Le blog de Genma
Vous êtes ici : Accueil » Nextcloud » Nextcloud - Envoi de statistiques d’utilisation

Nextcloud - Envoi de statistiques d’utilisation

D 15 septembre 2020     H 09:00     A Genma     C 0 messages   Logo Tipee

TAGS : Planet Libre Nextcloud

Sends anonymized data to Nextcloud to help us to improve Nextcloud. You always have full control over the content sent to Nextcloud and can disable it again at any time.

Envoyez des données anonymisées à Nextcloud pour nous aider à améliorer Nextcloud. Vous avez toujours un contrôle total sur le contenu envoyé à Nextcloud et pouvez le désactiver à nouveau à tout moment.

L’application

Il existe au sein de Nextcloud une application "Usage survey" qui est installée mais qui n’est pas activée par défaut.

Remarque : cette application est à différencier de l’application "User usage report" qui elle permet de générer des rapports au format CSV contenant des informations par utilisateur sur son usage disque, le nombre de fichiers créés, de partages créés et d’autres informations. (Pour avoir plus de détails, on pourra regarder le détail sur la page README sur Github).

L’activation de cette application ajoute dans l’interface d’administration, une entrée "Statistiques d’utilisation" permettant de gérer l’envoi de statistiques d’utilisation.

Vous pouvez aider à améliorer Nextcloud en nous envoyant des statistiques sur votre configuration et votre utilisation. Nous prenons votre vie privée au sérieux. L’envoi des données est désactivé par défaut, et si vous décidez de l’activer, ils seront d’abord rendues anonymes, et vous aurez le choix des choses à partager. Lors de la réception d’un rapport, le précédent est supprimé. Téléversez un rapport vierge pour supprimer toutes les données actuellement stockées sur le serveur.

Données à envoyer
 Détails sur l’instance du serveur (version, cache mémoire utilisé, statut du verrouillage/aperçus/avatars)
 Environnement PHP (version, limite de la mémoire, temps maximal d’exécution, taille maximale des fichiers)
 Environnement de la base de données (type, version, taille de la base de données)
 Liste des applications (pour chaque application : nom, version, statut)
 Statistique (nombre de fichiers, utilisateurs, stockage par type, commentaires et tags)
 Nombre de partages (par type et paramètre de permission)
 Information du chiffrement (est-il activé ?, quel est le module par défaut)

Nextcloud et la vie privée

Sur sa page https://nextcloud.com/privacy/, Nextcloud indique Our software, be it the Nextcloud server or the Android or iOS apps, are designed to not sent any user data to us. The optional Usage Survey app can sent usage statistics like installed apps to us to help us improve our service. You can review and approve the data before it is sent. We store the data aggregated and not per user, so a theft of our data can not be used to get any information about any specific installation. The Updater app, if enabled, sends Nextcloud version, PHP version, install time and the channel it wants to the Nextcloud updater server to receive update information. We store the install time and version on the instance to track statistics, all other data is discarded right away.

Ce que l’on pourrait traduire par :

Nos logiciels, que ce soit le serveur Nextcloud ou les applications Android ou iOS, sont conçus pour ne pas nous envoyer de données utilisateur. L’application optionnelle Usage Survey peut nous envoyer des statistiques d’utilisation telles que les applications installées pour nous aider à améliorer notre service. Vous pouvez examiner et approuver les données avant leur envoi. Nous stockons les données agrégées et non par utilisateur, donc un vol de nos données ne peut être utilisé pour obtenir des informations sur une installation spécifique. L’application Updater, si elle est activée, envoie la version Nextcloud, la version PHP, l’heure d’installation et la version au serveur de mise à jour Nextcloud (pour recevoir les informations de mise à jour). Nous stockons l’heure et la version d’installation sur l’instance pour suivre les statistiques, toutes les autres données sont immédiatement supprimées.

Nextcloud met donc en avant cette application de façon transparente.

Le code source ?

Nextcloud est un logiciel libre (lience AGPLv3) et l’un des principes d’un logiciel libre est de pouvoir accéder au code source. C’est le cas pour cette fonction d’envoi de statistiques d’utilisation

Le code source de la partie "émettrice" est disponible sur Github
Survey app which collects anonymized instance data to improve Nextcloud

Le code source de la partie serveur, qui "réceptionne" les données est disponible sur Github Receives data from the survey_client, evaluates and visualizes it.

Je n’ai pas pris (eu) le temps de consulter le code source en détail.

Dans les données, il faut également penser aux métadonnées : l’instance Nextcloud communique avec l’application qui réceptionne les données anonymisées : le serveur garde potentiellement l’IP dans ses fichiers journaux /logs

Quid de la sécurité ?

Je suis loin d’être un expert en sécurité et il serait intéressant d’avoir le point de vue d’un tel expert. Mais du peu que j’en sais, certaines des données transmises sont des informations assez précieuses
 Environnement PHP (version, limite de la mémoire, temps maximal d’exécution, taille maximale des fichiers)
 Environnement de la base de données (type, version, taille de la base de données)
 Liste des applications (pour chaque application : nom, version, statut)

Savoir que telle instance Nextcloud a telle version de telle application, pour laquelle on connaît des vulnérabilités / des failles exploitables, permet un attaquant potentiel de mieux préparer son attaque. Le sujet serait à creuser.