Google, avec Microsoft, Twitter et Facebook, lance le projet de transfert de données open source (Open-Source Data Transfer Project) , qui permettra au grand public de transférer leurs données directement d’un service à un autre.
Vos données personnelles sont sous attaque constante. Une semaine ne passe pas sans nouvelle d’une autre violation massive de données personnelles. La seule personne qui ne peut pas accéder à vos données, semble-t-il, c’est vous. Google, en partenariat avec Microsoft, Twitter et Facebook, va changer cela avec l’Open Source Data Transfer Project (DTP). Ce projet développe des outils qui permettront au grand public de transférer leurs données directement d’un service à l’autre.
Cela s’appuie sur le travail précédent de Google pour transférer des données entre différents services de stockage de données dans le Cloud: Télécharger vos données, aka Takeout, que les utilisateurs peuvent utiliser pour télécharger une copie lisible par ordinateur de données stockées dans plus de 50 produits Google. Avec Télécharger vos données (Download your Data), vous pouvez également transférer vos fichiers Google Drive directement dans vos comptes Dropbox, Box ou MS OneDrive.
L’objectif de DTP est de permettre une connexion entre deux interfaces de produit ouvertes au public pour importer et exporter des données directement à l’aide d’interfaces de programmation d’application (API) communes. Le DTP a été développé pour tester les concepts et la faisabilité du transfert de types spécifiques de données utilisateur entre les services en ligne.
Le DTP sera alimenté par des « adaptateurs » qui convertiront les formats de données propriétaires en un petit nombre de formats canoniques connus sous le nom de « Data Models ». Les données contenues dans ces modèles seront ensuite utilisées pour transférer des données d’un système à l’autre.
Le transfert de données entre deux fournisseurs utilisera le mécanisme d’autorisation existant des fournisseurs. Ainsi, chaque fournisseur contrôlera toujours la sécurité de son service.
Toutes les informations d’identification individuelles et les données utilisateur seront cryptées en transit et au repos. Cela sera fait avec une confidentialité persistante parfaite (perfect forward secrecy) (1). Dans ce protocole, une nouvelle clé unique est générée pour chaque transfert.
- La confidentialité persistante (forward secrecy en anglais), est une propriété en cryptographie qui garantit que la découverte par un adversaire de la clé privée d’un correspondant (secret à long terme) ne compromet pas la confidentialité des communications passées. Elle peut être fournie, par exemple, par la génération des clefs de session au moyen du protocole d’échange de clés Diffie-Hellman. Ces clés de session (temporaires) ne pourront pas être retrouvées à partir des clés des participants, et inversement.
Même si tout cela fonctionne bien, il y aura des problèmes. Par exemple, les formats de données canoniques ne peuvent pas atténuer les problèmes tels que les limitations de mise en forme ou la prise en charge de fonctions incohérentes. Sur le plan positif, l’approche de DTP devrait montrer qu’un degré substantiel de portabilité de données à l’échelle de l’industrie peut être atteint sans changements dramatiques dans les produits existants ou les mécanismes d’autorisation. En bref, cela rend le transfert de données assez facile pour que les entreprises de DTP espèrent que d’autres entreprises se joindront à eux pour intégrer la fonctionnalité d’exportation et d’importation à leurs services.
Selon Craig Shank, vice-président des normes d’entreprise de Microsoft, DTP sera conçu pour les utilisateurs puissent transférer facilement et en toute sécurité des données personnelles. Plus précisément:
- Conçu pour les utilisateurs: Les outils de portabilité des données doivent être ouverts et interopérables avec les normes de l’industrie et faciles à trouver, intuitifs à utiliser et facilement accessibles aux utilisateurs pour transférer facilement des données entre services ou les télécharger à leurs propres fins.
- Utilisation de solides normes de confidentialité et de sécurité: Les fournisseurs de chaque côté de la transaction de portabilité doivent disposer de mesures de confidentialité et de sécurité strictes pour se prémunir contre l’accès non autorisé, le détournement de données ou d’autres types de fraude. Les utilisateurs doivent être informés de manière claire et concise du type et de la portée des données transférées, de la manière dont les données seront utilisées et des pratiques de confidentialité et de sécurité du service de destination.
- Concentration sur les données d’un utilisateur, pas sur les données d’entreprise: la portabilité des données doit se concentrer sur les données utiles à l’utilisateur, telles que le contenu créé, importé ou approuvé par le fournisseur de services du contrôleur de données. La portabilité des données pour les organisations doit être contrôlée par la propre politique des organisations sur leurs données.
- Respect de tout le monde: Nous vivons dans un monde collaboratif où les gens se connectent, partagent et créent ensemble. La portabilité des données devrait se concentrer uniquement sur la fourniture de données directement liées à la personne demandant le transfert afin de trouver le bon équilibre entre la portabilité, la confidentialité et les avantages d’essayer un nouveau service. Cela signifie que les fournisseurs de services doivent s’assurer que les informations privées liées à des personnes autres que la personne concernée sont respectées.
Tout cela est très bien, mais passons aux choses sérieuses: que pouvez-vous utiliser une fois que DTP est opérationnel ? Les développeurs de DTP suggèrent les cas d’utilisation suivants:
- Un utilisateur découvre un nouveau service d’impression photo offrant de beaux formats de livres photo innovants, mais leurs photos sont stockées dans leur compte de médias sociaux. Avec DTP, ils peuvent visiter un site Web ou une application offerte par le service d’impression de photos et initier un transfert directement de leur plate-forme de médias sociaux au service de livre photo.
- Un utilisateur n’est pas d’accord avec la politique de confidentialité de son service de musique. Il veut arrêter de l’utiliser immédiatement, mais ne veut pas perdre les playlists qu’il a créées. En utilisant ce logiciel open-source, il pourrait utiliser la fonctionnalité d’exportation du fournisseur d’origine pour enregistrer une copie de leurs playlists dans le cloud. Cela lui permet d’importer les listes de lecture vers un nouveau fournisseur ou vers plusieurs fournisseurs, une fois qu’il décide d’utiliser un nouveau service.
- Une entreprise reçoit des demandes de clients souhaitant importer des données d’un ancien fournisseur qui cesse ses activités. Le fournisseur légal dispose d’options limitées pour permettre aux clients de déplacer leurs données. La société écrit un adaptateur pour l’APS du fournisseur légal qui permet aux utilisateurs de transférer des données vers le service de l’entreprise, ce qui profite également aux autres fournisseurs qui traitent le même type de données.
- Une association industrielle pour les supermarchés veut permettre aux clients de transférer leur historique d’achat d’un magasin à un autre, afin qu’ils puissent obtenir des coupons en fonction des habitudes d’achat entre les magasins. Pour ce faire, l’association hébergerait une plate-forme hôte spécifique au DTP.
Ce sont toutes d’excellentes suggestions. Maintenant, quand pouvons-nous nous attendre à le voir? Bonne question.
Comme le soulignent Brian Willard, ingénieur logiciel chez Google, et Greg Fair, chef de produit Google: «Le projet de transfert de données est très précoce et nous encourageons la communauté des développeurs à nous rejoindre et à étendre la plateforme pour prendre en charge de nombreux autres types de données , fournisseurs de services et solutions d’hébergement. «
Ils ont ajouté: « Le prototype prend déjà en charge le transfert de données pour plusieurs produits, notamment les photos, le courrier, les contacts, le calendrier et les tâches grâce aux API disponibles de Google, Microsoft, Twitter, Flickr, Instagram et Remember the Milk et Smugmug. » Il y a clairement beaucoup de travail à faire ici, mais ces compétences technologiques démarrent bien.
Si vous voulez l’essayer par vous-même, vous pouvez consulter le code via Docker et Code. Pour que cela fonctionne, vous aurez besoin des clés API de chaque service.
Est-ce que d’autres entreprises vont soutenir cela? Peut-être maintenant, alors qu’il est clair que l’approche open-source est le meilleur moyen de créer des programmes, les entreprises seront plus disposées à partager l’idée que le partage de données avec les utilisateurs peut également être bénéfique pour eux.
https://scotthelme.co.uk/perfect-forward-secrecy/
https://github.com/google/data-transfer-project
https://datatransferproject.dev/
