli communique avec les serveurs du prestataire où sont stockés les contenus de l’appli. (C’est ce qui apparaît barré. J’ai volontairement caché les urls qui renvoient vers les serveurs du prestataire.)
J’ai également identifié une requête vers https://people-pa.googleapis.com que je ne connais pas. En lisant la documentation consacrée à cette API fournie par Google, j’en déduis que c’est une API qui permet d’accéder à la liste des contacts une fois qu’un utilisateur authentifié à donner son accord.
En se connectant à son compte adhérent
Une fois qu’on s’authentifie sur l’appli en saisissant son login et son mot de passe, des requêtes sont exécutées mais qui sont tout à fait légitimes. Il s’agit d’une requête vers le SIGB, comme quand un usager se connecte à son compte depuis le site de la bibliothèque. Une autre est effectuée vers l’outil d’analyse de l’audience de l’appli. Il s’agit en l’occurrence de Google Analytics. Enfin, une autre requête est exécutée vers une autre API de Google intitulée Safe Browsing Api https://developers.google.com/safe-browsing/v4/ Cette API est fournie pour se prémunir contre le phishing ou les malwares.
Puisque l’appli mobile est une reproduction du site web, on retrouve aussi des requêtes vers des services nécessaires à la fourniture des couvertures des documents. Dans le cadre de mon test, j’ai donc constaté une requête vers une API mise à disposition par les fournisseurs ORB, GAM Annecy, Amazon. ou encore CVS. Cependant, j’ai repéré une requête vers images.amazon.com que je n’arrive pas à expliquer. En analysant plus en détails, je constate qu’il s’agit d’une image d’un pixel (1×1) communément appelé pixel espion.
Un pixel espion (aussi appelé pixel 1×1 ou balise pixel, en anglais tracking pixel) est un graphique mesurant 1x1px. Ce graphique est téléchargé pendant qu’un utilisateur visite un site Web ou ouvre un e-mail. Il est utilisé pour suivre les activités d’un utilisateur sur le Web. Un pixel espion peut aussi être utilisé par les annonceurs pour acquérir des données statistiques pour le marketing digital, l’analyse web ou le marketing e-mail. Ces informations peuvent être aussi utilisées à des fins plus spécifiques notamment via l’analyse des logfiles ou encore à pour des actions de retargeting.
https://fr.ryte.com/wiki/Pixel_espion
Pour conclure, les conditions générales d’utilisation de l’application sont fidèles à ce qu’elles déclarent. Il n’y a pas d’usages illégitimes effectués par l’application. J’ai toutefois une réserve sur la présence d’une requête vers stats.g.doubleclick.net. Pour pouvoir en savoir plus et connaître précisément le contenu de la requête, il faudrait procéder à de la rétro-ingénierie pour décompiler l’application et voir ce qu’elle a sous le capot. L’application n’étant pas open source, la licence n’autorise certainement pas ce procédé. Enfin, Exodus Privacy recense deux traqueurs : Google Firebase (matérialisé par la requête app-measurement.com dans la capture d’écran) et ADMob, cependant je n’ai pas vu de requêtes confirmant la présence de ce dernier.
Connexion
