Adobe a publié hier soir de nouvelles applications pour iOS, dont l’objectif est d’étoffer l’offre Creative Cloud. Mais alors que l’éditeur avait toutes les raisons de se réjouir de ces nouveaux produits et de la valorisation de son offre, le voilà pris dans la tourmente : son logiciel Digital Editions est particulièrement bavard, envoyant de nombreuses informations en clair aux serveurs de l’entreprise.
De nouvelles applications iOS pour enrichir le Creative Cloud
Adobe a donc ouvert le bal hier pour plusieurs nouvelles applications mobiles destinées à iOS. On trouve ainsi Premiere Clip, qui se veut aussi bien autonome qu’un compagnon pour Premiere CC. L’application sert surtout à assembler des photos et des vidéos pour créer un montage que l’on pourra accompagner d’inévitables effets de transition, de filtres de couleurs et ainsi de suite. En tant que compagnon, elle permet de commencer un projet à partir de sources mobiles par exemple, de synchroniser l’ensemble sur le Creative Cloud puis de reprendre la suite sur Premiere CC.
Brush CC a de son côté pour objectif de permettre, à partir d’une photo prise depuis l’appareil, de récupérer un équivalent sous forme de dessin. Là encore, le résultat pourra être synchronisé avec le Creative Cloud pour être repris par exemple dans Photoshop. Shape CC fonctionne sur le même modèle, mais pour obtenir un dessin vectoriel.
L’éditeur a également mis à jour un certain nombre des composants de la suite CC, mais ces nouvelles ont été rapidement éclipsées par une polémique.
Digital Editions, un logiciel très bavard
Adobe propose un logiciel conçu pour récupérer et gérer l’ensemble des livres électroniques, PDF et autres documents. Digital Editions sert à la fois de liseuse, avec les fonctionnalités qu’on peut en attendre, ainsi que d’interface de classement. Spécialisé dans la gestion des droits numériques, il permet également à des librairies et des bibliothèques de savoir qui a emprunté quoi par exemple.
Or, Digital Editions communique un très grand nombre d’informations aux serveurs d’Adobe. C’est la découverte du site The Digital Reader, confirmée ensuite par Ars Technica. La solution d’Adobe a été diffusée comme une structure idéale permettant la location de livres électroniques dans les bibliothèques. Le client repart ainsi chez lui et c’est le système de DRM en place qui permet de gérer les droits sur la location. Elle est donc très répandue et le souci est de taille.
Identifiant utilisateur, pages lues, position géographique...
Les informations envoyées sont très nombreuses : l’USER ID, le Device ID, le Certified App ID (qui autorise Digital Editions à ouvrir des documents protégés par des DRM), l’adresse IP de l’appareil, le temps durant lequel le livre électronique a été lu ou encore le pourcentage de lecture dudit livre et même la position géographique de l'utilisateur. Il est évident que ces informations sont utilisées par Adobe pour parfaire son produit et obtenir de précieuses statistiques.
Seulement voilà, le problème se rapproche de l’enregistrement des frappes au clavier dans la Technical Preview de Windows 10, mais dans une forme plus grave. La licence de Digital Editions indique bien que des informations seront envoyées, mais sans dire lesquels. Mais surtout, non seulement l’application ne demande aucune autorisation à l’utilisateur pour le faire, mais les données envoyées sont également transmises en clair. Conséquence : Adobe peut très bien connaître vos habitudes de lecture, comme n’importe qui relié au même réseau.
Adobe répond de manière très vague, mais promet un correctif
L’information fait d’autant plus scandale aux États-Unis qu’une loi existe, comme le rappelle l’Electronic Frontier Foundation, pour protéger ce type d’informations au sein des bibliothèques et des librairies, le Reader Privacy Act de 2011. De fait, Adobe a réagi assez rapidement : « Toutes les informations collectées ne le sont que dans des buts de validation de licence et de facilitation d’implémentation des différents modèles de licences par les éditeurs. De plus, les informations ne sont collectées que sur l’eBook en cours de lecture, et pas sur les autres présents dans la bibliothèque de l’utilisateur. La vie privée est très importante pour Adobe, et toutes les données collectées par Digital Editions sont conformes au CLUF et à la politique de vie privée d’Adobe ».
Mais cette réponse fait poser plus de questions qu’elle ne donne de réponse. D’une part, si l’on peut comprendre qu’Adobe ait besoin de valider les licences pour contrôler les droits numériques, on se demande en quoi certaines informations, telles que les pages parcourues et l’ordre dans lequel elles ont été lues, peuvent être utiles à ce mécanisme. D’autre part, parler du livre en cours de lecture ne change pas grand-chose : si l’utilisateur dispose d’autres ouvrages, c’est certainement pour les lire également plus tard. Par ailleurs, la collecte a beau être conforme au CLUF et à la politique interne sur le sujet, cela n’est en rien une justification. Enfin, il est difficile d’insister sur l’importance de la vie privée quand les transferts d’informations se font en clair.
Et l’éditeur est bien conscient que le sujet n’est guère défendable. Dans une réponse donnée à Ars Technica par un porte-parole, Adobe indique qu’une mise à jour est en cours de développement pour « corriger le problème ». Souci : l’entreprise ne dit pas de quelle manière elle compte régler la situation. Y aura-t-il un tri dans les informations réellement pertinentes ? L’utilisateur devra-t-il donner son accord ? Les communications seront-elles intégralement chiffrées ?
Adobe a indiqué qu’elle ferait savoir quand la mise à jour serait prête.
