Dakarinfo

Obtenez toutes les dernières nouvelles et rapports sur la FRANCE ici Manchettes, politique et culture françaises sur la chaîne d'information

Non, l’éditeur audio open source d’Audacity n’est pas un « spyware »

Familier de nombreux podcasteurs à domicile.
Zoom / Familier de nombreux podcasteurs à domicile.

Jim Salter

Pendant le week-end du 4 juillet, beaucoup Les médias open source ont commencé Avertissement Les lecteurs que la célèbre application d’édition audio open source Audacieux C’est maintenant un « logiciel espion ».

Ce serait très troublant si c’était vrai – il n’y a pas d’alternatives claires ou de successeurs qui répondent aux mêmes cas d’utilisation. Audacity est gratuit et open source, relativement facile à utiliser, multiplateforme et parfaitement adapté aux tâches « grand public » simples telles que l’édition d’audio brut en podcasts finis.

Cependant, la négativité semble être grandement exagérée et trop tardive. Bien que l’équipe ait annoncé qu’Audacity commencerait à collecter des données télémétriques, sa manière d’acquérir des données n’est ni trop large ni trop agressive – et la majorité des problèmes réels ont été résolus il y a quelques mois, à l’apparente satisfaction de la communauté Audacity actuelle.

Réclamations

SlashGear est un site technologique personnel axé sur les logiciels libres et open source Annoncer Bien qu’Audacity soit gratuit et open source, le nouveau propriétaire Muse Group peut « apporter des changements très perturbateurs » – ce qui signifie en particulier les nouvelles fonctionnalités de politique de confidentialité et de télémétrie, qui sont décrites comme « complètes et vagues ». FOSSPost monte En outreTitre : « Audacity est maintenant un logiciel espion potentiel, supprimez-le dès que possible. »

La source de préoccupation des deux sites est la politique de confidentialité initiée par le nouveau propriétaire d’Audacity, Muse Group, qui a déjà déployé un outil de blog musical open source. partition musicale. La politique de confidentialité, mise à jour pour la dernière fois le 2 juillet, définit les données que l’application peut collecter :

Collecte de données personnelles pourquoi le collectionner Bases légales du traitement
  • Nom et version du système d’exploitation
  • Pays de l’utilisateur (géo-spécifique par adresse IP publique)
  • CPU
  • Codes et messages d’erreur non fatals (par exemple, échec d’ouverture du fichier de projet)
  • Rapports de plantage au format Breakpad MiniDump
  • Analyse des applications
  • Optimisation des applications
L’intérêt légitime du groupe WSM à présenter et à assurer le bon déroulement de la candidature
  • Données nécessaires à l’application de la loi, aux litiges et aux demandes des autorités (le cas échéant)
L’intérêt légitime du groupe WSM à défendre ses droits et intérêts légaux

Les données personnelles collectées comme décrit dans les cinq premiers points ne sont pas particulièrement étendues – en fait, elles sont assez similaires aux données agrégées décrites dans FOSSPost privé. politique privée: adresse IP, agent utilisateur du navigateur, « certains autres cookies que votre navigateur peut nous fournir » et (par WordPress et Google Analytics) « votre situation géographique, les cookies des autres sites Web que vous avez visités ou toute autre information que votre navigateur peut fournir à votre sujet ».

Cela laisse la dernière ligne – « Données nécessaires à l’application de la loi, aux litiges et aux demandes des autorités (le cas échéant) ». Bien qu’il s’agisse certainement d’une catégorie large et mal définie, c’est également une réalité de la vie en 2021. Que la politique de confidentialité le dise ou non, il y a de bonnes chances qu’une entreprise en particulier se conforme aux demandes légitimes des forces de l’ordre. Si ce n’est pas le cas, ce ne sera probablement pas une entreprise pour longtemps.

Le dernier grain de sel dans la plaie est une ligne qui indique qu’Audacity n’est « pas destiné aux personnes de moins de 13 ans » et demande aux personnes de moins de 13 ans de « veuillez ne pas utiliser l’application ». Il s’agit d’une tentative d’éviter la complexité et les coûts supplémentaires liés au traitement des lois réglementant la collecte de données personnelles auprès d’enfants.

Choses abandonnées

La première chose à souligner est que ni la politique de confidentialité ni le suivi à distance dans l’application en question ne sont encore en vigueur – ils ciblent tous les deux la prochaine version 3.0.3, tandis que la dernière version disponible est la 3.0.2. Pour le moment, cela signifie qu’il y a du tout Personne n’a besoin de paniquer à propos de la version d’Audacity actuellement installée.

La nouvelle politique de confidentialité a été la première Soumis En demande de retrait le 4 mai. Dans cette version originale, la politique indiquait qu’Audacity l’utiliserait libcurl Pour transmettre le suivi à distance et que Google Analytics suivra les éléments suivants :

  • Début et fin de séance
  • Bugs, y compris les bugs du moteur sqlite3, où nous devons déboguer les problèmes de corruption signalés sur le forum Audacity
  • Utiliser des effets, des générateurs de sons et des outils d’analyse, afin que nous puissions prioriser les améliorations futures
  • Utiliser des formats de fichiers pour l’importation et l’exportation
  • Versions OS et Audacity

Dans la version originale de la télémétrie PR, l’identification de la session se faisait via un UUID, généré par et stocké sur l’appareil client, et Yandex Metrica seront utilisés pour estimer les utilisateurs actifs quotidiens. Enfin, il précise que « la suite de télémétrie est optionnelle et configurable à tout moment » et que «[if] Partage de données désactivé – Tous les appels aux fonctions de rapport de télémétrie ne sont pas valides. « 

Il s’agit d’une application de télémétrie standard moderne, du type utilisé par d’autres applications open source – telles que Mozilla Firefox –inclus. Le plus gros problème avec le manifeste de télémétrie d’origine est qu’il inclut la désactivation plutôt que la collecte de télé-données ; Bien qu’il soit intéressant de noter que même la télémétrie Firefox est actuellement effectuée Retirer.

Malgré le fait que le PR d’origine était plutôt sympa, les utilisateurs d’open source ont tendance à être d’extraordinaires experts en matière de confidentialité. Il y a eu une opposition immédiate – à laquelle le développeur Audacity a officiellement répondu trois jours plus tard, le 7 mai, avec une mise à jour originale des relations publiques.

La mise à jour du 7 mai indique que « la télémétrie est Strictement facultatif et désactivé par défaut(accent mis sur crsib), cette télémétrie ne fonctionne que dans les versions générées par GitHub CI du référentiel officiel, et que toute personne qui compile Audacity à partir de la source se verra attribuer l’option CMake pour activer le code de télémétrie – mais cette option, et donc créer des travaux de télémétrie, sera éteindre Par défaut.

Cette mise à jour trois jours plus tard de la politique de télémétrie temporaire a supprimé le seul point d’achoppement raisonnable : si les données des utilisateurs pouvaient être collectées sans leur propre consentement. Non seulement il s’agit de collecter des données, mais la fonctionnalité utilisée pour collecter ces données en premier lieu est très facile à supprimer, conçue pour être facile à supprimer, et en fait supprimée automatiquement pour quiconque crée le code source lui-même (ce qui inclure les référentiels de distribution Linux).

La demande de tirage a depuis été complètement annulée, remplacée par un nouveau PR #889 Il vise à clarifier toutes les questions liées à la télémétrie. Le nouveau document de relations publiques indique que « nous n’avons absolument aucun intérêt à collecter ou à vendre des données personnelles et Audacity sera toujours gratuit et open source », et ce document poursuit en notant que répondre à la demande d’extraction d’origine « a fait prendre conscience à Muse que la commodité d’utiliser Yandex et Google serait en conflit avec la perception du public de la fiabilité, nous allons donc nous héberger à la place.

réponse de la communauté

Bien que les médias axés sur les FOS, y compris FOSSPost et Slashgear, aient rapporté négativement sur la question au cours du week-end, les contributeurs et les commentateurs actifs sur le Github du projet semblent largement satisfaits de la mise à jour du 13 mai, qui a annoncé que Muse Group s’hébergeait. Sessions de télémétrie au lieu d’utiliser des bibliothèques et un hébergement tiers.

Le même jour, la deuxième pull request a été lancée, l’utilisateur de Github Megaf Il a dit, « Bon truc. Tant que les données ne seront pas [third party tech giants] Nous devons être heureux. Rassemblez les données dont vous avez vraiment besoin, hébergez-les vous-même, rendez-les privées, faites-lui participer et nous vous aiderons. « C’est un petit échantillon, mais le sentiment semble être largement soutenu, avec 66 réactions positives et 12 réactions négatives.

La réaction au commentaire de Megaf reflète la réaction de l’utilisateur à la demande de tirage mise à jour elle-même, qui compte actuellement 606 réactions positives et 29 réactions négatives expresses – une nette amélioration par rapport à la demande de retrait initiale de 4 039 réactions négatives expresses et seulement 300 réactions positives.

Nous pensons que la communauté des utilisateurs a raison – le groupe Muse semble prendre au sérieux les préoccupations de la communauté en matière de confidentialité et leurs politiques réelles, telles qu’elles sont énoncées, semblent raisonnables.

Liste des images par Publicité de Katherine Falls via Getty Images / Jim Salter