DuckDuckGo, le canard aux pratiques boiteuses

DuckDuckGo-Logo-Barré

Depuis quelques années, et principalement depuis les révélations de Snowden, DuckDuckGo est mis sur le devant de la scène en tant qu’alternative à Google. Si sur papier, et d’après leurs dires, DuckDuckGo ne trace pas ses utilisateurs et protège leur vie privée, la réalité peut être bien différente.

Loin de moi l’idée de les faire passer pour des menteurs qui profitent de la crédulité des gens, leurs intentions sont peut-être bien réelles après tout, mais une chose pourtant importante est souvent mise de côté.

Quelques détails

Tout d’abord, DuckDuckGo a pendant un temps été mis de côté par le site privacytools.io, qui détaille quels sont les enjeux de la vie privée online et donne quelques astuces pour se protéger. En effet, le fait que ce moteur de recherche soit basé aux États-Unis pose problème (Ce qui est précisé depuis qu’ils réaparaissent sur le site). Un datacenter doit répondre aux lois du pays dans lequel il se trouve, c’est le droit du sol qui s’impose, quelque soit la nationalité de l’entreprise. Dans le cas, de DuckDuckGo c’est une entreprise américaine dont les serveurs sont principalement aux États-Unis, ce qui commence déjà mal… Ça veut dire pour résumer que dans leur cas, le Patriot Act s’applique, et que toutes les agences gouvernementales de type NSA, CIA, ou FBI peuvent s’appuyer dessus pour parvenir à leurs fins, bien souvent en dépassant la ligne rouge. C’est déjà assez moyen, mais on pourrait se dire que DuckDuckGo a des serveurs sécurisés, bien planqués, toussa. En fait non, tout n’est qu’utopie.

Éric Leandri et DuckDuckGo

Dans un article lu avant-hier (Grâce à Steve12L) à propos de Qwant, moteur de recherche français qui lui aussi se veut être respectueux de notre vie privée, le PDG de Qwant Éric Leandri nous dit ceci de DuckDuckGo lorsqu’on le compare à son propre moteur de recherche :

« C’est juste un méta-moteur hébergé sur Amazon Web Services. C’est du Canada Dry. Si le gouvernement américain veut des données, il n’a qu’à demander à Amazon, sans même passer par Duck Duck. »

Si vous avez suivi les affaires de surveillance de masse dévoilées ces dernières années, vous savez probablement qu’Amazon est une des pires entreprises concernant l’exploitation des données. Comme le sous-entend Éric Leandri dans la phrase ci-dessus, même si les intentions de DuckDuckGo étaient réellement sincères, elles sont de toute façon inutiles. Il est facile pour les agences gouvernementales américaines de les gicler rapidement, sans même que DuckDuckGo ne soit au courant, sans même que DuckDuckGo puisse faire quoi que ce soit pour les contrer (Sauf en éteignant les serveurs comme l’avait fait Lavabit il y a quelques années. Et encore, pas sûr que ce soit suffisant si Amazon décidait de collaborer et laissait les agences gouvernementales accéder aux backups, agences qui sont parfois « têtues »).

On pourrait se dire « Mais pourquoi Franck tu fais confiance à une simple interview ? C’est juste un concurrent de DuckDuckGo qui défend les intérêts de son entreprise, non ? ». Bah ouais, c’est bien la première chose qui m’est venue à l’esprit.

Vérifions leur hébergement

Prenons quelques secondes pour vérifier par nous-mêmes :

Cliquons sur l’addon tcputils de Firefox :

addon tcputils de Firefox sur la page de Duckduckgo

 

Et maintenant consultons l’onglet qui s’est ouvert (Ou vous pouvez aussi faire un « whois 54.229.105.203 » dans votre terminal) :

pasDétails des serveurs de Duckduckgo sur tcputils

Comme on peut le voir sur tcputils.com, ils sont en effet hébergés par Amazon AWS. Dans cet exemple, les serveurs sont en Irlande (Pays qui est un peu devenu la banlieue de la Silicon Valley).

Quelques alternatives

Alors oui, à choisir entre Google et DuckDuckGo, si vous voulez protéger vos données par simple convictions ou pour des raisons professionnelles (Si vous êtes médecin, avocat, journaliste, hacktivist, etc…)DuckDuckGo semble être plus fiable que la firme de Mountain View. Mais il existe d’autres moteurs de recherche alternatifs qui sont plus sûrs (Ou qui du moins ne posent pas leurs valises chez Amazon). Voyons en quelques-uns.

Qwant : Moteur de recherche français dont les serveurs sont en France, mais qui est un moteur de recherche propriétaire (Le code source n’est pas consultable). Si les intentions de Éric Leandri sont certainement sincères et si Qwant a beaucoup évolué depuis ses débuts (Il était encore en beta quand je l’ai connu), il faut leur faire confiance sur la gestion des données. Il reste tout de même une excellente alternative à Google et au canard boiteux.

StartPage : Devenu célèbre grâce à Edward Snowden, ce moteur de recherche basé en Hollande (Le pays, pas François) se sert des résultats de recherche de Google et les anonymise. Ce n’est pas basé aux États-Unis, mais ce n’est pas un projet open source non plus. Si sur papier ça semble intéressant aussi, on ne peut que leur faire confiance aveuglément, bien que d’après leurs dires ils ne stockent pas les adresses IP des utilisateurs.

Metager : un métamoteur de recherche (Comme DuckDuckGo) partiellement open source (Comme DuckDuckGo aussi) basé en Allemagne. Leur but est aussi de  protéger la vie privée des utilisateurs, c’est globalement un DuckDuckGo bis basé en Europe et hébergé par Hetzner. Personnellement, même si j’aime bien l’idée, je trouve que les résultats de recherche ne sont pas toujours optimisés. On a bien souvent des résultats en première page qui datent de plusieurs années alors que d’autres plus récents et plus pertinents existent.

Searx : On commence à s’approcher du but. Searx est aussi un métamoteur, il regroupe les résultats de plusieurs moteurs  de recherche tels que, entre autres, Google, Bing, Yahoo, Yandex, mais aussi Wikipedia, Reddit, et d’autres sites. On peut choisir les sources des résultats de recherche selon nos besoins et/ou envies, et paramétrer à peu près tout ce qu’on veut. C’est 100% open source, et il existe plusieurs instances à travers le monde.

Approfondissons avec Searx

Au-delà des points positifs évoqués à l’instant, Searx offre un avantage supplémentaire. Si on cherche la petite bête, on pourrait se dire « Ok, ton truc c’est open source, décentralisé, et tout. Mais si quelqu’un met la main sur un des serveurs, cette personne pourra tout de même récupérer les logs, même chiffrés ». Comme je le disais plus haut, c’est le droit du sol qui s’applique aux serveurs. Des données qui sont en sécurité sur une instance le seront peut-être moins sur une autre.

Avec Searx, on a une autre possibilité d’utilisation : Éxécuter Searx en local (Ou en localhost pour les intimes). Oui, un moteur de recherche hébergé directement sur votre machine. Vous pourrez trouver tous les détails sur la page Github du projet. Si vous ne parlez pas bien anglais, bien que je pense que ce ne soit pas indispensable ici, vous pourrez trouver sur ce blog un tuto en français que je vous ferai bientôt. Ainsi, en appliquant cette méthode, les logs sont stockés sur votre PC. Si vous êtes attentif à votre machine, en ne la laissant pas trainer partout et en étant vigilant à ce que vous faites online, vos données sont sécurisées (Du moins elles le sont beaucoup plus qu’avec les alternatives évoquées précédemment).

/edit : Comme la question m’a été posée plusieurs dizaines de fois aujourd’hui (Vraiment), je précise que le but de l’instance en local n’est pas de taper 3 commandes et de l’utiliser telle quelle. Le prochain article, qui sera consacré à Searx, détaillera comment passer par un reverse proxy, Proxychains, ou autres techniques. En attendant sa parution, si vous ne savez pas comment mettre tout ça en place, Qwant est très bien, ainsi que les instances Searx, incluant celles de Framasoft et de la Quadrature du Net.

/edit2 : La suite sur Searx est ici.

Conclusion

Sans tomber dans la paranoïa ou le complotisme, soyez attentif quant à l’utilisation de vos données personnelles. Si vous ne voulez pas marcher en canard, vérifez par vous-même quand une entreprise vous dit « Nous on est des gentils, on fait tout bien pour protéger vos données. Bisous ». Dans bien des cas, c’est juste un argument pour vous faire utiliser leurs produits et générer plus de revenus.

 

61 réflexions sur « DuckDuckGo, le canard aux pratiques boiteuses »

  1. après test rapide de ta liste, seuls ddg et qwant supportent les bangs. et comme j’aime pas l’interface de qwant, bah… je reste sur ddg pour le moment

    1. C’est vrai que DDG propose des fonctionnalités qui sont vraiment intéressantes, comme les bangs, mais pas que.

      https://thehackernews.com/2014/02/duckduckgo-goodies-that-every-sysadmin.html

      Après, tout dépend de nos besoins et de nos convictions, Je mets juste en avant que DDG est hébergé par Amazon, et que malgré leur bonne foi apparente, cet hébergement sur AWS peut se retourner contre eux, mais surtout contre nous, utilisateurs. Je connais des libristes qui travaillent 8h par jour sur Google et Chrome sur un MacBook parce-que pour eux, contenter le client est plus important que l’éthique ou les discours de Richard Stallman, Jérémie Zimmermann, Julian Assange, et autres personnes hacktivists.

      La difficulté dans ce domaine, c’est qu’il n’y a pas une seule bonne solution.

    1. Ah, voilà le contenu de la certification initiale, renouvelée depuis (v. le lien donné ci-avant) :

      « Web search by means of Ixquick, Startpage and Startingpage makes use of several data minimization and encryption (hashing) techniques:

      Firstly, search terms and IP addresses are not stored in log files. All other types of information (e.g., language and web browser category) do not qualify as personal data. Nevertheless, they are deleted after 14 days.

      Secondly, the involved third parties (search engine providers and advertisement partner) do not receive information allowing them to identify the users of the Ixquick service. This applies to third party web site providers as well, if users employ the proxy functionality of the Ixquick service.

      Thirdly, Ixquick caches images, videos and web pages for proxy requests for the purpose of technical availabilty. After a period of one hour, the cache content is automatically deleted.

      Finally, Ixquick servers have been configured to handle HTTP requests over secure and encrypted Secure Socket Layer (SSL) connections and Ixquick makes use of the so-called POST method (instead of the GET method) to keep search terms out of the logs of webmasters of sites that users reach from Ixquick’s result pages. »

      1. Encore une fois, sans vouloir cracher sur des gens qui visiblement se motivent pour sécuriser nos données, ce n’est pas parce-qu’ils écrivent ça qu’on doit leur faire confiance SANS VÉRIFIER PAR NOUS MÊME (J’insiste bien sur ce point, avant DDG était soi-disant sécurisé aussi) qu’on peut faire tout et n’importe quoi.

        Pour caricaturer, si demain je monte mon propre moteur de recherche en disant « Salut les amis LOL. Voici un nouveau moteur de recherche sécurisé, faîtes moi confiance. Bisous » alors que j’héberge un metamoteur sur un Raspberry Pi en mode open-bar, bah… voilà.

        Je veux bien admettre qu’ils agissent de bonne foi, mais sans vouloir faire mon crypto-anarcho-terroriste, on n’a aucun contrôle et aucun moyen de vérification sur la manière dont les données sont traitées, sur la manière dont ils répondent aux demandes judiciaires (Qui sont souvent hors-jeux), etc… Sur un Searx en localhost et sécurisé via proxy, Tor, ou autres, je sais où sont les logs. (J’ai inséré pas mal de liens dans l’article pour justement éviter ce genre de confusion et pour éviter qu’il soit 3 ou 4 fois plus long).

    2. Sans vouloir leur cracher dessus, bien au contraire (Merci à ce genre de moteur de recherche d’exister), je sous-entends seulement qu’un code propriétaire peut toujours laisser le doute.

      Sans vouloir me faire l’avocat du diable, quand Google dit « Nous on sécurise vos données, promis », tout le monde leur crache à la gueule en disant « Fake, bullshit, vendus, etc… » et dit que le « Don’t be evil » c’est du passé. Alors pourquoi devrait-on forcément croire sur parole les dev de Startpage, Qwant, Metager, et autres sur paroles quand ils nous sortent le même
      discours ?

      Je dis juste « Merci Startpage ou Qwant de faire ce que vous faîtes », mais le doute pourra toujours être présent. Non pas en disant qu’ils sont des loups déguisés en brebis, mais que si des agences gouvernementales leurs mettent la main dessus, en tant qu’entreprise, ils sont obligés de répondre aux lois du pays dans lesquels les serveurs se trouvent.

      Au quotidien j’utilise Qwant, et pour des choses plus spécifiques, Searx en localhost soit via proxychains, soit en reverse proxy via Tor (Ce qu’on appelle un service caché).

  2. Merci pour ce rappel important.

    Pour une utilisation « lambda » au quotidien, Duckduckgo reste quand même moins evil que Google, et les résultats sont pertinents. Je continue à le conseiller autour de moi, ainsi que Qwant, pour que les gens se rendent compte qu’il y a une vie hors de Google, et qu’ils se fassent une idée des deux (très différents).

    Pour le coup de Searx installé en local, je ne connais pas bien mais j’imagine que les requêtes de recherche partent de notre machine, du coup niveau privacy ça doit pas être top…

    1. Ah, je n’avais pas vu ta réponse juste au dessus : « Searx en localhost soit via proxychains, soit en reverse proxy via Tor (Ce qu’on appelle un service caché) ».
      Bon, ce n’est pas très « grand public » non plus, difficile de conseiller ça dans notre entourage.

    2. DDG n’est probablement pas evil. L hébergement est fait sur Amazon par contre. Comme le dit Érci Leandri dans l’extrait partagé dans l’article, si des agences gouvernementales veulent des data, elles n’ont même pas besoin de passer par DDG. Direct à la source chez Amazon.

      Searx en local oui, ça requête de notre machine. C’est pour ça que j’écrirai bientôt un article pour montrer sécuriser ce type d’utilisation, on m’a posé la question pas mal de fois aujourd’hui sur Mastodon, ça va être utile.

  3. Est-ce que DDG enregistre (doit enregistrer ?) les différentes requêtes de ses utilisateurs ?
    Ne fait-il pas juste des logs anonymisés et généraux ?

    1. Si on leur fait confiance, ils ne stockent pas les info. Si on est un peu pointilleux, un sniffer ça se met en place en quelques minutes. Donc stockées ou pas, tout ce qui passe dans les tuyaux peut potentiellement être redirigé ailleurs (On aurait prit ça pour le la SF ou de la parano il y a quelques années, jusqu’à ce qu’un certain Edward nous donne quelques documents. Thomas Drake avait commencé à nous avertir un peu plus tôt).

  4. Installer un meta moteur en local… La fausse bonne idée! Le méta moteur va aller requêter Google, depuis ton IP. Tu n’a rien gagné.

    1. Oui, je sais. C’est pour ça qu’il faut passer par un reverse proxy ou Tor ou Proxychains ou VPN ou autres. Ce qui sera expliqué dans le prochain article, comme précisé dans celui-ci.

  5. article intéressant, honnêtement il est difficile de savoir ce qui se passe réellement chez les uns et chez les autres. Cela dit dans la page « Privacy » https://duckduckgo.com/privacy#s3 de DuckDuckGo, on peut lire:

    « When you access DuckDuckGo (or any Web site), your Web browser automatically sends information about your computer, e.g. your User agent and IP address.

    Because this information could be used to link you to your searches, we do not log (store) it at all. This is a very unusual practice, but we feel it is an important step to protect your privacy. »

    *A priori*, il n’y a pas de trace permettant d’identifier quelqu’un sur les serveurs de DuckDuckGo et donc dans leur backup non plus. Et je doute qu’Amazon aie ce genre de logs. La phrase du PDG de Qwant ressemble quand même pas mal à la défense de son bout de gras (ce qui est parfaitement normal :-)). Si seulement la version « lite » de Qwant ressemblait pas à un site des années 90 🙂

  6. Euh… Quel intérêt d’héberger chez soit Searx ? Si c’est un metamoteur, alors il va requêter Google & Co. Avec notre IP. Très souvent fixe en France. Traçabilité immédiate. Un peu comme quand on surfe en anonyme de chez soit. On est totalement tracé.

    1. Comme on m’a posé la question toute la journée je vais faire un copier/coller hein 😉

      « C’est pour ça qu’il faut passer par un reverse proxy ou Tor ou Proxychains ou VPN ou autres. Ce qui sera expliqué dans le prochain article, comme précisé dans celui-ci. »

    1. Mozilla a quelques partenariats qui laissent à désirer ouais. J’aime beaucoup son côté tweakable, les projets mis en place par Mozilla (Comme le A-Frame par exemple), mais à l’inverse un navigateur comme Brave que j’aime beaucoup aussi est tès peu tweakable pour l’instant (C’est toujours en beta). Vivaldi est pas mal mais partiellement open source. Chromium bof. À défaut de mieux, pour l’instant, Firefox fera l’affaire.

      1. Ouf.
        Ça fait bizarre d’être cité ici.

        Bon, sur la plupart de ce que tu écrit, je suis en partie d’accord. Après, concernant Amazon, ce qu’il ne faut pas oublier, c’est qu’AWS vend une infra qui est mondiale, à la demande, et très facilement modulable via ansible. Combien d’hébergeurs en proposent autant ? Pas tant que ça.
        Et quand on n’a pas les moyens de monter un datacenter, on tente de se concentrer sur son métier, quitte à acquérir une dette technique et donc avoir un risque technique.
        Alors, oui, c’est un risque.

        Mais d’un autre côté (et désolé de t’attaquer sur ce plan), mais avec plein de lib js tierces sur ce blog, Add To Any, Google Translate, Google Fonts… Ben faire la morale aux moteurs de recherche doit peut-être commencer par moins d’envois de scripts tiers aux visiteurs de nos propres sites ?

        1. Oooouuuh mais c’est vrai… Ça fait longtemps que je dois virer GAnalytics, complètement zappé… Merci de me le rappeler 😉

          Pour GTranslate, je n’ai trouvé malheureusement trouvé aucune alternative aussi efficace pour WP. Hors de ce site, j’utilise maintenant https://www.deepl.com/translator qui comprends le contexte beaucoup mieux que GTranslate (Il suffit de faire un test sur les 2 avec par exemple « La caisse de mon patron est en panne » traduit vers l’anglais, c’est flagrant), mais pour une extension libre sur WP, je suis preneur le jour où quelque chose de correcte apparaîtra.

          Pour Google Fonts le tracking est suspecté, rien de certain.

          Pour ce qui est de se concentrer sur mon métier, oui, il faut différencier ses goûts personnels de la productivité professionnelle, les 2 ne sont pas toujours compatibles (Je connais des libristes qui bossent sur MacBook, Photoshop, Google et Chrome).

  7. Bonjour,

    C’est quoi le soucis avec un site hébergé chez AWS en fait ?

    (sachant que ddg n’a pas de cookie, on ne créé pas de compte etc…)

    1. Pour faire court, Amazon fait partie des entreprises qui ne protègent pas du tout la vie privée de ses utilisateurs, et est « soupçonée » d’avoir ouvertement collaboré avec la NSA (Chose qui a été dévoilée avec les documents de Snowden). D’où le 2e A de GAFAM 🙂

    1. Ce n’est pas impossible oui. Avec toutes les news qui tombent ces dernières années, et même ces derniers mois avec Kaspersky et Intel dans un registre différent, il faut s’attendre à avoir de nouvelles surprises dans un avenir plus ou moins proche.

  8. Bonjour.

    Pas mal l’article, difficile de faire son choix quand on veut se passer de Google.
    Comme moteur de recherche, j’utilise alternativement Yandex et SearX.
    J’aimerai utiliser searX de façon permanente pour sa pertinence des résultats, mais je me heurte à un problème.

    J’utilise Firefox, et je navigue exclusivement en navigation privée, du coup tous les paramètres de searX sont perdus dès que je ferme Firefox.
    Existe t’il une technique pour faire comme sur duckduckgo, avoir un url avec nos préférences enregistrées et que j’aurais juste à mettre comme page d’accueil pour Firefox.???

    Dans SearX, il y a tout en bas un lien de toutes mes préférences enregistrées,
    mais je ne sais pas à quoi il sert, en tout cas, de le définir comme page d’accueil pour Firefox, ça ne fonctionne pas, je tombe sur une page avec une recherche «  »%s » » et non une page vierge de SearX.

    Et je suis très nulle dans ce domaine 🙁
    Si quelqu’un pouvait m’éclaircir la situation ça serait cool.
    Ou savoir si je peux faire un «  »pull request » » sur le github du développeur de SearX pour lui soumettre cette éventuelle option d’url qui garde nos préférences, à l’instar de Duckduckgo, Qwant, Startpage.

    Merci.
    Aurevoir.
    Victoria.

    1. Le lien en bas de page sur Searx sert effectivement à l’ajouter en page d’accueil. Pour la recherche avec le %s, je n’ai jamais vraiment compris l’intérêt, à part peut-être pour faire un test, mais pas vraiment convaincu. Pru importe la raison, cette requête est visible en fin d’URL, avec ce paramètre : &q=%s

      Il suffit d’ajouter le lien en page d’accueil et de supprimer la fin (&q=%s). Et tout rentrera dans l’ordre.

      Le %s

  9. Merci pour cet article qui a le mérite (avant le tuto à venir) d’exposer très simplement les effets d’annonce plein de candeur de certains éditeurs… J’ajoute qu’on peut aussi se prémunir un minimum de toute action de pistage en configurant son navigateur, ou en utilisant des plugins ou outils complémentaires (ghostery, privacy badger, decentraleyes, uMatrix, etc).

    Quand on ne peut pas faire autrement qu’utiliser Google (pour des raisons professionnelles par exemple) on peut passer 5 minutes à configurer son compte (désactiver et supprimer les historiques étant la base je pense).

    Certains logiciels cumulent plusieurs avantages, comme par exemple le navigateur Opera (que je n’ai pas vu cité ici) avec son VPN intégré.

  10. J’ai rédigé une réponse un peu longue ici : https://lord.re/fast-posts/08-reponse-franck-ridel-ddg/

    J’ai quelques soucis concernant l’article. DDG n’a pas de pratiques douteuses bien au contraire. Par contre leur prestataire (amazon) lui effectivement c’est le cas.

    Je suis globalement pas convaincu que ce soit vraiment différent de la part de Qwant (au lieu que ce soit le gouvernement US qui pioche dedans c’est plus européen).

    Est-ce vraiment mieux d’un point de vue respect de la vie privée d’utiliser searx avec proxy tor, plutôt que ddg (ou qwant, ou google) via proxy tor ? Je ne pense pas, ça revient sensiblement au même. Juste la surcouche searx en plus.

    1. « DDG n’a pas de pratiques douteuses bien au contraire. Par contre leur prestataire (amazon) lui effectivement c’est le cas »

      C’est ce qui est dit dans les propos de Éric Leandri oui, je n’ai pas sous-entendu le contraire non plus.

      « utiliser searx avec proxy tor, plutôt que ddg (ou qwant, ou google) via proxy tor ?  »

      Pour la 50e fois depuis hier, pour Searx, le but sera de l’installer en local de différentes manières. Ça ne s’adresse pas à tout le monde, ce n’est pas la solution la plus simple, mais ça sera intéresant à mettre en place pour qui ne l’a jamais fait et permettra de comprendre certaines choses.

      Si d’autres cyber-prophètes ont l’intention de venir partager leur vérité ici, abstenez-vous. Merci d’avance.

      1. C’est du https donc les réseaux aws ne voient rien passer.
        Si DDG a bien fait son truc, leurs serveurs chez aws sont chiffrés, avec un bon méchanisme d’authent donc personne chez aws n’a accès au contenu de ces serveurs.

        Du coup, quel est le problème avec aws si ddg a bien fait son truc?

        1. Bah la réponse est dans la question : « si ddg a bien fait son truc ».

          Quand Google nous dit « Promis, on ne vend pas vos données, on sert juste d’intérmédiaire entre vous et les annonceurs », pourquoi est-ce qu’il y a un soulèvement de barbus ? Parce-qu’on ne sait pas s’ils le font vraiment, et c’est ça qui pose problème aux yeux des utilisateurs.

          Des exemples comme celui de ta question, on peut en prendre des tonnes : Messagerie de Yahoo foireuse, comptes de diverses entreprises (De Orange à Sony en passant par Ebay ou Uber) qui se retrouvent pillés et revendus alors qu’ils sont sensés être sécurisés. Alors qu’avant on aurait tout aussi bien pu se dire « Si Bidule a bien faire son truc, quel danger ? »

          J’ai bien dit à la fin qu’il ne faut pas tomber dans la parano, juste être attentif. Mais de plus :

          – Je n’ai pas d’actions chez Qwant
          – C’est un des moteurs que j’utilise parmi d’autres
          – Je soulève juste une question, je n’oblige personne à être d’accord
          – Si les gens veulent utiliser DDG ou même Google, ça ne m’empêchera pas de dormir
          – Il faut arrêter de croire qu’il y a une seule et unique bonne réponse universelle qui doit s’appliquer à 7 milliards d’êtres humains
          – Il faut arrêter de confondre un simple article informatif avec un code de conduite qu’on essaie de vous imposer. Je ne suis pas là pour tenir la bite de tout le monde 😉

          1. Bein en gros tu fais un article dont le titre et l’image laisse entendre que ddg est pourri, et tu proposes des alternatives.
            Alors qu’en fait ddg est aussi bien que les alternatives. Et bien mieux que les millions de sites qui utilsisent cloudFare comme CDN (cloudFare fait la terminaison TLS, du coup ils voient les données en clair)
            Je reconnais que tu es honnête sur les avantages/inconvénients des alternatives, c’est le titre qui est trompeur.
            C’est moins accrocheur mais « Bon à savoir : DDG est hébergé chez AWS » serait plus honnête comme titre.

            1. Tu n’es pas seul seul à t’être concentré surtout sur le titre.

              De mon point de vue (Je ne dis pas qu’il est bon, c’est juste le mien), les mauvaises pratiques en question c’est par rapport au choix de l’hébergement. Si tu mets tes enfants à garder chez un couple de pédophiles récidivistes, eh bien… tu vois ce que je veux dire… 😉

              Là c’est un peu le même principe. Amazon fait partie des principaux acteurs évoqués dans les documents de Snowden. On le sait depuis 2013. À partir de là, héberger un moteur de recherche « privacy-friendly » sur AWS, eh bien… tu vois ce que je veux dire… 😉

  11. salut,

    sans oublier Yacy svp, LE moteur d’indexation libre en p2p: https://yacy.net/fr/ on peut choisir sa langue de résultats, qui ne sont pas encore top (il manque du monde, et de l’indexation).

    Tu ne peux pas faire un argument de propos d’un busenessman concurrent de duckduckgo 😉 (qui n’est pas à jour d’ailleurs)

    1. Merci pour Yacy, je n’en ai jamais entendu parler, mais à première vue l’idée semble intéressante.

      « Tu ne peux pas faire un argument de propos d’un busenessman concurrent de duckduckgo »

      Merci Captain Obvious, c’est exactement ce que j’ai dit (T’as surement loupé quelques paragraphes). D’où la démonstration via tcputils.

  12. Merci pour l’info — et la démonstration (j’apprécie quand les gens mettent les mains dans le cambouis 🙂

    J’ai commis ceci dans la même veine et suis preneur de critiques, même méchantes, et suggestions d’ajouts éventuels (faut que ça reste simple et court, toutefois, vu le public que je vise) :
    http://www.precisement.org/blog/Comment-se-proteger-facilement-de-la-curiosite-de-Facebook-Google-Amazon-et.html

    Sinon, je suis expert dans la recherche d’infos et de documents (on appel ça un docmentaliste :-), et désolé mais la pauvreté de l’index de Searx et DuckDuckGo est sans commentaire. Hélas. Qwant, à cet égard, est moyen — d’ailleurs, c’est lui aussi un métamoteur (voir la similitude des 2/3 des résultats avec ceux de Bing) et c’est le bébé du patron de presse allemand Axel Springer. Je préfère très nettement Startpage (ex-Ixquick), qui pioche explicitement chez GG.

    1. Je l’ai déjà dit ces derniers jours, mais Qwant complétait ses propres résultats avec ceux de Bing (Comme Free Mobile qui passait par Orange à ses débuts). Aujourd’hui, comme précísé dans l’article de Usine Digital mis en avant ici, Qwant est de plus en plus indépendant (Pas besoin d’être expert chépakoi pour trouver cette info).

      En cas de doute tu peux toujours faire le test. Comme je viens de me réveiller et que je suis en manque d’inspiration, j’ai tout simplement pris les termes : « precisement blog ».

      https://screenshots.firefox.com/3z0EjCA0HO7u56SM/www.qwant.com
      https://screenshots.firefox.com/O7gukhSSXBFKLld9/www.bing.com

      Après, peu importe ce que t’en penses, je ne suis pas un fanboy de Qwant, je n’ai rien à vendre et… je vais m’arrêter là pour ne pas devenir malpoli… 😉

  13. Le serveur frontal de qwant est en France et leur appartient, mais on ne sait pas où sont les serveurs backend, ni même qui les héberge. Je ne dis pas qu’ils hébergent leur backend chez aws, mais on sait pas hein.

    Dans le même genre de parano, l’IP du serveur qwant et délivrée par COGENT. Cogent est une entreprise américaine soumise au patriote act, donc si la NSA leur demande ils seront obligés de router les infos par les US pour qu’elles soient interceptées par la NSA.

  14. Bonsoir,

    Je viens de tomber sur cet article intéressant, et si je suis (a tort?) plutôt confiant vis-à-vis de DDG, je vous remercie surtout de mettre en avant l’initiative de SearX. En local ou pas la gestion des logs est assez transparente, et cet outil mérite donc d’être connu ! Au passage d’ailleurs, la quadrature du net ont fait leur propre instance que je crois assez respectueuse de nos données… 🙂 Merci encore!

    1. Bonsoir,

      À tort, pas forcément. Dans le prochain article que je suis en train d’écrire (Et qui sera finalement en 2 parties parce-que ce sera plus long que prévu), je rectifie justement (Et sarcastiquement) le fait que je n’ai pas voulu démonter gratuitement DuckDuckgo, qui a tout de même de bonnes fonctionnalités. Je mets juste en avant leur mauvais choix d’hébergement (Comme je disais ici en réponse à un précédent commentaire, une personne sensée ne mettrait pas ses enfants à garder chez un couple de pédophiles récidivites. Là c’est pareil pour DDG qui est hébergé chez Amazon malgré ce qu’on sait depuis les révélations de Snowden).

      Pour la Quadrature, je l’ai précisé après coup dans l’edit (En rouge) de l’article, ainsi que l’instance de Framasoft. Dans le prochain article, je vais justement parler de Gibberfish qui propose soit de passer par une instance standard qui ensuite passe par Tor, ou soit de passer par une instance en .onion, l’avantage de Searx c’est qu’on peut l’utiliser de différentes manières.

      Comme une personne disait dans un des précédents commentaires, « si DDG fait bien son boulot, on n’a rien à craindre ». Mais le problème c’est le « si » (Dans le même esprit, si Orange, ou Uber, ou Ebay avaient bien fait leur boulot, des millions de comptes n’auraient pas été compromis et revendus).

  15. j’utilise searX depuis environ 1 an et ce de plus en plus. au tout debut les requetes plantaient, ca a l’air d’aller mieux, peut etre le changement de leurs serveurs.
    a ce jour, j’ai du choisir une langue de recherche mais beaucoup de mes recherches peuvent adresser plusieurs langues.
    j’ai fouille un peu le net, leur wiki sur github, existe-t-il un moyen de ne pas choisir de langue priviligiee a la recherche?

    1. Comme la plupart de mes requêtes sont en anglais, sur un navigateur en anglais et sur un OS en anglais, j’avoue que je ne me suis jamais posé la question 🙂 Je laisse toujours sur « Default language ».

      Cependant, une instance de Searx ne fait pas l’autre. Certaines sont plus complètes que d’autres concernant les réglages. Une des plus complètes est selon moi celle de la Quadrature Du Net : https://searx.laquadrature.net

      1. merci du retour,

        j’utilise celui de la quadrature aussi.
        j’utilise aussi waterfox et ma config preference/vie privee consiste a:
        vider tout l’historique a la fermeture de wf sauf preferences de site et donnees de site
        accepter les cookies/accepter les cookies[jamais] & les conserver jusqu’a [la fermeture de wf]

        le resultat c’est que mes preferences de searx ne sont pas gardees alors que j’ai mis searx ds mes exceptions de cookies a garder.
        un conseil?

  16. Salut,
    J’utilise Ixquick (Startpage) et Framabee sur PC.
    Sous android, j’ai adopté Firefox Focus.
    Je vais bidouiller ceux que vous proposez (Searx notamment)
    Je ne suis pas aussi geek que vous sur les open source et autres politiques des moteurs mais je crois que ceux-là sont assez respectueux des données utilisateurs.
    Qu’en dites-vous ?

  17. Bien, j’ai lu toute la page.
    MERCI (et bravo) à Franck, qui, patient, répète régulièrement les mêmes choses.
    C’est moi, ou beaucoup de ceux qui interviennent ne lisent pas ce qui les a précédés ? Parce que ça nous ferait des vacances !
    En tous cas, je vais de ce pas tester un peu moi aussi.
    Et je réitère mon merci.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *