Note du traducteur. Simple Analytics est un service d'analyse de site Web axé sur la confidentialité (à certains égards, le contraire de Google Analytics)
En tant que fondateur de Simple Analytics, je me suis toujours souvenu de l'importance de la confiance et de la transparence pour nos clients. Nous sommes responsables d'eux pour qu'ils puissent dormir paisiblement. Le choix doit être optimal en termes de confidentialité tant pour les visiteurs que pour les clients. Ainsi, l'un des problèmes les plus importants pour nous a été le choix de l'emplacement du serveur.
Au cours des derniers mois, nous avons progressivement déplacé nos serveurs en Islande. Je veux expliquer comment tout s'est passé et, surtout, pourquoi. Ce ne fut pas un processus facile, et je voudrais partager notre expérience. L'article contient des détails techniques que j'ai essayé d'écrire dans un langage clair, mais je m'excuse s'ils sont trop techniques.
Pourquoi migrer des serveurs?
Tout a commencé avec le fait que notre site a été ajouté à
EasyList . Il s'agit d'une liste de noms de domaine pour les bloqueurs de publicités. J'ai demandé pourquoi nous avons été ajoutés, car nous ne suivons pas les visiteurs. Nous
obéissons même
au paramètre Ne pas suivre dans le navigateur.
J'ai écrit
ce commentaire sur la
demande de pool sur GitHub :
[...] Alors si nous continuons à bloquer les bonnes entreprises qui respectent la vie privée des utilisateurs, à quoi ça sert? Je pense que c'est faux, vous ne devriez pas mettre chaque entreprise sur la liste juste parce qu'elle envoie une demande. [...]
Et obtenu une
réponse de
@ cassowary714 :
Tout le monde est d'accord avec vous, mais je ne veux pas que mes demandes soient envoyées à une entreprise américaine (dans votre cas, Digital Ocean [...]
Au début, je n'aimais pas la réponse, mais lors d'une discussion avec la communauté, ils ont souligné que c'était juste. Le gouvernement américain peut effectivement accéder à nos données utilisateur. A cette époque, nos serveurs fonctionnaient vraiment pour Digital Ocean, ils pouvaient simplement éjecter notre disque et lire les données.
Il existe une solution technique au problème. Vous pouvez rendre un lecteur volé (ou déconnecté pour une raison quelconque) inapproprié pour d'autres. Un chiffrement complet rendra l'accès difficile en l'absence de clé (
remarque: seul Simple Analytics possède une clé ). Vous pouvez toujours obtenir de petites données en lisant physiquement la RAM du serveur. Le serveur ne peut pas fonctionner sans RAM, donc à cet égard, vous devez faire confiance au fournisseur d'hébergement.
Cela m'a fait me demander où déplacer nos serveurs.
Nouveau lieu
J'ai commencé à chercher dans ce sens et suis tombé sur une page Wikipédia avec une
liste de pays marqués par la censure et la surveillance des utilisateurs . Il existe une liste des «ennemis de l'Internet» de l'organisation non gouvernementale internationale Reporters sans frontières, qui est située à Paris et milite pour la liberté de la presse. Un pays est classé comme ennemi d'Internet lorsqu'il «non seulement censure les nouvelles et les informations sur Internet, mais effectue également des répressions presque systématiques contre les utilisateurs».
Au-delà de cette liste, il existe une alliance appelée
Five Eyes aka FVEY. Il s'agit d'une union entre l'Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis. Ces dernières années, des documents ont montré qu’ils s’espionnaient intentionnellement les citoyens et échangeaient les informations recueillies pour contourner les restrictions législatives sur l’espionnage domestique (
sources ). L'ancien officier de la NSA Edward Snowden a décrit FVEY comme "une organisation de renseignement supranationale qui n'obéit pas aux lois de ses pays". D'autres pays collaborent avec FVEY dans d'autres coopératives internationales, notamment le Danemark, la France, les Pays-Bas, la Norvège, la Belgique, l'Allemagne, l'Italie, l'Espagne et la Suède (les 14 yeux). Je n'ai pas pu trouver de preuve que l'alliance 14 yeux abusait des renseignements.
Après cela, nous avons décidé que nous ne serions hébergés dans aucun des pays de la liste des «ennemis d'Internet» et que nous ignorerions définitivement les pays de l'alliance 14 yeux. Le fait de la surveillance collective suffit à refuser d'y stocker les données de nos clients.
Concernant l'Islande, la page Wikipédia susmentionnée se lit comme suit:
La constitution islandaise interdit la censure et il existe une forte tradition de protection de la liberté d'expression qui s'étend à Internet. [...]
Islande
Pendant la recherche d'un meilleur pays du point de vue de la protection de la vie privée, l'Islande est apparue encore et encore. J'ai donc décidé de l'étudier attentivement. N'oubliez pas que je ne parle pas islandais, c'est pourquoi j'aurais pu manquer des informations importantes.
Faites-moi savoir si vous avez des informations sur le sujet.
Selon le rapport
Freedom on the Net de
Freedom House
2018 , l'Islande et l'Estonie ont obtenu 6/100 points en termes de censure (le plus bas est le mieux). C'est le meilleur résultat. Gardez à l'esprit que tous les pays n'ont pas été évalués.
L'Islande n'est pas membre de l'Union européenne, même si elle fait partie de l'Espace économique européen et a accepté de suivre le droit des consommateurs et des affaires similaire à celui des autres États membres. Cela comprend la loi sur les communications électroniques (loi sur les communications électroniques 81/2003), qui a introduit des exigences de stockage des données.
La loi s'applique aux fournisseurs de services de télécommunications et prévoit le stockage des enregistrements pendant six mois. Il indique également que les entreprises ne peuvent fournir que des informations sur les télécommunications en matière pénale ou sur la sécurité publique, et que ces informations ne peuvent être fournies à personne d'autre que la police ou les procureurs.
Bien que l'Islande respecte généralement les lois de l'Espace économique européen, elle a sa propre approche en matière de protection de la vie privée. Par exemple, la
loi islandaise sur
la protection des données encourage l'anonymat des données des utilisateurs. Les fournisseurs de services Internet et les hébergeurs ne sont pas légalement responsables du contenu qu'ils publient ou transmettent. Selon la loi islandaise, le registraire de domaine (
ISNIC ) est responsable de la légalité de l'utilisation du domaine .is. Le gouvernement n'impose aucune restriction à la communication anonyme et n'exige pas d'enregistrement lors de l'achat de cartes SIM.
Un autre avantage de déménager en Islande est le climat et l'emplacement. Les serveurs génèrent beaucoup de chaleur et la température annuelle moyenne à Reykjavik (la capitale de l'Islande, où se trouvent la plupart des centres de données) est de 4,67 ° C, c'est donc un endroit idéal pour refroidir les serveurs. Pour chaque watt pour le fonctionnement des serveurs et des équipements réseau, très peu de watts sont dépensés proportionnellement pour le refroidissement, l'éclairage et autres frais généraux. De plus, l'Islande est le plus grand producteur mondial d'énergie «propre» par habitant et généralement le plus grand producteur d'électricité par habitant, avec environ 55 000 kWh par personne et par an. À titre de comparaison, la moyenne de l'UE est inférieure à 6 000 kWh. La plupart des hébergeurs islandais reçoivent 100% de leur électricité à partir de sources renouvelables.
Si vous tracez une ligne directe de San Francisco à Amsterdam, vous traverserez l'Islande. Simple Analytics compte la majorité des clients des États-Unis et d'Europe, il est donc judicieux de choisir cet emplacement géographique. Des avantages supplémentaires en faveur de l'Islande sont les lois protégeant la vie privée et une approche environnementale.
Migration de serveur
Tout d'abord, vous deviez trouver un hébergeur local. Il y en a beaucoup et il est vraiment difficile de déterminer le meilleur. Nous n'avions pas les ressources pour essayer tout le monde, nous avons donc écrit plusieurs scripts automatiques (
Ansible ) pour configurer le serveur afin que nous puissions facilement passer à un autre hébergeur si nécessaire. Nous nous sommes installés sur la société
1984 avec la devise, "Protéger la vie privée et les droits civils depuis 2006." Nous avons aimé cette devise et nous leur avons posé quelques questions sur la façon dont ils traiteront nos données. Ils nous ont rassurés, nous avons donc continué à installer le serveur principal. Et ils utilisent l'électricité uniquement à partir de sources renouvelables.
Cependant, au cours de ce processus, nous avons rencontré plusieurs obstacles. Cette partie de l'article est assez technique. N'hésitez pas à passer au suivant. Lorsque vous avez un serveur crypté, il est déverrouillé à l'aide de la clé privée. Cette clé ne peut pas être stockée sur le serveur lui-même, c'est-à-dire que vous devez la saisir à distance au démarrage du serveur. Attendez, que se passe-t-il lorsque vous coupez l'alimentation? Il s'avère que toutes les demandes de pages Web au serveur ne seront pas exécutées après un redémarrage?
C'est pourquoi nous avons ajouté un serveur secondaire primitif devant le serveur principal. Il reçoit simplement les demandes de consultation des pages et les envoie directement au serveur principal. Si le serveur principal tombe en panne, le serveur secondaire enregistrera les demandes dans sa propre base de données et les répétera jusqu'à ce qu'il reçoive une réponse. Ainsi, après une panne de courant, il n'y a pas de perte de données.
Revenons au chargement du serveur. Lorsque le serveur principal chiffré se charge, nous devons saisir le mot de passe. Mais nous ne voulons pas aller en Islande ou demander à quelqu'un là-bas d'entrer dans la salle des serveurs, pour des raisons évidentes. Pour l'accès à distance au serveur, le protocole SSH sécurisé est généralement utilisé. Mais ce programme n'est disponible que pendant le fonctionnement du serveur ou de l'ordinateur, et nous devons nous connecter avant que le serveur ne soit complètement chargé.
Nous avons donc trouvé
Dropbear , un très petit client SSH qui peut être exécuté à partir du
disque en RAM pour l'initialisation initiale (initramfs). Et vous pouvez autoriser les connexions externes via SSH. Maintenant, vous n'avez plus besoin de vous rendre en Islande pour charger notre serveur, bravo!
Le déménagement vers un nouveau serveur en Islande nous a pris quelques semaines, mais nous sommes heureux de l'avoir finalement fait.
Stocker uniquement les données nécessaires
Nous vivons dans Simple Analytics sur le principe de «ne stocker que les données nécessaires», en collectant le montant minimum.
Les applications Web pratiquent souvent la
suppression logicielle
des données. Cela signifie que les données ne sont pas réellement supprimées, mais deviennent simplement inaccessibles à l'utilisateur final. Nous ne le faisons pas - si vous supprimez vos données, elles disparaîtront de notre base de données. Nous utilisons un retrait dur.
Remarque: ils resteront dans les sauvegardes chiffrées pendant un maximum de 90 jours. En cas d'erreur, nous pouvons les restaurer.Nous n'avons pas de champs delete_at ;-)
Il est important que les clients sachent quelles données sont stockées et lesquelles sont supprimées. Lorsque quelqu'un supprime ses données,
nous en parlons directement . L'utilisateur et ses analyses sont supprimés de la base de données. Nous supprimons également la carte de crédit et l'e-mail de Stripe (fournisseur de paiement). Nous conservons l'historique des paiements nécessaire au paiement des taxes et conservons nos fichiers journaux et nos sauvegardes de base de données pendant 90 jours.
Question: si vous ne stockez qu'un minimum de données confidentielles, pourquoi avez-vous besoin de toute cette protection et d'une sécurité supplémentaire?
Eh bien, nous voulons être la meilleure entreprise d'analyse de confidentialité au monde. Nous ferons tout ce qui est en notre pouvoir pour fournir les meilleurs outils d'analyse sans empiéter sur la confidentialité de vos visiteurs. Même en protégeant d'énormes volumes d'informations anonymisées sur les visiteurs, nous voulons montrer que nous prenons la confidentialité très au sérieux.
Et ensuite?
Lorsque nous avons amélioré la confidentialité, la vitesse de chargement des scripts intégrés dans les pages Web a légèrement augmenté. Cela est logique car ils étaient hébergés sur le CDN de CloudFlare, une collection de serveurs à travers le monde qui accélèrent les téléchargements pour tout le monde. Nous envisageons maintenant de créer un CDN très simple avec des serveurs chiffrés qui n'enverra que notre JavaScript et stockera temporairement les demandes de pages Web avant de les envoyer au serveur principal en Islande.