Journal Nvidia espionne ses clients par défaut

Posté par  . Licence CC By‑SA.
Étiquettes :
61
8
nov.
2016

Sous prétexte d'aider à déboguer ses pilotes lors des crashs, Nvidia vient d'imposer – sans possibilité d'opt-out – l'installation de modules de télémétrie qui remontent automatiquement et régulièrement des informations personnelles à la société, à des fins commerciales.

Source Hardware.fr

  1. CONSENT TO COLLECTION AND USE OF INFORMATION

Customer hereby acknowledges that the SOFTWARE accesses and collects both non-personally identifiable information and personally identifiable information about Customer and CUSTOMER SYSTEM as well as configures CUSTOMER SYSTEM in order to

(a) properly optimize CUSTOMER SYSTEM for use with the SOFTWARE,
(b) deliver content through the SOFTWARE,
(c) improve NVIDIA products and services, and
(d) deliver marketing communications.

Information collected by the SOFTWARE includes, but is not limited to, CUSTOMER SYSTEM'S
(I) hardware configuration and ID,
(II) operating system and driver configuration,
(III) installed games and applications,
(IV) games and applications settings, performance, and usage data, and
(IV) usage metrics of the SOFTWARE.

To the extent that Customer uses the SOFTWARE, Customer hereby consents to all of the foregoing, and represents and warrants that Customer has the right to grant such consent.

Dans sa politique de confidentialité, Nvidia déclare récupérer les noms, adresses postales, adresses de courriels, numéros de téléphone, adresses IP, les divers identifiants de sites sociaux et autres, et partager ces informations avec ses partenaires, revendeurs, affiliés, fournisseurs, et autres. Ces informations sont croisées avec les données liées au surf sur Internet et les données des cookies, et sont utilisées par Nvidia ou des réseaux publicitaires.

When you use our Services, we may collect "Personal information," which is any information that can be used to identify a particular individual which can include traditional identifiers such as name, address, e-mail address, telephone number and non-traditional identifiers such as unique device identifiers and Internet Protocol (IP) addresses….

We may from time to time share your Personal Information with our business partners, resellers, affiliates, service providers, consulting partners and others in order to provide our Services to you.

We also permit third party online advertising networks and social media companies to collect information about your use of our website over time so that they may play or display ads that may be relevant to your interests …

We may combine personal information that we collect about you with the browsing and tracking information collected by these technologies. We or the online advertising networks use this information to make the advertisements you see online more relevant to your interests.

Canard PC Hardware (dans son numéro 29) a dévoilé que Nvidia procédait de la sorte depuis le pilote 368.25 à partir du moment où Geforce Experience était installé (il est désormais obligatoirement inclus avec le pilote, et nécessite une authentification), et que les données transmises n'étaient pas chiffrées, et diverses analyses de trames ont depuis montré que Nvidia collectaient bien plus que des données nécessaires à l'analyse des crashes.

Procédons donc à l'innocente installation du dernier driver en date de Nvidia (368.25). Dès le début du processus, le programme s'empresse d'envoyer – en HTTP non chiffré – les versions des pilotes que vous vous apprêtez à installer, accompagné du PCI ID de votre carte graphique, à gfswl.geforce.com. Après quelques informations de seconde importance (ID, taille du moniteur, etc.) transmises à Adobe et un inévitable tracker Google Analytics, Nvidia se permet tranquillou d'envoyer des informations hardware basiques sur votre machine – comme le modèle de votre CPU ou de votre SSD – sur telemetry.Nvidia.com. Intolérable ? S'il n'y avait que ça…

Si vous avez eu le malheur de laisser s'installer GeForce Experience (par défaut), celui-ci en profite pour envoyer l'intégralité des informations matérielles détaillées de votre PC quelques minutes plus tard à gfe.Nvidia.com/getsugar (notez le cynisme de l'URL) : marque et modèle de la carte mère, numéro de série de votre machine, version du BIOS, clés USB connectées, taille de le RAM, fréquence du GPU, etc. Scandaleux ? Attendez, attendez, ce n'est pas tout !

GeForce Experience envoie aussi la liste des applications que vous utilisez (jeux ou pas), le moment où vous les lancez, les arrêtez et, s'il s'agit d'un jeu, un historique du frame rate mesuré (avec valeur mini/maxi) ainsi que sa configuration et des statistiques diverses.

Votre dernière partie de 3D SexVilla était-elle bien fluide sur votre GTX 960 ? Nvidia le sait, lui. Et il sait également où vous avez cliqué sur ses utilitaires, combien de temps vous avez passé sur chaque page, etc. En tout, près de 100 Ko d'informations (accompagnées de trackers Google qui s'exécutent très régulière-
ment) sont ainsi transmises à Nvidia. Un log déchiffré que nous avons intercepté sur notre machine de test est disponible ici : cpc.cx/fN6.

Ce genre de pratique constitue une atteinte évidente à la vie privée. Alors certes, les conditions d'utilisation en anglais de Nvidia sont parmi les plus intrusives qui soient, puisqu'en les acceptant, vous autorisez le fabricant à récupérer des informations "personnelles ou non" et à les partager avec des tiers. En revanche, la version française accessible par un lien au moment de télécharger le pilote ne mentionne aucunement ces récupérations de données privées massives. Une preuve de plus du peu de cas que semble faire Nvidia de la vie privée de ses utilisateurs…

Je n'ai pas trouvé d'information sur le fait que les pilotes pour Linux soient concernés. A priori pas, puisque les pilotes sont en retard par rapport à Windows, et que Geforce experience n'est pas (encore ?) disponible sous Linux.

Toujours est-il que je me demande comment va réagir l'Union Européenne, alors que cette pratique, sans possibilité d'opt-out, semble être clairement interdite.

Et puis…

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. » – Convention européenne des droits de l'homme – Article 8

  • # Concernant AMD

    Posté par  . Évalué à 10.

    Toujours dans Canard PC Hardware n°29, voici ce qu'il est dit au sujet du concurrent AMD :

    Passons cette fois à AMD avec l'analyse de l'installation des pilotes Crimson 16.5.3. À l'instar de Nvidia, des informations hardware basiques comme le PCI ID de votre carte graphique, le modèle de votre CPU ou le type d'OS utilisé remontent en clair vers AMD par le biais d'un tracker Google Analytics. Ensuite, plus grand-chose. Nous avons laissé la machine connectée une journée, en démarrant régulièrement différentes plateformes de jeu et en jouant à plusieurs titres sans constater d'envoi d'informations de la part du driver Crimson (ou de ses applications). Le jour et la nuit par rapport à GeForce Experience…

  • # convention des droits de l'homme ?

    Posté par  (site web personnel) . Évalué à 9.

    La citation est fausse. Il manque la plus grosse partie de cet article 8 qui degomme à plein tube sa jolie phrase d'introduction. Voici la version "uncut"

    « Droit au respect de la vie privée et familiale
    Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
    Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »
    — Article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales

  • # N’installer que le nécessaire

    Posté par  . Évalué à 1.

    Quand on installe les drivers nVidia sous Windows, on a le choix de désactiver ce GeForce Experience, qui ne sert vraiment à rien pour l’utilisateur. Les pilotes de la CG seule ne font rien d’autre que de… piloter la carte.

    En ce qui me concerne, j’ai effectivement pu voir des processus geforce experience scanner le disque dur (ben oui, un disque mécanique qui se fait scanner la tronche, ça ne passe pas inaperçu !) et l’ai désinstallé.

    Donc, pour faire simple : installez le pilote vidéo et c’est tout. Concernant le pilote GNU/Linux, ya pas de problème.

    • [^] # Re: N’installer que le nécessaire

      Posté par  . Évalué à 1.

      D'une manière générale, ça touche aussi à la gestion fine des droits. Je pense qu'il faut vivre avec l'idée que quelque soit le soin avec lequel on a installé une machine, on n'a pas le contrôle des logiciels qui tournent dessus. Bien sûr, on pense toujours aux blobs binaires et aux drivers proprio, mais on peut aussi avoir des comportements non-souhaités dans les logiciels des dépots logiciels, ou plus simplement tout le code complexe qui tourne dans un navigateur. Bref, tout ça pour dire que la situation qui n'est peut-être pas normale, ce n'est pas que certains logiciels déloyeux essayent d'envoyer des trucs vers l'extérieur, mais c'est plutôt que nos systèmes ne sont pas capables d'analyser les actions des logiciels et de les bloquer.

    • [^] # Re: N’installer que le nécessaire

      Posté par  . Évalué à 10.

      http://www.hardware.fr/news/14844/telemetrie-par-defaut-nvidia.html

      Désormais, plus besoin de GeForce experience pour se faire espionner.

    • [^] # Re: N’installer que le nécessaire

      Posté par  . Évalué à 6. Dernière modification le 09 novembre 2016 à 11:42.

      C'était valable avant, plus maintenant.

      nous avons vérifié que ces programmes étaient bel et bien désormais installés par défaut, même si l'on décoche GFE lors de l'installation. (…) La nouveauté est donc que Nvidia installe désormais, par défaut et pour tout le monde, ces tâches !

      En attendant, et si cela ne résoudra pas le problème, il est possible pour ceux qui le souhaiteraient de supprimer manuellement les tâches ajoutées (notamment via l'excellent Autoruns de Sysinternals/Microsoft), en notant que rien n'assure que cela désactive définitivement toute collecte.

  • # Sous Linux

    Posté par  (site web personnel) . Évalué à 1.

    C'est la meme chose sous Linux? Parce que Winbrol et tous ces logiciels proprios soient des spywares, ce n'est pas nouveau.

    • [^] # Re: Sous Linux

      Posté par  . Évalué à 9.

      que Winbrol et tous ces logiciels proprios soient des spywares, ce n'est pas nouveau

      excellent :D

      *splash!*

  • # Debian.

    Posté par  . Évalué à 1.

    J'ai l'habitude d'utiliser ma carte NVIDIA pour des rendus 3D sous Blender.

    Pour l'instant, j'en suis à la version 340.96…Est-ce que lors du passage à Stretch, il sera possible d'utiliser ce driver là ? Quelqu'un sait où se renseigner ?

    Ou bien, j'abandonne simplement NVIDIA. La puce intégrée de ma CM suffit largement pour la plupart de mes activités, hormis pour les rendus 3D, donc…

    • [^] # Re: Debian.

      Posté par  (site web personnel) . Évalué à 3.

      Les vieux que les vieux drivers sont incompatibles avec les noyaux Linux sortis après le driver malheureusement.

      C'est déja asser la plaie de devoir attendre le driver Nvidia pour mettre à jour son kernel…

      Bref, il vaut mieux aller voir chez AMD avec le driver libre si 60% des perfs de ta carte de suffisent.

      • [^] # Re: Debian.

        Posté par  . Évalué à 1.

        À dire vrai, c'est la technologie CUDA qui est importante. Et AMD n'a rien de tel pour Blender. :/

        Merci pour les explications. :)

        • [^] # Re: Debian.

          Posté par  . Évalué à 5. Dernière modification le 09 novembre 2016 à 23:41.

          Les logiciels que tu utilises pour la 3D ne sont pas compatible avec OpenCL ?

          EDIT : visiblement Blender l'est : https://wiki.blender.org/index.php/OpenCL

          • [^] # Re: Debian.

            Posté par  . Évalué à 2.

            Si, mais les performances sont, pour le moment, nettement inférieures à ce que propose CUDA.
            Un partenariat AMD/Blender semble exister et devrait apporter des améliorations intéressantes à l'avenir.

            • [^] # Re: Debian.

              Posté par  . Évalué à 3. Dernière modification le 10 novembre 2016 à 22:29.

              Faut pas trop en espérer non plus. OpenCL est plus ou moins abandonné de toutes parts. Le nouveaux frameworks qui sont en train d'être développés (notamment chez AMD) ne gardent OpenCL en back-end que pour des raisons de compatibilité. Les efforts d'optimisation sont concentrés ailleurs (cf. Vulkan).

              • [^] # Re: Debian.

                Posté par  . Évalué à 1.

                Je pense également qu'une solution autre sera à privilégier.

              • [^] # Re: Debian.

                Posté par  (site web personnel) . Évalué à 2.

                c'est bizarre, ca du coup, les gens codent pour CUDA pour faire du calcul sur GPU, et donc demandent d'acheter du NVIDIA… :-/

    • [^] # Re: Debian.

      Posté par  (Mastodon) . Évalué à 3. Dernière modification le 10 novembre 2016 à 15:00.

      Sans vouloir abandonner ta carte si c'est leur "télémétrie" qui te fais peur tu peux plus simplement utiliser un firewall pour ne laisser passer que ce que tu veux et quand tu veux.

      Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

      • [^] # Re: Debian.

        Posté par  . Évalué à 2.

        C'est également une solution, je te remercie de le souligner.
        Leur télémétrie est effectivement inquiétante.

  • # Nvidia et l'open source

    Posté par  . Évalué à 2.

    On ne le dira jamais assez :

    https://www.youtube.com/watch?v=IVpOyKCNZYw

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.