Loading...L'époque du cookie pour vous pister est révolue, ou presque.
De nombreuses autres armes permettent à n'importe qui de vous pister quand vous surfez sur le web. Que ce soit des publicitaires, des mutuelles, des banques... et si n'importe qui pouvait passer commande à une société suffisemment implantée sur le web pour récolter nos historiques de navigation, avant de les recroiser ?
Et si vous ne pouviez rien faire contre ? ou presque...
Vous êtes unique
L'important c'est de vous identifier, c'est à dire implanter un identifiant unique dans votre navigateur internet. On arrivera à vous traquer de toutes façons ensuite en croisant les données récoltées, vous avez sans doute entendu parlé de big data.
Comment relever cette signature ?
Si vous disais qu'il est possible de vous suivre sans ne jamais rien déposer sur votre machine ?
Vous êtes déjà identifiés par l'adresse IP attribuée par votre FAI, ça vous le savez. Mais si vous n'êtes pas tout seul à la maison où si vous êtes en entreprise ça se complique, tout le monde utilise la même adresse IP car le réseau internet est accessible au moyen d'une passerelle. Tout le monde aurait donc la même signature.
Mais on peut faire bien mieux que ça ! Votre navigateur divulgue des informations techniques nécessaires à l'affichage des page web : résolution, liste de plugins, User Agent, fuseau horaire, etc. Il suffit de combiner tous ces paramètres pour créer une signature unique, la vôtre.
C'est ce que permet le site Panopticlick (vous pouvez refuser l'exécution de l'applet java cela fonctionne quand même) :
Et voilà, ça y est on vous tient ! Tous les détails sur cette identification sont résumés dans ce PDF.
Et un cookie persistant, un !
L'autre méthode est également très vicieuse, elle concerne bien notre fameux cookie. Le problème du cookie c'est qu'il ne se cantonne plus au gentil cookie stocké dans votre navigateur. Je rappelle que dans un cookie on peut stocker toutes sortes d'informations : identifiants, nom, email, numéro de session... bref tout ce qui se rapporte à du texte en réalité.
Le cookie a lui aussi évolué avec le temps et de nombreux programmes ont implanté un système de stockage local similaire. Le premier gros vilain c'est flash qui stocke les informations dans des fichiers *.sol (local shared obkects) à plusieurs endroits suivant le navigateur utilisé. Il est possible de visualisé les sites concernés via une URL :
Si vous utilisez des outils de nettoyage comme CCleaner ces emplacements sont normalement vidés, mais comme vous surfez de sites en sites c'est de toute façon peine perdue. Un cookie d'un site A ne peut pas être lu par un site B, mais si chacun des deux sites affichent une publicité Google (pour l'exemple), bingo vous pouvez techniquement être suivis. Ces cookies flash sont souvent très utiles dans les cas de forensics car même si l'utilisateur vide son cache, son historique et ses cookies le dossier flash restera intact.
Flash n'est pas le seul moyen de stocker des informations sur votre machine. Il y a son cousin java et ses multiples failles, microsoft silverlight (souvent utilisé sur les sites de replay), le localstorage, le globalstorage... ou encore d'autres méthodes plus exotiques comme le HTTP ETag, la propriété DOM window.name.
Vous la sentez venir la patate traçeuse ?
Je vous invite à vous connecter le site samy.pl/evercookie, puis de cliquer sur le bouton "click to create an evercookie" (rien de méchant rassurez-vous c'est pour la démo et aucune info vous concernant ne sera stockée) :
Le site va créer un evercookie, ou cookie persistant, contenant un numéro d'identification (uid) que vous notez sur un bout de papier. Ce numéro va être écrit dans un maximum de zones de stockage. A vous de jouer et d'essayer de supprimer un maximum de traces dans votre navigateur, puis retourner sur le site en cliquant sur "click to rediscover".
Si vous avez été assez bon et qu'aucune trace ne persiste alors "undefined" devrait apparaître :
Dans le cas contraire vous retrouverez votre uid, malgré tous vos efforts vous n'avez pas réussi à vous débarrasser de cet identifiant permettant de vous suivre à la trace.
Comment se protéger ?
C'est clairement l'anarchie... on vous piste sans aucun problème et sans vous demander votre avis, vous en avez maintenant la preuve. Que peut-on faire contre ce suivi massif ?
Voici quelques conseils pour vous protéger :
- utilisez un navigateur libre et sans mouchard comme Mozilla Firefox (évitez Chrome même si vous le trouvez plus rapide, quand à IE je ne vois aucune bonne raison de l'utiliser)
- installez dans Firefox le module complémentaire uBlock Origin qui filtrera les publicités et donc de nombreux cookies par la même occasion (je vous déconseille adblock plus qui est controversé, tout comme Ghostery)
- installez dans Firefox le module complémentaire BetterPrivacy qui supprimera tous les cookies flash à la fermeture de Firefox
- installez dans Firefox le module complémentaire Self-Destructing Cookies qui supprime le contenu des cookies flash et du local storage dès que vous quittez le site qui les a créés
- installez dans Firefox le module complémentaire Request Policy qui contrôle les requêtes inter-sites (cross-site)
- vous pouvez aussi utiliser NoScript mais je le trouve trop bloquant pour ma part, je passe ma vie à cliquer sur oui pour autoriser des scripts sans regarder à l'intérieur...
- n'installez pas de toolbar ou d'extensions (plugins) douteuses comme ceux proposés pour regarder un contenu en streaming (même si ça peut marcher), moteurs de recherches à la noix... ils épient aussi votre navigation
- ouvrez une fenêtre en mode navigation privée garantit de ne laisser aucune trace dans le navigateur, pensez-y si vous êtes chez des amis ou si vous consultez un site douteux (ctrl+maj+P pour firefox, ctrl+maj+N pour chrome)
L'idée n'est pas de vous rendre parano mais plutôt de mieux s'informer. Libre à vous ensuite de décider de l'avenir de votre vie privée, si tant soit peu qu'il en reste avec toutes les révélations d'écoutes de ces dernières années. Espérons que la CNIL rattrape son retard dans le domaine et que des lois encadreront ces suivis.
9 commentaires
Comme mesure de protection, on peut aussi recommander l'excellent Self-Destructing Cookies. En effet, le problème à désactiver les cookies, c'est que certains sites (de merde) ne fonctionnent pas du tout sans cookies : les styles ne se chargent pas, on reste à la page d'accueil… Du coup, avec cette extension, pas de problème : les cookies sont acceptés puisque le site y tient… mais sont supprimés automatiquement après qu'on a quitté le site, comme ça il ne peut rien en faire à la prochaine visite.
C'est faux. Totalement faux. On peut changer de très nombreux paramètres quant aux entêtes : le referer, le user-agent, X-Forwarded-For, . On peut même en ajouter ! Firefox dispose de très nombreuses extensions anti-tracking telles que :
Ghostery /Disconnect
AdBlock Plus
Better Privacy
Self Destructing Cookies
Request Policy (pour les etag)
Je ne vois pas à quoi sert ce billet en dehors d'inciter les internautes à baisser les bras et à se faire piller !
@Elessar: oui tu fais bien de la citer car c'est un oubli de ma part, même si les notifications sont parfois inutiles car trop nombreuses, on peut les désactiver heureusement 🙂
@Denis: bien sûr qu'on peut modifier les en-têtes, mais plus tu modifies cette chaîne et plus tu te rends unique, et donc traçable. Il faudrait donc que tout le monde mette un terme générique comme "firefox" pour le user agent par ex.
Le but de ce billet est au contraire de faire réagir les gens, dans la situation par défaut on peut les suivre sans aucun problème. En fin de billet tu retrouves les extensions dont tu parles, à l'exception de Ghostery qui est controversé, préférer Disconnect. J'ai ajouté Request Policy, merci 🙂
Bonsoir ,
J'utilise comme Navigateur " Firefox " avec comme méga moteur
de rechercher " Ixquick "
Extensions : anti pub " Adblock Plus " et anti cookie " Ghostery " et pour avoir des infos ( entre autres ) sur le site et surtout le serveur " Flagfox "
Que faire contre l'ignorance des utilisateurs d'ordinateurs ?
certains ou certaines collectionnent les toolbars ....ils trouvent ça " pratique " !
Merci pour votre site pleins de bons trucs
Sincères salutations
Thierry
@xhark
Le site du Panopticlick est un site de test, à caractère démonstratif. Si je suis d'accord sur la signature unique, il est impossible pour un site Web de réaliser des tests à chaque chargement de page. Ce serait trop long.
Je n'ai pas parlé des Etag. Il y a un hack sur Privoxy pour les bloquer !
Quid de Random Agent Spoofer ou de FingerGloves ? Est-ce que ces extensions permettent d'invalider les tests présentés dans l'article (Panopticlick & samy's evercookie) ?
@Alain Ternaute: le user agent n'est qu'un paramètre parmi d'autres, si tu le modifies il faut faire en sorte qu'il se rapproche de ceux qui sont le plus utilisés, sinon cela aura l'effet inverse, ton ordinateur sera encore plus "unique"
@Mr Xhark: Merci, mais si vous observez l'extension Random Agent Spoofer par exemple, le User Agent peut être changé aléatoirement toutes les N minutes. Les IP des Header peuvent être aussi faussées par des ip aléatoires. Pour ce qui est des ETags en revanche, je ne sais par quoi elle les remplace. Et pour ce qui est des polices d'écriture, elle propose un panel de polices "standard" assez limité. Il est vrai que le faire correspondre avec l'User Agent menteur aurait été plus adapté (mais est-ce que ça implique aussi d'installer les polices par défaut de tous les OS ?). Il y a aussi des options de réglage du navigateur (bloquer la géoloc, le cache, les prefetch...).
Bref, c'est quand-même au-delà de remplacer l'User Agent par un autre, unique.