Au cours du week-end du 4 juillet, plusieurs organes de presse open source ont commencé à avertir les lecteurs que la populaire application d’édition audio open source Audacity est désormais un “logiciel espion”.
Ce serait très alarmant si c’était vrai – il n’y a pas de successeurs ou d’alternatives évidents qui répondent aux mêmes cas d’utilisation. Audacity est gratuit et open source, relativement facile à utiliser, multiplateforme et parfaitement adapté aux tâches simples de « prosommateur » comme l’édition d’audio brut en podcasts finis.
Cependant, la négativité semble être à la fois massivement exagérée et assez tardive. Bien que l’équipe ait annoncé qu’Audacity commencera à collecter des données télémétriques, sa portée n’est ni trop large ni agressive dans la façon dont elle acquiert les données – et la majorité des problèmes réels ont été résolus il y a deux mois, à l’apparente satisfaction de la communauté Audacity actuelle.
Le site de technologie personnelle axé sur les logiciels libres, SlashGear, déclare que bien qu’Audacity soit gratuit et open source, le nouveau propriétaire Muse Group peut “faire des changements assez dommageables”, ce qui signifie en particulier sa nouvelle politique de confidentialité et ses fonctionnalités de télémétrie, décrites comme “globales et vagues”. FOSSPost va encore plus loin, titrant « Audacity est désormais un logiciel espion possible, supprimez-le dès que possible.
La source de préoccupation des deux sites est la politique de confidentialité initiée par le nouveau propriétaire d’Audacity, Muse Group, qui a déjà publié l’outil de notation musicale open source MuseScore. La politique de confidentialité, qui a été mise à jour pour la dernière fois le 2 juillet, décrit les données que l’application peut collecter :
Nom et version du système d’exploitationPays de l’utilisateur (géolocalisé par adresse IP publique)CPUNCodes et messages d’erreur non fatals (par exemple, le fichier de projet n’a pas pu s’ouvrir)Rapports d’erreur au format Breakpad MiniDumpAnalyse d’applicationAmélioration de l’applicationDonnées nécessaires pour l’application de la loi, les litiges et les demandes des autorités (le cas échéant )Pour l’application de la loi
Les données personnelles collectées, comme indiqué dans les cinq premiers points, ne sont pas particulièrement générales. En fait, elles sont assez similaires aux données collectées décrites dans la propre politique de confidentialité de FOSSPost : adresse IP, agent utilisateur du navigateur, « certains autres cookies que votre navigateur peut fournissez-nous” et (au moyen de WordPress et Google Analytics) “votre situation géographique, les cookies des autres sites Web que vous avez visités ou toute autre information que votre navigateur peut fournir à votre sujet”.
Il ne reste que la dernière ligne : « données nécessaires à l’application de la loi, aux litiges et aux demandes des autorités (le cas échéant) ». Bien que ce soit certainement une catégorie large et pas particulièrement bien définie, c’est aussi une réalité de la vie en 2021. Qu’une politique de confidentialité le dise ou non, il y a de bonnes chances qu’une entreprise donnée se conforme aux demandes légitimes des forces de l’ordre. Si ce n’est pas le cas, ce ne sera probablement pas une entreprise pour longtemps.
Le dernier grain de sel dans la plaie est une ligne indiquant qu’Audacity n’est “pas destiné aux personnes de moins de 13 ans” et demandant aux personnes de moins de 13 ans “veuillez ne pas utiliser l’application”. Il s’agit d’un effort pour éviter la complexité et les dépenses supplémentaires liées au traitement des lois réglementant la collecte de données personnelles auprès des enfants.
La première chose à souligner est que ni la politique de confidentialité ni la télémétrie intégrée à l’application en question ne sont encore en vigueur – les deux visent une prochaine version 3.0.3, tandis que la version la plus récente disponible est la 3.0.2. Pour l’instant, cela signifie qu’il y aTout à faitnul besoin de paniquer à propos de la version d’Audacity actuellement installée.
La nouvelle politique de confidentialité a été soumise pour la première fois en tant que pull request le 4 mai. Dans cette version originale, la politique indiquait qu’Audacity utiliserait libcurl pour transporter la télémétrie et que Google Analytics suivrait les éléments suivants :
Erreurs de début et de fin de session, y compris les erreurs du moteur sqlite3, car nous devons déboguer les problèmes de corruption signalés sur le forum Audacity Utilisation d’effets, de générateurs de sons, d’outils d’analyse, afin que nous puissions prioriser les améliorations futures
La version originale du PR de télémétrie indiquait ensuite que l’identification de la session se faisait via un UUID, généré et stocké sur la machine cliente, et que Yandex Metrica serait utilisé pour estimer les utilisateurs actifs quotidiens. Enfin, il précise que « la collecte de télémétrie est facultative et configurable à tout moment » et que «[if] le partage de données est désactivé – tous les appels aux fonctions de rapport de télémétrie sont inopérants.”
Il s’agit d’une télémétrie d’application moderne assez standard, du type de celle que même d’autres applications open source, telles que Mozilla Firefox, incluent. Le plus gros problème avec cette déclaration de télémétrie d’origine est qu’elle implique une collecte de données d’opt-out plutôt que d’opt-in ; bien qu’il soit intéressant de noter que même la télémétrie de Firefox est actuellement désactivée.
Malgré le fait que le PR d’origine était assez simple, les utilisateurs open source ont tendance à être des passionnés de la confidentialité extraordinaires. Il y a eu un retour immédiat, auquel le développeur d’Audacity, crsib, a répondu officiellement trois jours plus tard, le 7 mai, en mettant à jour le PR d’origine.
La mise à jour du 7 mai indique que « la télémétrie eststrictement facultatif et désactivé par défaut” (accent sur crsib), que la télémétrie ne fonctionne que dans les versions faites par GitHub CI à partir du référentiel officiel, et que toute personne compilant Audacity à partir de la source se verra attribuer une option CMake pour activer le code de télémétrie – mais que l’option, et donc la construction de la télémétrie fonctions, seraitdésactivé par défaut.
Cette mise à jour trois jours plus tard d’une politique de télémétrie encore provisoire a supprimé le seul point d’achoppement raisonnable : si les données des utilisateurs pouvaient être collectées sans leur approbation spécifique. Non seulement l’opt-in de la collecte de données, les fonctions utilisées pour collecter ces données en premier lieu sont extrêmement faciles à supprimer, sont conçues pour être faciles à supprimer et sont en fait supprimées automatiquement pour toute personne créant elle-même le code source (ce qui inclurait les référentiels de distribution Linux).
L’intégralité de la demande de tirage a depuis été révoquée et remplacée par un nouveau PR # 889 destiné à clarifier tous les problèmes liés à la télémétrie. Le nouveau PR indique que « nous n’avons absolument aucun intérêt à collecter ou à vendre des données personnelles et Audacity sera toujours gratuit et open source », et ce document poursuit en notant que la réponse à la demande d’extraction d’origine « a fait prendre conscience à Muse que la commodité d’utiliser Yandex et Google est en contradiction avec la perception publique de la fiabilité, nous allons donc nous auto-héberger à la place. »
Bien que les médias axés sur les logiciels libres, notamment FOSSPost et Slashgear, aient rapporté négativement sur ce problème au cours du week-end de vacances, les contributeurs et les commentateurs actifs sur le Github du projet semblent avoir été largement satisfaits par la mise à jour du 13 mai, qui a déclaré que Muse Group s’auto-hébergerait ses sessions de télémétrie plutôt que d’utiliser des bibliothèques et un hébergement tiers.
Le même jour où la deuxième demande d’extraction a été mise en ligne, l’utilisateur de Github Megaf a déclaré : “C’est bien. Tant que les données ne seront pas [third party tech giants] nous devrions être heureux. Collectez les données dont vous avez vraiment besoin, auto-hébergez-les, rendez-les privées, activez-les et nous vous aiderons. » C’est un petit échantillon, mais le sentiment semble largement soutenu, avec 66 réactions positives et 12 réactions négatives.
La réaction au commentaire de Megaf reflète la réaction des utilisateurs à la demande de tirage mise à jour elle-même, qui compte actuellement 606 réactions positives et 29 réactions explicitement négatives, une nette amélioration par rapport aux 4 039 réactions explicitement négatives de la demande de tirage originale et seulement 300 réactions positives.
Nous pensons que la communauté d’utilisateurs a bien compris : Muse Group semble prendre très au sérieux les préoccupations de la communauté en matière de confidentialité, et ses politiques actuelles, telles qu’elles sont énoncées, semblent raisonnables.
Image de la liste par Catherine Falls Commercial via Getty Images / Jim Salter