Could Musescore become a possible spyware? Hoax or not ?

• Jul 6, 2021 - 14:19

https://fosspost.org/audacity-is-now-a-spyware/

Audacity is now a Possible Spyware, Remove it ASAP
...The famous open source audio manipulation program was acquired by a company named Muse Group two months ago. The same company owns other projects in its portfolio such as Ultimate Guitar (Famous website for Guitar enthuisasts) and MuseScore (Open source music notation software).

Are there any reason why we should be concerned?

Fred


Comments

Bonjour,
1.Vous êtes sur le forum français de MuseScore (langue adéquate requise donc svp)
2.Quelle est votre question ?

In reply to by cadiz1

Bon, il semble que vous vous référiez à plusieurs articles parus ces derniers jours concernant Audacity (désormais dans le giron de Muse Group, comme MuseScore) et les données des utilisateurs.
Si j'en crois cette première mise au point (des développeurs d'Audacity), il y a eu méprise, le terme "télémétrie" (qui est déjà une option dans les Préférences de MuseScore) étant souvent l'objet de fantasmes divers et variés concernant ces données.

Je traduis cette courte mise au point (qui figure à la toute fin de l'un de ces articles: https://fosspost.org/audacity-is-now-a-spyware/)
Traduction, je cite:
"Mise à jour : les développeurs d'Audacity ont annoncé que leur page de politique de confidentialité avait été " mal comprise " en raison d'une mauvaise formulation, et qu'ils allaient la réécrire pour éviter toute confusion possible. Le signalement des erreurs et la collecte d'informations de base sur le système sont facultatifs, et la vérification automatique des mises à jour (qui leur envoie votre adresse IP à chaque utilisation) est facultative."

La meilleure et plus complète mise au point appartient à Martin Keary (@Tantacrul), l'actuel designer et chef de projet de MuseScore. Ici: https://github.com/audacity/audacity/discussions/889]
(prenez le soin de lire et relire le paragraphe "Que s'est-il passé", ci-dessous)

Et sa traduction:

Bonjour à tous,

Je vais décrire les actions que nous proposons de prendre pour répondre aux préoccupations soulevées par le PR #835 (télémétrie opt-in utilisant Google et Yandex comme hôtes tiers) :
Nous abandonnons les fonctions de télémétrie proposées dans la PR n° 835.
En ce qui concerne les fonctions qui nécessitent une mise en réseau, nous aimerions inclure des rapports d'erreur et la possibilité pour Audacity de vérifier les mises à jour (détails ci-dessous).
Nous hébergerons nous-mêmes toutes les données collectées à partir des rapports d'erreurs et des vérifications des mises à jour, supprimant ainsi tout besoin d'analyses Google ou Yandex.

Que s'est-il passé ?

La création et la découverte subséquente du PR #835 est une erreur de communication/coordination qui nous a pris complètement par surprise. Nous sommes vraiment désolés d'avoir causé tant d'inquiétude. Notre intention était de faire une annonce initiale concernant nos projets d'introduction de la télémétrie sur le forum Audacity, de manière similaire à la façon dont nous avons discuté du sujet pour MuseScore en 2019. Dans ce cas, je pense que le fait que nous ayons introduit la question ouvertement a entraîné beaucoup moins de suspicion.

Que proposons-nous maintenant ?

J'ai passé les derniers jours à travailler avec les responsables de Muse pour essayer de trouver une solution qui répondrait autant que possible aux demandes de la communauté. Toutes mes excuses pour le retard. Il a fallu du temps pour arriver à ces décisions car - malgré mon rôle de responsable du projet - les décisions sur cette question spécifique ne me reviennent pas.

Tout d'abord, il est important de souligner que nous n'avons absolument aucun intérêt à récolter ou à vendre des données personnelles et qu'Audacity sera toujours gratuit et open source. La réponse au PR #835 a fait prendre conscience à Muse que la commodité de l'utilisation de Yandex et Google est en contradiction avec la perception publique de la fiabilité, et nous allons donc nous auto-héberger à la place.

Le point suivant concerne la télémétrie. Je pense que notre erreur de communication a contribué à un grand nombre de malentendus sur nos intentions ici. La télémétrie est un outil pratique qui nous renseigne sur les performances d'une application (cette nouvelle fonctionnalité est-elle beaucoup utilisée ? Ce bouton est-il découvert ? etc.) Nous pensions que le fait de la rendre facultative permettrait d'apaiser les inquiétudes en matière de confidentialité, mais comme ce n'est pas le cas, nous l'abandonnons. À l'avenir, nous voudrons peut-être déterminer s'il existe d'autres solutions acceptables permettant d'atteindre le même objectif. Un retour d'information serait apprécié sur ce point. Dans l'intervalle, je continuerai à tester les utilisateurs, à mener des entretiens, à lire les commentaires et à réaliser des enquêtes pour en savoir plus sur ce que veulent nos utilisateurs. Je serai heureux d'en discuter dans la section des commentaires.

Avant d'entrer dans les détails, il est important de mentionner que de nombreuses questions différentes nous ont été posées. Afin de ne pas brouiller la conversation, je me suis limité aux questions les plus urgentes soulevées dans le cadre de la RP n° 835. Muse communiquera beaucoup plus sur ses objectifs dans un avenir proche. Je parlerai continuellement d'Audacity et de ce sur quoi nous travaillons au cours des semaines et des mois à venir. N'hésitez pas à poser des questions ici. Nous sommes prêts à y répondre.

Vous trouverez ci-dessous des informations plus spécifiques concernant le signalement des erreurs et la vérification des mises à jour.

Rapport d'erreurs

Nous sommes actuellement intéressés par les erreurs SQLite, les crashs d'application et les exceptions non fatales. Si l'un de ces événements est détecté, un dialogue apparaîtra pour expliquer la nature du problème et proposer d'envoyer un rapport d'erreur à nous, les développeurs d'Audacity. Ce dialogue contiendra :
- Une option pour visualiser les données complètes du rapport d'erreur avant qu'il ne soit envoyé.
- Pour les pannes et les erreurs, il enverra le système d'exploitation utilisé.
- Pour les crashs, il enverra les données du CPU, comme le nombre de cœurs.
- Des boutons tout aussi importants pour "envoyer" ou "ne pas envoyer" ce rapport d'erreur particulier.
- Une case à cocher (décochée par défaut) proposant de mémoriser la décision de l'utilisateur et de faire de même pour les futurs rapports d'erreur sans lui demander son avis.
- La décision concernant les futurs rapports d'erreur peut être modifiée à tout moment dans les préférences.

Les rapports d'erreur sont bien sûr transmis par Internet, ce qui nous permet naturellement de voir une adresse IP. Le rapport d'erreur est stocké dans notre base de données Sentry auto-hébergée sur un serveur situé dans l'UE. Aucune information ne sera envoyée à des tiers, sauf si la loi l'exige. Sentry stocke les données relatives aux pannes et les spécifications du système/matériel. Voici un lien vers leur code source : https://github.com/getsentry/sentry

Vérification de la mise à jour

Lorsque le programme démarre, Audacity vérifie si une version plus récente du programme est disponible au téléchargement. S'il existe une nouvelle version, une boîte de dialogue s'affichera pour en informer l'utilisateur:
Il y aura une option pour désactiver la vérification automatique.
Cette décision peut être modifiée à tout moment dans les Préférences

La vérification des mises à jour révèle trois choses : l'adresse IP, la version du système d'exploitation et la version d'Audacity. Nous utiliserons une base de données de géolocalisation hébergée par nos soins pour déterminer le pays dans lequel se trouve l'adresse IP et rien de plus. L'adresse IP brute ne sera pas stockée ou enregistrée, mais nous stockerons et enregistrerons un hachage non réversible de l'adresse IP pour améliorer la précision des statistiques quotidiennes. Le serveur est situé dans l'Union européenne afin de respecter la réglementation GDPR. Aucune information ne sera envoyée à des tiers, sauf si la loi l'exige.

Compilation à partir des sources et paquets de distribution Linux

Le comportement décrit ci-dessus pour le signalement des erreurs et la vérification des mises à jour ne s'applique qu'aux versions officielles d'Audacity disponibles sur notre site Web ou sur la page GitHub. Dans les autres versions, le code de rapport d'erreur et de vérification des mises à jour sera exclu par défaut via les options CMake.

Do you still have an unanswered question? Please log in first to post your question.