jeudi, juin 08, 2006

Google Browser Sync = notre futur coffre-fort (virtuel) ?

[09.06 2006: Correction du lien sur le billet de E. Felten]

Le blog de Google annonce juste maintenant une nouveauté appelée Google Browser Sync qui, même si elle techniquement relativement simple, marque un pas en avant très important.

L'innovation est la suivante: une extension pour Firefox qui permet de remonter vers Google l'ensemble de ses URLs et des userids/passwords pour les sites protégés afin ensuite de pouvoir les réutiliser depuis n'importe quelle autre PC (disposant de la même extension)

La simplicité de l'idée en fait pour moi l'importance: il ne s'agit pas d'un standard hyper-structuré ou hyper-contraignant d'authentification unifiée demandant des années de négociations pour atteindre le consensus comme Liberty Alliance (supposé ouvert....) ou Microsoft Passport. C'est seulement un "petit morceau de code" sur le PC qui remonte ces informations vers un serveur central de Google.

Ce petit "morceau de code" n'a pas besoin de l'accord des grands ténors de l'informatique et du web pour vivre mais seulement de la confiance envers Google de l'utilisateur qui décide d'activer Google Browser Sync sur son PC.

Cet utilisateur transforme alors Google en son coffre-fort virtuel en lui donnant volontairement accès à des informations de sécurité (mots de passe) potentiellement très critiques. Après l'épisode Google Desktop, on entend déjà les prochaines protestations véhémentes de l'EFF!...

En effet, c'est effectivement en activant des services comme celui-ci que Google pourrait rendre vraies les prédictions de E. Felten sur la catastrophe sécuritaire imminente!

Le pas en avant est pour moi important: avec la "Base de Données des Intentions" dont il a partiellement rendu visible les résultats par Google Personal Trends, le moteur de recherche construisait nos profils "par l'extérieur" en nous observant.

Avec Browser Sync, il remonte maintenant "de l'intérieur" vers ses sites centraux des informations de première main sur nos intérêts à travers les URLs que nous stockons dans nos sites et pages favoris. La Privacy Policy de Google lui réserve très clairement le droit d'utiliser ces données pour du profiling.

Espérons que les utilisateurs qui vont activer ce service auront conscience de ceci et installerons Google Browser Sync en connaissance de cause! (moi, je vais attendre un peu ;-)

En tout cas, pour revenir au début de mon article, je considère cette nouvelle fonction comme plus innovante que le Google Spreadsheet d'hier qui ne faisait que ressembler à d'autres tableurs en ligne.

En effet, je ne connais pas d'autres services de centralisation de la configuration de son browser (incluant les codes d'accès) analogues à Google Browser Sync.

Est-ce une première? Merci de vos pointeurs dans le cas contraire.

13 commentaires:

Viper a dit…

Franchement... je ne trouve pas ca terrible du tout du tout...

limite dangeureux... Oki google en ce moment à l'air d'être Le sauveur de l'humanité essayant de détroner Micro$oft... mais bon, ca c'est une approche que je ne trouve pas très pertinente... on ne peut avoir aucun controle sur ce qui est fait de ces informations au final...

enfin bref... ca laisse un peu a désirer je trouve

d.durand a dit…

Bonjour Viper,

Je pense que sur le fond, nous nous rejoignons: j'ai écrit que c'était innovant. En aucun cas, cela veut dire qu'il n'y a aucun danger.

Ensuite, libre à chacun de prendre ou pas.

Mais, Browser Sync est quand même moins "me too" que les ajax spreadsheets déjà très nombreuses

cordialement

didier

Viper a dit…

Alors nous sommes tout a fait d'accord...

pour ma part, j'accorde pas mal d'importance justement à la liberté sur internet... et je trouve cette innovation de google "dangeureuse"

cela dit... je suis peut être trop critique en imaginant google avoir une mauvaise utilisation de ces données...

Et comme on me le rapelle souvent, il vaut mieux voir le bon des choses, que le mauvais...

Anonyme a dit…

J'ai lu "moi j'attendrai un peu", je pense que moi aussi.

Il faut dire que tout ceci est très alléchant mais j'ai des couples login/password qui sont d'ordre professionnel et que je ne peut pas partager.

Je pense que j'attendrai un peu plus que cette fonctionnalité fasse ses preuves avant même de l'essayer.

C'est vrai que c'est une attitude frileuse et quil faut reconnaitre que Google innove dans le bon sens.

d.durand a dit…

Bonjour,

Rester frileux n'est pas toujours une mauvaise idée...

didier

Sabin @ free.fr a dit…

Simple anecdote, veux ayant activé le filtre anti-phishing de la google toolbar envoyaient déjà en clair l'ensemble des URLs non-sécurisées sur lesquelles ils surfaient, la tendance de google est donc ancienne.

Sinon, je sais déjà ce vers quoi vont se rusher les hackers. Marre de tenter d'attaquer un IE/windows/outlook de plus en plus sécurisés ? Y'a plus simple, on va hacker cette extension de firefox, et récupérer la totalité des mots de passe des gens, cool.

Je propose une technologie révolutionnaire de gestion des mots de passe, ultra-sécurisée, incrackable : le gros post-it collé sur le bureau, sous le clavier.

techbee a dit…

Google-Matrix est en marche...De toute façon, nous ne pouvons plus effacer nos traces de l'internet. Plus jamais. Elles sont sur des milliers de serveurs qui les répliquent à l'infini. Alors, je regarde plutôt vers les toutes premières tentatives de certification de l'identité. Je me sers, à titre expérimental, d'un outil assez gadget mais donc le raisonnement est bon. C'est à vous de certifier ce qui est vous, sur Internet, et ce qui n'est pas vous. Cela s'appelle Claim ID, pour ceux qui veulent tester(http://claimid.com/login). Je fais un tour de Google avec mon nom (le vrai, pas techbee...)pour faire le tri, certifier ce que je reconnais comme "moi". Et je nie tout le reste.Il est clair que celui qui invente le véritas de l'identité sur Internet en ce moment est sur une bonne piste, très,très profitable....

d.durand a dit…

Bonjour Techbee,

d.durand a dit…

Bonjour Techbee,

Super intéressant ce ClainId que je ne connaissais pas.

Je vais l'étudier en détails et sûrement l'utiliser

merci

didier

techbee a dit…

Comment, vous ne me lisez donc pas?!:(. J'avais pourtant fait un billet percutant et judicieux en février dernier! Menfin!
http://techbee.wordpress.com/2006/02/27/forgez-votre-identite/
(pub)

d.durand a dit…

Bonjour Techbee,

Désolée, je ne connaissais pas votre blog. Mais vous venez de gagner un lecteur!

(si jamais vous voulez un "dialogue" par nos blogs respectifs interposés, il vous suffit de faire des liens. Avec Technorati, je le verrai de suite pour pouvoir répondre)

amicalement

didier

Delphine Dumont a dit…

Je pense quand même que le risque est vraiment important. Même en admettant que Google n'ait "que" des intentions marketing dans sa démarche, qui garantit que personne au sein de l'entreprise ne va utiliser frauduleusement les données ?

Et où seront stockées les données ? En ligne forcément ! Combien de temps faudra-t-il pour que des tout vilains pirates aillent y faire un tour ?

Ca peut être une solution intéressante pour stocker des URL "safe" mais pas plus.

Je vois plus d'intérêt dans une clé USB ou Bluetooth.

d.durand a dit…

Bonjour Delphine,

D'accord avec vous: le risque est élevé. C'est pour cela que je m'abstiens d'utiliser Browser Sync.

Je vois 2 risques autres que vous:
- les hackers qui pénétreraient chez Google
- une injonction des autorités pour leur livrer de telles données

l'USB est effectivement une bonne voie

cordialement

didier