La Californie veut carrément une vérif d'âge au niveau OS
Ça part en couille
Hello les gens !
Après Discord et sa vérif d'âge reportée à fin 2026 et Macron qui veut interdire les RS aux moins de 15 ans et "réguler les jeux vidéo", maintenant la Californie sort une loi qui bat des records d'ânerie : ils imposent une vérification d’âge obligatoire aux fournisseurs de systèmes d’exploitation et de magasins d’applications.
yinqi
Appelée la "California Assembly Bill 1043", ou "Digital Age Assurance Act", signée en octobre 2025 par Gavin Newson, Gouverneur Démocrate (PARDON ???) de la Californie, et entrant en vigueur le 1er Janvier 2027, et a pour but soit disant de protéger les mineurs contre les contenus en ligne via une vérif d'âge partagée entre les apps directement au niveau de l'OS.
Le principe serait qu'à l'installation de l'OS ou à la création d'un nouveau profil, on renseigne sa date de naissance, et qu'une API au niveau de l'OS peut être interrogée pour connaître l'âge de l'utilisateur de la session, vous vous doutez bien que rien ne va.
Adrien.D
On commence par le plus évident, c'est une idée de merde et un énième pas de plus vers un contrôle total façon 1984 de George Orwell. Maintenant la partie mise en place, c'est juste un champ à remplir, pas de vérif photo ou de pièce d'identité, d'un côté c'est cool, de l'autre, ça va rendre cette loi inutile car ça ramènera au cas des sites de cul où on a tous certifié avoir 18 ans n'est ce pas (insérer clin d'oeil).
J'ignore comment ça va être géré côté Windows, MacOS, Android et IOS, et en vrai la question se pose moyennement, ces OS étant détenus et maintenus par des entreprises et nécessitant tous un compte utilisateur chez l'entreprise elle même, dans les faits ça va rien changer quand on y repense, mais c'est plus du côté de l'écosystème Libre et Open-Source (les fameux FOSS ou FLOSS) que les interrogations se forment.
Hunton Andrews Kurth’s Privacy and Cybersecurity
En effet, le kernel Linux et le kernel BSD ne sont que les "moteurs" de la distribution, pas l'OS en lui même, et sont maintenus par des contributeurs éparpillés aux 4 coins du globe, et très souvent indépendants, donc comment ça va se passer de ce côté ? Bah évidemment ça fait débat.
Bon déjà comment la Californie va réussir à l'imposer sur la totalité des distro existantes ? Ça on sait pas vraiment, mais nombre d'entre elles sont maintenues par des entreprises clairement identifiées et elles ont déjà commencé à plancher sur la question :
- Du côté de Canonical (Ubuntu), Aaron Rainbolt (plus connu sur Github sous le pseudonyme ArrayBolt3), membre du Community Council d'Ubuntu a annoncé qu'ils étaient "en train de plancher sur la question afin d'implémenter une API qui se conformerait à la loi sans être un désastre question vie privée", et Jon Seager (jnsgruk) a annoncé sur leurs forums qu'ils étaient en train de plancher sur la question avec leur conseil juridique
- Les distributions basées sur Ubuntu comme elementaryOS ont annoncé être en attente de savoir comment Canonical va implémenter tout ça dans Ubuntu pour reprendre leur travail
- Côté Fedora (développée par Red-Hat), ils sont en train d'explorer comment l'implémenter de manière non intrusive pour la vie privée, du genre un simple fichier texte créé pendant le setup auquel l'API aurait accès (et à rien d'autre) afin de ne pas partager plus de données que ça, à voir comment ce sera implémenté
- System76, la société derrière Pop!OS et des stations de travail desktop et portables plutôt intéressantes relève que cette nouvelle loi ne demande pas de vérification robuste (comme j'ai dit, à la manière des sites de cul à une époque) et met en garde contre ce genre de loi
- Evidemment de nombreuses distro se sont également exprimées contre cette loi, et ont déjà annoncé que la Californie pouvait cordialement aller se faire foutre, on peut citer Omarchy Linux, Adenix, ou même MidnightBSD qui est allée plus loin en modifiant sa licence pour interdire toute utilisation en Californie (ah ouais on en est là)
- De nouvelles distro commencent également à pointer le bout de leurs octets, comme Ageless Linux, basée sur Debian, annonçant clairement être de ce fait illégale en Californie (et engregistrée en Californie, on appelle ça un énorme maléfuck), et vous me verrez passer sur du Full Apple avant de voir des distros comme Tails OS se plier à ce genre de lois
- Arch Linux et SUSE ne semblent pas encore s'être exprimé sur la question, que ce soit dans un sens ou dans l'autre, de plus du côté de NixOS ils attendent clairement de voir comment vont se comporter les "Big 4" de Linux avant de faire quoi que ce soit (Arch, Debian, Canonical, Red-Hat, vu que 99% des distro sont basées sur l'une d'elles)
Abhishek Prakash
Perso je vois beaucoup de soucis avec cette loi, qui risque en plus de faire des émules dans le reste des États-Unis (j't'en foutrais du Pays de la Liberté) et même dans le monde :
- déjà du côté de la protection de la Vie Privée (et qu'on me sorte pas le "je n'ai rien à cacher"), c'est une putain de catastrophe, c'est un pas de plus vers une surveillance généralisée façon 1984 comme dit plus haut (les jeux Orwell nous mettant dans la peau de ceux qui surveillent, ils sont très intéressants car permettent de voir comment cela serait mis en place dans un monde hyper connecté)
- un des grands principes du Libre est que cela doit être accessible à tous, peu importe l'âge, l'origine, la religion, etc, et de nombreuses distro mettent un point d'honneur à respecter ce principe comme Tails que j'ai cité plus haut
- les distributions Linux et leurs paquets sont distribués via ce qu'on appelle un réseau de miroirs, comme Steam vous me direz, en gros on a tout un tas de serveurs disséminés à travers le monde, généralement maintenus par des bénévoles ou des universités, c'est littéralement impossible de tous les forcer à mettre en place ce genre de vérification
- cette loi prévoit des amendes si des "mineurs" se retrouvent sur un OS "non conforme", mais à qui revient la faute quand le logiciel ou l'OS utilisé n'est pas maintenu par une entreprise mais par un collectif de particuliers ? Genre les outils de "hacking" utilisés par les Pentesteurs et chercheurs en Cybersécurité ?
- Comment qu'on fait pour les anciennes versions des OS ? J'utilise des distributions en Rolling Release, mais pour des distributions LTS (Long Term Support) comment qu'on fait ?
- Pour les entreprises qui créent des serveurs et comptes à la volée (genre sur le Cloud), comment qu'on fait ? Certes en théorie c'est tous des utilisateurs majeurs, mais du coup quand on crée une nouvelle VM sur Azure, faut aussi renseigner une date de naissance ? Quand une personne arrive dans une entreprise et qu'il faut lui créer un compte, on doit aussi le faire ? Quand on veut faire une machine de test ultra cloisonnée ça se goupille comment ? Et quid des utilitaires qui créent et suppriment des machines virtuelles (ou des conteneurs) en temps réel pour des exécutions "ponctuelles" ?
Beaucoup d'interrogations techniques et éthiques se posent ici (en même temps c'est mon métier de me poser ce genre d'interrogations), et à vrai dire, ça fait un peu peur et a des gros relents de PRISM 2.0 aussi (l'affaire Snowden tout ça).
Une application possible (et techniquement en place depuis au moins PRISM) est excellement représentée dans la duologie de jeux Orwell par Osmotic Studios sur laquelle je vous invite à vous pencher un jour si l'anglais vous fait pas peur, dans ces jeux vous incarnez directement un prestataire de Big Brother à l'ère des Réseaux Sociaux, et même si le premier jeu a 10 ans, il reste plus que jamais d'actualité.
