Tu veux un cookie ?

INFORMATIQUE
Par Ph. Huysmans on Wednesday, 23 May 2018

À l'approche de la date de l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD 25.05.2018), la panique (quand ce n'est pas carrément le syndrome du larbin) saisit tous les éditeurs responsables et les webmasters.

On croirait à un concours de la pop-up la plus moche — la plus gênante, surtout — pour vous faire accepter les « conditions dans lesquelles le site collecte des informations par l'utilisation de cookies... ».

Panique aussi concernant les newsletters : « nous allons devoir redemander la permission à tous nos abonnés pour pouvoir continuer à leur envoyer notre newsletter ». Non, non, et non. Tout ça c'est juste du flan.

  • D'une part, le règlement en question ne stipule nulle part qu'une adresse e-mail serait automatiquement une donnée à caractère personnel.
  • D'autre part, si vos abonnés se sont inscrit en double optin (confirmation), un mini contrat existe entre eux et vous qui vous autorise à leur envoyer votre newsletter dans les conditions spécifiées lors de l'inscription, et ce, jusqu'à ce que l'utilisateur choisisse de se désabonner. Le RGPD n'a pas pour effet d'annuler tout ce qui préexistait !

Pour le reste, tout le monde se fiche des données que vous pourriez collecter via les cookies, vous allez comprendre que c'est de la roupie de sansonnet à côté de ce que vous transmettez comme données personnelles de navigation de vos visiteurs, directement aux GAFAM, et aux autres grands acteurs du marché. À l'insu de votre plein gré (ce ne sera bientôt plus une excuse en ce qui vous concerne, si vous êtes un collègue webmaster).

Prenons un exemple

Vous vous rendez sur le site de votre agence de voyage pour y commander votre séjour de rêve sur les plages de sable chaud. Dix minutes plus tard, vous ouvrez votre page Facebook et il vous propose, dans les pubs tout un tas de produits et services en rapport avec votre achat... Et les données collectées dans des cookies par l'agence en question ne sont nullement en cause, c'est un peu plus pervers que ça.

Lorsque vous vous inscrivez sur Facebook, celui-ci associe votre identité réelle à un identifiant numérique, disons 4859127884091837. Il place cet identifiant dans un cookie, qui sera stocké sur votre disque dur. Seul Facebook a le droit de lire ou de modifier ce cookie (l'utilisateur, quant à lui, peut l'effacer, mais en pareil cas, il devra à nouveau s'identifier lors de sa prochaine connexion).

Jusque-là, tout va bien, et l'on ne voit pas immédiatement comment Facebook se fait transférer automatiquement les données de navigation des utilisateurs lorsqu'ils naviguent sur le web...

L'astuce est simple : les GAFAM, avec Facebook et Google en tête, s'arrangent pour que les webmasters incluent un fichier situé sur leur domaine dans toutes les pages de leur site. Cela va du bouton « like » à la jolie fonte google, en passant par les petits snippets javascript pour faire ci ou ça.

Dès lors, au chargement de la page, le navigateur du client (votre visiteur) va faire une requête (GET) sur le serveur GAFAM, et ce faisant, lui donner libre accès au cookie associé, ainsi qu'au referrer, soit l'URL de la page demandée. Oui, je sais, c'est du chinois, alors voyons ça concrètement.

Pour les besoins de la cause, j'ai créé : 

  • Une page « register » sur www.levilainpetitcanard.be, qui créera un cookie « register » portant valeur « 9a6663f1bf0c56043bff6efc2b6a2599 »
  • Une page anodine, sur le site www.lvpc.tk, qui affiche un simple texte... mais fait « référence » à un petit script localisé sur le domaine www.levilainpetitcanard.be
  • Le petit script en question, qui se contente d'afficher, dans une fenêtre d'alerte, les données ainsi collectées.

1) on va sur la page« register.php » qui représente n'importe quelle inscription sur un GAFAM ou autre acteur du marché

2) On va sur la page « anodine.htm » qui contient le code suivant : 

La référence au « GAFAM » est située à la dernière ligne du bloc <HEAD>. Il s'agit d'un lien vers le code supposément javascript situé sur www.levilainpetitcanard.be. En pratique, il ne fait que régurgiter les données sur lesquelles il a pu mettre la main sous forme d'une fenêtre de message (alert) en Javascript.

3) On voit le résultat

Non seulement le « GAFAM » peut récupérer l'identifiant unique de l'internaute, et le relier ainsi à l'utilisateur (et ses données récupérées précédemment), mais en plus il obtient l'adresse IP, les informations sur le navigateur, et le plus important : le referrer.

Notez que dans ce cas-ci, le referrer portait en paramètres (GET) des informations sur l'activité du client, permettant au GAFAM de mieux cibler encore les centres d'intérêt de l'internaute. Si vous vous trouvez dans la partie « boutique », il le saura, si vous êtes sur la page « réclamation », il le saura aussi.

Faut-il préciser que ce sont des terrabytes d'informations concernant les habitudes de navigation de leurs utilisateurs que ces GAFAM reçoivent tous les mois ? Il ne reste plus qu'à passer ça à la moulinette de l'indexage et du collationnement des données pour constituer un portrait toujours plus fidèle du pigeon de service : l'utilisateur/consommateur.

Comment arrêter de transmettre les données de nos visiteurs ?

La solution la plus simple consiste à faire ce que j'ai fait sur Le Vilain Petit Canard : supprimer toute référence à des scripts/css/snippets/iframes en provenance d'une source externe. On rapatrie les polices Google qu'on veut utiliser et on les référence localement, on télécharge la version de JQuery qu'on souhaite utiliser et on fait de même, on vire les boutons « like » pour ne garder éventuellement qu'un bouton « partage » qui ne nécessite pas de référence à un code distant.

Après quoi, on peut installer un addon comme LightBeam dans firefox pour visualiser les éventuelles dépendances restantes. Pour moi, elles ont toutes été supprimées au moment où j'écris ceci à part une référence à Google (Recaptcha) qui ne sera présente que si vous souhaitez placer un commentaire sur mon site.

Conclusion

Les webmasters ont une responsabilité majeure dans la collecte par les GAFAM et autres géants du Big Data des données de leurs utilisateurs, il convient donc qu'ils prennent conscience de la portée du phénomène et tiennent mieux en compte le droit des utilisateurs à ne pas être traqués partout où ils passent.

Comment les internautes peuvent blinder leur navigateur (edit du 30.05.18)

Tout d'abord, la méthode que je décris ici ne fonctionne que pour Mozilla Firefox et ses variantes (forks).  Pourquoi ?  Tout simplement parce que selon moi, les autres ténors du marché (Chrome, Safari, Ms) ne donnent pas aussi complètement l'accès aux paramètres système pour arriver à une sécurisation optimale.  Toutefois, j'expliquerai les étapes afin que vous puissiez, le cas échéant, chercher dans la doc de votre navigateur favori s'il présente des fonctionnalités similaires.

1) Interdiction des cookies tiers

Par cookie tiers, on entend un cookie qui n'est pas créé par le site que vous visitez, mais bien par un site auquel il est fait référence sur le site que vous visitez.  Par exemple, si vous visitez un blog qui fait appel à des modules de Facebook (likes), Facebook aura accès à votre cookie par défaut.  Ajouté à votre referer, ce sont toutes vos données de navigation qu'il recevra.

Dans la barre d'URL, tapez about:config (et si vous ne l'avez fait, acceptez l'avertissement)

Dans le champ de recherche, tapez cookie

Double-cliquez sur network.cookie.cookieBehavior, puis donnez la valeur 1 (autorise uniquement les cookies du serveur visité).

2) Masquage du referrer et granularité

Dans le champ de recherche tapez referer (oui, avec un seul r)

Double cliquez sur network.http.referer.spoofSource pour le mettre à la valeur true.  Ceci aura pour effet de remplacer le referrer (l'url de la page que vous visitez) en l'url de la page pointée par la ressource demandée (par ex : facebook.com).

Double cliquez sur network.http.referer.trimmingPolicy et donnez lui la valeur 2.  Ceci aura pour effet de diminuer la granularité, ce qui fait qu'il n'enverra comme (faux) referrer que le nom de domaine (de la cible).

Vous voilà paré, plus de danger que les GAFAM reçoivent en temps réel vos informations de navigation, et ça, sans même avoir besoin d'installer quelque plugin que ce soit !

Tags: 
COOKIES
GDPR
BIG DATA

Comments

Submitted by Le-veilleur on Wed, 2018-05-23 21:26

C'est un petit rappel utile, mais paradoxalement, bien des personnes qui râlent contre l'exploitation des données personnelles ne prennent même pas la peine de lutter contre, mis à part le téléchargement d'un bloqueur de pub (ben oui, c'est à leur portée, mais faut pas trop en demander). Il y a même bien plus simple : paramétrer son navigateur pour qu'il n'accepte pas les cookie, ou les supprime à la fermeture. On peut aussi employer certaines extensions qui modifient le user agent, bloquent les requêtes sur certaines pages, etc. Si on se donne la peine on trouve de quoi semer des petits graviers dans les chaussures des gafam ;-) Coucou à toi en passant mon p'tit canard ;-)

Submitted by Ph. Huysmans on Thu, 2018-05-24 09:05

Salut Collègue,

Disons que ce sont clairement les webmasters que nous sommes qui peuvent faire le plus de mal, souvent sans savoir vraiment ce qu'ils exposent comme données utilisateurs.

Les utilisateurs n'ont bien souvent pas le niveau requis pour comprendre les implications, donc tout ce qu'ils voient, c'est l'aspect "pub", sans réaliser que les GAFAM en apprennent long, très long sur eux.

La navigation privé, c'est joli, mais comme t'as pas de cookie, t'es pas connecté à FB et autres.

Le mieux c'est de compartimenter la navigation, ou alors il faudrait pouvoir accéder à la propriété referrer au moment du chargement d'une page, et la mettre à blanc de sorte que ce vol de données privées ne puisse plus se produire.

Note que même Moz ne le ferait pas, cela représente des milliards d'Euros par an...

Submitted by Carole on Fri, 2018-06-22 20:23

C'est intéressant ce lien mais il faut déjà bien décrypter l'anglais informatique pour comprendre ce qui est dit et arriver à le faire. Il n'y a pas un lien où on peut avoir les mêmes infos en français ?
Merci

Submitted by Carole on Fri, 2018-06-22 20:34

Bon finalement j'ai fait ce que vous conseillez = se prendre par la main et faire un effort de recherche et j'ai trouvé les infos en français. Il y a effectivement un certain nombre de paramètres que l'on peut sélectionner pour se protéger en fonction de ses compétences en informatique. Les miennes sont proches de 0.
En tout cas merci beaucoup pour cet article, pour les commentaires.
Il est effectivement temps que nous réagissions.
Bonne soirée

Submitted by zeroneo on Fri, 2018-05-25 09:58

article interressant. l'auteur semble avoir bien analysé le processus. Manque maleureusement un développement du sujet dans sa forme pratique, pragmatique, pour que le lecteur puisse l'appliquer. "La solution la plus simple consiste à faire" est intelligible pour un expert informatique seulement !
- scripts/css/snippets/iframes en provenance d'une source externe
- rapatrie les polices Google en local
- on télécharge la version de JQuery
... a suivre ??

Submitted by Ph. Huysmans on Fri, 2018-05-25 13:19

Bonjour,

C'est parce que je présentais uniquement la solution pour les webmasters, qui peuvent de cette manière "protéger" tous leurs visiteurs contre ce qu'il faut bien appeler un vol de données.

Pour les internautes utilisant firefox, j'ai ajouté une méthode dans l'article...

Les assertions et opinions exprimées dans les pages du Vilain Petit Canard par des contributeurs, ou dans le cadre d'une reproduction restent propriété exclusive de leurs auteurs respectifs réputés en assumer l'exactitude et la responsabilité qui ne peut être imputable à la rédaction du Vilain Petit Canard. Ces articles sont signalés par une mention spécifique du nom de l'auteur ou son pseudo s'il a souhaité garder l'anonymat, et mentionnent un lien vers l'article original.

Vie privée
Libérez Julian Assange
Agoravox - le média citoyen

Newsletter hebdomadaire

Inscription Newsletter

Mais aussi

Apple serre les boulons, Facebook trinque
15/06/2018 - Ph. Huysmans
Sécurité informatique

Ils l'ont dit [+]

Toute guerre est fondée sur la tromperie
Sun Tzu
Ce sont deux drôles d'animaux bien bêtes que l'homme et le lapin une fois qu'ils sont pris par les oreilles
Mirabeau
C'est une expérience éternelle que tout homme qui a du pouvoir est porté à en abuser
Montesquieu

Sélection d'Actu

17/04/2018 > SYRIE/REGIME CHANGE > Syrie : comment la SAMS vend le changement de régime et la guerre aux USA
Des rapports sur des allégations non prouvées d’attaque chimique à Douma, la ville de Syrie auparavant occupée par le groupe rebelle Armée de l’Islam (Jaych al Islam), reposent invariablement sur une source-clé : la Fondation Syrian... [ENTELEKHEIA]
13/04/2018 > FRANCE/ZAD > La Zad et la guerre civile mondiale
L’offensive du gouvernement contre la Zad vise à détruire la possibilité de vies alternatives. Et s’inscrit dans une tendance mondiale des classes dirigeantes néo-libérales à imposer un pouvoir fort. 2.500 gendarmes mobiles, des... [REPORTERRE|Hervé Kempf]
30/03/2018 > INTL/NOVICHOK > 30 Questions That Journalists Should be Asking About the Skripal Case
There are a lot of issues around the case of Sergei and Yulia Skripal which, at the time of writing, are very unclear and rather odd. There may well be good and innocent explanations for some or even all of them. Then again there may not.... [The BlogMire]
20/03/2018 > RUSSIA,COLD WAR > The Implications of Russia's New Weapon Systems
During the August 2008 Russo-Georgian War, the operations of Russia’s 58th Army were termed as “coercion into peace”. It is an appropriate term once one recalls what truly was at stake then. Russians did win that war and, indeed, coerced... [UNZ | Andrei Martyanov]
18/03/2018 > US/RUSSIA > Shakespeare said it best / The Anti-Empire Report #156
Much ado about nothing. That’s the “Russian interference” in the 2016 American election. A group of Russians operating from a building in St. Petersburg, we are told in a February 16 US government indictment, sent out tweets,... [William Blum]
25/02/2018 > Moyen-Orient > Investigation: White Helmets Committing Acts Of Terror Across Syria (Vanessa Beeley)
The White Helmets: Who are they, who created them, and what purpose do they serve in Syria? These questions remain largely unanswered by the governments, corporate media and NATO-aligned NGOs, including the UN, that have focused their... [MintPress]
20/12/2017 > MOYEN-ORIENT > L’armée israélienne lui a d’abord pris les jambes, ensuite, la vie
Ce vendredi, un sniper a abattu et tué Ibrahim Abu Thuraya, un double amputé de Gaza, au moment où, dans sa chaise roulante, il protestait à proximité de la frontière israélienne. Le sniper israélien ne pouvait viser la partie... [ASI / HAARETZ / Gideon Levy]
09/11/2017 > SANTÉ > Obligation vaccinale: le prix Nobel Montagnier joint sa voix aux opposants
Le prix Nobel de médecine Luc Montagnier a joint sa voix mardi à celle du controversé professeur Henri Joyeux pour dénoncer la "dictature vaccinale" que représente selon eux l'extension du nombre de vaccins obligatoires... [Boursorama]
04/11/2017 > FRANCE/EUROPE > Skywalker Mélenchon et la guerre des étoiles
Jean-Luc Mélenchon en a “ras-le-bol” des étoiles du drapeau européen. Il combat pour la laïcité et entend bien chasser ce symbole marial de l’hémicycle. Pendant que des députés comme François Ruffin et Adrien Quatennens entreprennent de... [FB]
26/10/2017 > POLITIQUE > Se faire des amis avec J-P.Garnier : la médiÂcrité branchée
« Je sais que beaucoup diront que c’est le média de Mélenchon, mais ce n’est pas le cas. » Sophia Chikirou Cheftaine de la propagande de Baudruchon [LIB.TROPIQUE]