Automattic is watching you

Cyril Glapa en a parlé récemment alors que je préparais ce billet / qu’il moisissait dans mes brouillons : Gravatar, sauf que je n’aime pas les tares. Je crois pouvoir affirmer, sans trop d’erreur, que nous avons tout les deux commencé la réflexion à ce moment sur identi.ca :

cglapa Si on considère que « si une société offre un service, c’est que le produit qu’elle cherche à vendre, c’est vous », que peut vendre #Gravatar ?

postblue @cglapa Adresses mail, annuaire des services utilisés, possibilité d’indexer les commentaires faits donc profiler en fonction des blogs lus.

cglapa @postblue C’est pas faux. Surtout si on concatène #WP (qui intègre #Gravatar par défaut) et #Askimet… Trust or not trust #Automattic ?


Sauf que pour moi, en dehors de l’aspect technique ou le point fait sur Gravatar dans son billet, Cyril n’étend pas assez aux autres sphères d’Automattic. Plantons le décor ; les produits d’Automattic sont, selon Wikipédia :

  • After the Deadline – online proofreading tool
  • Akismet – anti-comment spam system capable of integration with many blogging platforms and forums
  • bbPress – forum software
  • blo.gs – RSS feed aggregator
  • BuddyPress – social networking plugin suite
  • Ping-O-Matic – pinging service
  • GlotPress – collaborative translation tool
  • Gravatar – globally recognized avatars
  • IntenseDebate – commenting tools
  • PollDaddy – polls and survey tools
  • WordCamp – series of conferences for WordPress users
  • WordPress.com VIP – enterprise services for WordPress websites
  • VaultPress – backup and security service for WordPress sites
  • VideoPress – hosted HD video for WordPress sites
Comme le soulevait Cyril, l’étendue de cette société au panthéon du blogging est dangereuse en cas de concaténation des données qui transitent via leurs services. De sorte que, qu’importe où l’on se place, pour peu qu’on ne fasse pas attention, il est possible d’établir un profil plus ou moins complet tant des lecteurs d’un blog, que de son auteur.

Automattic a pu se créer un univers complet, qui regroupe en son sein tout ce dont le bloggeur pourrait avoir besoin, avec des outils simples et performants. C’est cela justement qui est dangereux. Prenons plusieurs produits phares : Akismet, Gravatar et leur syncrétisme via WordPress.com.

Mais avant tout, j’aimerais extraire quelques informations des polices relatives à la vie privée (à lire, en anglais), qui éclaire relativement bien pourquoi je considère qu’il faut être méfiant :

We don’t store personal information on our servers unless required for the on-going operation of one of our services.
En somme, tout ce qui serait nécessaire à la bonne tenue de leur service sera conservé. Adresses email, informations de connexion, … C’est une perspective floue, rendant possible de valider finalement à peu près n’importe quelle information. Ce n’est hélas pas tout, lorsque l’on parle d’agrégation :
Automattic may collect statistics about the behavior of visitors to its websites. For instance, Automattic may monitor the most popular blogs on the WordPress.com site or use spam screened by the Akismet service to help identify spam. Automattic may display this information publicly or provide it to others.
Dès cet instant, les choses se mettent clairement en place : un compte WordPress.com est la voie royale au profiling. Sont agrégés vos blogs, les blogs que vous lisez, ceux où vous commentez – via IntenseDebate ou d’autres interfaces d’expression du lecteur ou, plus grave, via Gravatar et ce qu’importe le site que vous visitez.

D’ailleurs, pour Gravatar :

Because of how our system works, we cannot delete accounts completely.
Impossible de vous désinscrire, cela est plutôt clair… Et complètement fumeux : la contrainte technique est souvent un argument faux.

Que ce soit en faisant des votes, des commentaires, du spam, en utilisant « bêtement » un avatar, … Je crois qu’il faut étendre ces deux paragraphes de Cyril :

N’oublions pas non plus la possibilité de tracker tous les utilisateurs postant des commentaires sur une majorité de blogs. En effet, en postant un commentaire, Gravatar reçoit un identifiant unique de votre adresse mail et peut ainsi obtenir des informations sur les blogs que vous commentez.

De plus, les images des avatars étant stockés sur les serveurs d’Automattic, celui-ci peut également récupérer des infos en provenance des visiteurs de blogs, même ceux qui ne commentent pas, lorsque l’ordinateur du visiteur chargera les images en provenance des serveurs de Gravatar.


À toutes les sphères d’Automattic. Sans restriction, c’est un clapier dont il est relativement difficile de s’extraire – mais une plateforme puissante, avec une forte communauté. D’ailleurs, j’aimerais souligner l’existence du Jetpack, sorte de boite à outils pour ceux qui roulent leur propre blog sur leur serveur, mais à qui être la proie du datamining manque.

Pour l’instant je tourne sous WordPress. En connaissance de cause, j’ai désactive nombre de fonctionnalités pour protéger mes lecteurs et moi-même. Le système n’est pas parfait et, je le crains, je crois que je passerai bientôt à une autre plateforme. En gardant un œil bienveillant vers des alternatives comme Libravatar.