Mercredi 22 décembre 2010
J’étais très enthousiaste après l’annonciation du projet Diaspora il y a huit mois environ — et encore plus quand ses inventeurs avaient collecté 200 000 dollars au bout de quelques semaines : Enfin le Web social deviendra un système décentralisé ! pensais-je. Voilà mes rêves du Web 3.0 prèts à se réaliser !
Le 15 septembre, la première version alpha du logiciel fut diffusée. Je n’ai encore pas trouvé le temps de l’essayer moi-même mais une chose m’est devenu claire très rapidement : les developpeurs avaient complètement raté leur objectif de construire un Facebook plus sécurisé et effectivement capable de préserver la vie privée de ses utilisateurs au degré désiré par ceux-ci. Loin de là — dans les sept jours suivant la diffusion, des experts avaient déjà trouvé une multitude de graves problèmes qui montrent clairement que les développeurs ont ignoré plusieurs règles qui sont absolument indispensables pour le développement de services web fondés sur des données dignes de protection. Bien sûr, on peut toujours ‹ ajouter › des mesures de protection à un système existant, mais c’est bien plus difficile que d’y penser et de les mettre en place dès le départ. D’autant plus quand le système contient des gaffes assez graves pour permettre à n’importe qui de prendre contrôle du compte de n’importe qui !
Manque de support
Heureusement les développeurs ont réussi à supprimer les plus grosses bévue avant de diffuser la deuxième version alpha vers la fin du mois de novembre. Ils n’ont cependant pas du tout supprimé mes doutes concernant le succès imminent de leur projet. Voici un petit exemple :
Si vous avez fait l’expérience de taper ‹ joindiaspora.com › dans une barre d’adresse de Microsoft Internet Explorer quelques jours après cette diffusion, le résultat aura probablement ressemblé à ceci : une page entièrement blanche entre une indication disant ‹ Diaspora doesn’t support you… › (en haut) et une information que l’affichage est actuellement limité aux contenus sécurisés (en bas).
Pour comprendre ce qui s’était passé, il est utile de regarder de plus près puis de connaître les principes du cryptage SSL : Le logiciel Diaspora analyse chaque requête et la classe avant tout selon les catégories ‹ bon navigateur › et ‹ méchant navigateur ›. Dans ce contexte, les navigateurs ‹ méchants › sont ceux que les développeurs n’aiment pas, c’est à dire Internet Explorer de Microsoft. Au lieu d’obtenir la page demandée, les utilisateurs de ceux-ci sont renvoyés vers une annonce de Google Chrome Frame — un logiciel qui pour ainsi dire implante Google Chrome dans l’interface de Internet Explorer — sous le titre « Diaspora doesn’t support your browser » (« Diaspora ne supporte pas votre navigateur ») qui est trop long pour rentrer dans le petit onglet prévu, de sorte que le navigateur l’abrège automatiquement après le mot ‹ you ›, donc le résultat plutôt malpoli. De plus, il semble que les développeurs de Diaspora ont complètement oublié d’essayer leur ouvrage dans Internet Explorer : Puisque le système utilise le cryptage SSL pour toutes les pages transférées (pour protéger la vie privée des utilisateurs, voir plus haut), Internet Explorer passe automatiquement en mode sécurisé, bloquant tout contenu non crypté (encore pour protéger la vie privée des utilisateurs) jusqu’à ce que l’utilisateur décide de désactiver cette protection. Si les développeurs avaient simplement choisi la version SSL de Chrome Frame ils auraient évité ce problème dès le début.
Mais assumons donc qu’un utilisateur d’Internet Explorer aurait cliqué sur le bouton ‹ Show all content › (ou bien supprimé cette protection dans les réglages du navigateur). La prochaine chose sur son écran aura donc été une merveilleuse réclame pour Google Chrome — et aucune information au sujet de Diaspora. Dans une situation semblable, aurez-vous plutôt installé un logiciel supplémentaire dans votre navigateur pour pouvoir utiliser Diaspora ou plutôt simplement décide d’abandonner cette connerie ?
On peut bien sûr penser que le monde serait bien mieux sans les huit versions de ce drôle de logiciel que Microsoft a diffusées dans les derniers 15 ans, rendant la vie de ceux qui construisent des sites Web nettement plus dure (et aidant les arnaqueurs à distribuer leurs logiciels malveillants grâce à son modèle de sécurité fondamentalement raté). Or :
- Quand on développe un système dont le succès dépend entièrement d’achever un très grand nombre des utilisateurs, il est complètement hors question d’exclure tous ceux qui utilisent Internet Explorer (soit volontairement, soit involontairement, soit parce que ça ne les intéresse pas).
- Je parle de « huit versions » puisque la version 9 qui se trouve actuellement en béta ressemble enfin à un navigateur assez décent, bien comparable à Mozilla Firefox. Il semble que les créateurs de Diaspora ont entendu tellement peu du progrès des derniers mois qu’ils n’ont même pas pensé à faire une exception pour Internet Explorer 9.
- Cela va sans dire que la gaffe SSL est absolument inadmissible.
Manque d’idées
En plus de l’ignorance par rapport aux principes fondamentaux de la sécurité informatique et aux utilisateurs ‹ ordinaires ›, il y a encore une autre raison pour laquelle je ne crois pas que Diaspora sera un grand succès : Il n’y a pas de nouvelles idées dans ce système, rien de neuf par rapport à Facebook et Myspace — comme le dit un ami, « Diaspora est comme KDE : l’imitation d’un produit commercial en logiciel libre sans une propre vision. » Ses créateurs n’ont même pas essayé d’appliquer le principe des abonnements asymmétriques (qui fonctionnent très bien sur Flickr et Twitter) à un réseau social ‹ classique ›. La fonction ‹ j’aime › de Facebook ressemble déjà un peu mais n’est pas applicable sur les profils d’utilisateurs. (Le blogueur allemand Michael »mspro« Seemann a écrit il y a quelques semaines pourquoi cela serait si important.)