septembre
2009
Un article de doctorrock
Personne n’aime l’idée du BigBrother qui les espionne, et pourtant le Web est tout à fait propice à celà.
Prennez votre FAI. Simple : il est votre réseau, il peut donc tout savoir de votre surf. Soit en descendant dans TCP/IP, soit simplement en monitorant son serveur DNS (vous pouvez par contre très bien utiliser des DNS ouverts et libres comme OpenDNS ;-))
Mais ce n’est pas tout. Par exemple les barres d’outils des navigateurs sensées vous aider, vous espionnent. C’est pas pour rien que des pactes commerciaux sont passés entre certaines sociétés qui vous proposent souvent d’installer une barre hors sujet par rapport à leur activité.
Autre chose: HTTPS. HTTPS fonctionne sur SSL grâce à des certificats. Lorsque votre navigateur se connecte via HTTPS, il reçoit un certificat et va alors demander à l’autorité qui a fournit celui-ci, s’il est valide. Seulement ces autorités sont très peu en nombre (Thawte, Verisign …), Verisign détient environ 57% des certificats SSL et lorsqu’on sait qu’un certificat est souvent à usage unique (il ne concerne qu’un seul site), on peut donc supposer que ces autorités sont capables de connaitre toutes les connexions de la planète vers ces sites là (sites marchands typiquement). Heureusement que ceux-ci ne semblent pas envoyer de cookies aux clients, sinon il y a traçage en règle…
Si on parlait des pages par défaut des navigateurs. Là il y a à redire. Chaque fois que vous ouvrez votre navigateur, la page d’accueil que vous chargez sait que vous avez ouvert celui-ci.
Pire, la page d’accueil d’Apple pour Safari inclut un lien vers metrics.apple.com qui collecte tout un tas de statistiques vous concernant comme la résolution d’écran, les plugins de navigateurs. Certaines fois des requêtes vers metrics.apple.com redirigent vers Doubleclick.net (que l’on ne présente pas).
La page d’accueil de Opera, elle, utilise GoogleAnalytics.
Or certains d’entre eux peuvent clairement vous identifier, grâce à un cookie de session unique.
Microsoft et sa page MSN utilisent m.webtrends.com qui vous envoie un cookie dès l’ouverture de votre navigateur. Ils peuvent ensuite vous tracer sur les sites où ils incluent un lien, grâce notamment au referer HTTP (qui est désactivable, du moins sous Firefox).
Méfiez vous aussi de Microsoft et de ses tendances à vous rediriger vers microsoftxxxx.msn.com. Le domaine MSN possède souvent un cookie car beaucoup de personnes utilisent la messagerie WindowsLive et hotmail. Un cookie permanent est utilisé et donc Microsoft sait quand vous ouvrez votre navigateur, et quand vous surfez sur leurs sites ou les sites de leurs partenaires.
Idem pour Google et iGoogle. Si vous avez un cookie permanent (Gmail ?), alors dès que vous ouvrez votre navigateur, Google sait que vous l’avez ouvert et tous les sites de ses partenaires peuvent inclure des liens vers google.com (et donc votre navigateur les suivra gentiment en envoyant le cookie permettant de vous identifier de manière unique).
Les filtres anti phishing. Génial ça ! Rien de mieux pour s’introduire dans votre surf privé.
Pour chaque URL visitée, une vérification en base de données est faite pour savoir si ce site là ne comporte pas de risque. Comment est faite cette vérification ? Certains navigateurs téléchargent en local cette base de données : pas de fuite d’informations privées donc, et la requête est locale donc beaucoup plus rapide. Mais certains seulement …
La palme est détenue par Opera : Leur filtre de vérification de site, activé par défaut, envoie une requête en temps réel pour chaque domaine visité à sitecheck2.opera.com. Opera peut donc savoir, s’ils le souhaitent, toute l’utilisation qui est faite de leur navigateur. En revanche ils n’utilisent pas de cookie traceur, ils doivent se résoudre à l’IP, ce qui est déja pas mal lorsqu’on sait que l’IP fixe est de plus en plus proposée par les FAIs.
On pourrait soupçonner IE8 et ses « sites suggérés »
Bref, ça fait froid dans le dos tout ça. Toutes ces sociétés savent trier et exploiter ces millions d’informations quotidiennes qu’elle reçoive, ahh les statistiques et le datamining…
Certes un utilisateur avertit qui connait le fonctionnement du Web (un professionnel du Web) sait tout ça, et sait le contrer. Mais quid des autres utilisateurs Lambda qui ont encore peur d’allumer « leur ordinateur » sous peine qu’il n’explose (je caricature) ?
Ces personnes là sont-elles au courant qu’elles sont espionnées, contre leur gré, par des grandes sociétés et à des fins bien sombres ?
C’est bien joli d’indiquer « qu’aucune information personnelle n’est envoyée », c’est comme si rien n’était fait (ne soyons pas naïf, la compléxité des systèmes d’informations est telle que personne ne peut vérifier ce genre d’affirmation).
Le plus simple pour vérifier tout cela et le contrer niveau utilisateur est le forward proxy.
Le web est vraiment passionnant n’est-il pas ?
2 Commentaires + Ajouter un commentaire
Commentaires récents
Archives
- novembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- avril 2010
- mars 2010
- février 2010
- janvier 2010
- décembre 2009
- novembre 2009
- octobre 2009
- septembre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- décembre 2008
- novembre 2008
- octobre 2008
- septembre 2008
- août 2008
- juillet 2008
- juin 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- janvier 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juillet 2007
- juin 2007
- mai 2007
- avril 2007
- mars 2007
- février 2007
De mon côté je ne suis pas contre laisser des informations sur moi sur le net mais j’aime choisir lesquelles.
Niveau navigation c’est assez simple, Open DNS et un VPN.
Aucune toolbar et lorsque je veux un surf en toute tranquillité j’active un proxy (Tor).
Aujourd’hui j’ai eu l’exemple de la collecte d’information non désiré d’un utilisateur lambda. Un ami me parle de son site et des problèmes de référencements et il me cite un autre site qu’il a fait. Il bidouille plus qu’il ne développe via un outil de création assisté sur mac (du genre template tout fait, plus qu’à remplir). Et il me dit qu’il ne comprend pas et que son autre site est bien référencé.
Je vérifie de mon côté en googlant le site avec les keywords indiqué, rien dans les premières pages.
– Tu as un compte Google ? – oui…
C’est simple, google enregistrant les requêtes en particulier si l’historique web est activé, les requêtes donnent alors des résultats modifiés selon les requêtes précédentes de l’utilisateur.
n.b. hey doc’ comment on peut te contacter
je suis toujours ton blog depuis « l’époque SCCT » mais pour discuter c’est plus difficile maintenant, GTalk ? Twitter ?
Cette petite histoire me fait penser à une autre assez similaire, celle des mots de passe.
Combien d’internautes utilisent le même mot de passe pour l’ensemble de leur comptes internet?
Combien de sites internet proposent (ou imposent) de créer un compte utilisateur?
Il y a donc énormément de gens qui donnent leur mot de passe à des centaines de sites internet sans se rendre compte du danger.
Scénario : Je m’inscrit sur un site afin de télécharger une recette de cuisine. Je donne donc mon e-mail et un mot de passe.
Imaginez que le mot de passe que j’ai fourni soit le même que celui de ma messagerie ?
L’administrateur du site de recette de cuisine peut donc aller consulter mes mails mais aussi utiliser la fonction « J’ai perdu mon mot de passe » de n’importe quel site internet ou je me suis inscris (Puis-ce que cette fonction renvoie le mot de passe dans la boite mail).
Là ou ça peut être très grave c’est sur des sites comme la fnac ou amazon ou vos données bancaires peuvent être enregistrées. Le pirate a juste a demander votre mot de passe pour commander avec votre compte bancaire.
Solution : Le mot de passe de votre messagerie doit être uniquement celui de votre messagerie !