Suivre

Intéressés par un cloud "respectueux de votre vie privée" ? Étudions @CozyCloud pour voir s'il est à la hauteur de sa promesse 🧐

1/

Première visite et traceur Matomo envoyé immédiatement (comme sur mon blog).

Si bien configuré, ce traceur peut bénéficier de l'exemption de consentement CNIL, donc je peux difficilement trouver à redire

2/

Afficher le fil de discussion

Si je clique sur "Afficher les détails", les cookies Matomo sont classés dans "Statistiques" et non dans "Nécessaires".

Mais même si je clique sur "Tout refuser", Cozy Cloud continue l'envoi vers Matomo.

Matomo mérite-t-il l'exemption de consentement ?

3/

Afficher le fil de discussion

Notons également la longue liste de cookies marketing et non classés, Google mais surtout Typeform.

Cozy Cloud n'a pas l'air de savoir à quoi servent les cookies Typeform, pas très rassurant non ?

4/

Afficher le fil de discussion

Créons maintenant un compte
- Cozy Cloud vous demande votre adresse e-mail (en général, prenom.nom@fournisseur.com)
- Puis Cozy Cloud vous laisse choisir l'adresse de votre Cozy, mais il pré-rempli avec le préfixe de votre adresse e-mail (souvent prenom.nom donc)

5/

Afficher le fil de discussion

Surprise, à l'étape suivante Cozy Cloud fuite votre "Cozy" (prénom.nom) à Matomo, dans la variable uid.

Du vrai tracking persistant : x-browser, x-device, ... 🤡

6/

Afficher le fil de discussion

Une fois votre compte créé... Dans vos réglages, le message est flou mais il semblerait que le tracking Matomo passe en opt-in.

Intéressé par les "engagements de Cozy" ? Bon courage, il vous faudra lire le PDF de 30 pages files.cozycloud.cc/TOS-4.41.1. 😈

8/

Afficher le fil de discussion

Cochons la case pour vérifier le côté "anonyme"... Rappel, je surf sur un site qui contient prénom.nom dans l'URL...

Après quelques pages consultées, un hit part vers Matomo, et plusieurs paramètres contiennent bien l'URL, et donc mon nom 🤬

9/

Afficher le fil de discussion

Si je décoche la case d'amélioration produit, Matomo est toujours actif sur certaines pages, par exemple sur l'upsell Drive

Et l'URL prenom.nom fuite encore via les variables referrer 🤡

10/

Afficher le fil de discussion

Alors bien sur, Matomo est hébergé par Cozy Cloud, cela limite la casse, mais le mensonge sur des traceurs "anonymes" n'inspire guère confiance...

11/

Afficher le fil de discussion

Autre point, Cozy Cloud déclare : "Personne d'autre que vous ne pourra accéder à son contenu, pas même Cozy".

Cozy Cloud chiffrerait donc mes données de bout en bout ? 🤔

12/

Afficher le fil de discussion

Rappel, Cozy c'est pas simplement un Drive, c'est aussi potentiellement vos Photos et tout un tas d'applications pour récupérer les données de vos différents comptes (dont des données sensibles comme vos données bancaires, vos impôts, Ameli...) 😬

14/

Afficher le fil de discussion

Et même vos mots de passe (cf. blog.cozy.io/fr/cozy-cloud-sec) ! Cozy utilise Bitwarden en marque blanche.

Petite surprise si vous passez par l'extension ou par l'App (vous êtes prévenu sur le web), le mot de passe maitre est votre mot de passe Cozy...

Si vous l'oubliez, vous perdez tous vos mots de passe ! 🤡

15/

Afficher le fil de discussion

Alors, vous faites toujours confiance à Cozy Cloud ?

Si vous avez un doute, Cozy a un "bon" argument : "Parce que nous ne vous demandons pas de nous faire confiance, nous vous donnons la possibilité de vous auto-héberger." (cf. support.cozy.io/article/155-po) 🤡

16/

Afficher le fil de discussion

Pour info, Cozy cloud a répondu sur twitter qu'ils se penchaient sur certains pbs énoncés ici. Ça change quand même des autres boites.

Cc @pixeldetracking qui a du voir ça.

@Fritange c’est déjà ça oui. À voir s’ils changent quelque chose

@pixeldetracking
J'avais assisté à une présentation de cozy à une époque. J'avais déjà remarqué que ça utilisait des API de Google. On m'avait répondu ''c'est dommage de baser l'évaluation d'une entreprise sur son seul site web'' (à sa décharge, elle était beaucoup + commercial que technique). Et ça m'avait fait marrer.
Pourtant, ils ont pas l'air méchant, et j'ai l'impression qu'ils veulent bien faire. Vraiment. C'est déjà ça.
@Fritange

@pixeldetracking merci pour ces informations tres interessantes 🙇🏿
Du coup faut utiliser #nextcloud ou ca demanderait une analyse egalement? 🧐

@KazukyAkayashi @CozyCloud oui après un traceur n’a pas les mêmes implications qu’un CDN ou qu’un outil de consent management

@pixeldetracking
merci de cette évaluation critique. Est-ce tu pourrais copier/coller les morceaux sur un tien blog ou autre espace de publication ?

@CozyCloud

@goofy @CozyCloud merci, je trouvais cela léger pour un article de blog (et ça prend du temps), donc pour l’instant c’est pas prévu (peut-être plus tard)

@pixeldetracking
Merci pour cette analyse 👍
Du coup, si comme moi on a un cosy cloud, qu'est-il conseillé de faire?
@CozyCloud

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !