Comment ne pas être traqué lors de vos visites web

Nombre de sites web incluent des composants externes dans leur pages web (vidéos Youtube, bouton social Facebook, fil d’actu twitter, compteur de visites Google Analytics, polices d’écriture Google, script Jquery, gestionnaire de commentaires Disqus, etc…)

La particularité de ces composants est d’être hébergés hors du site web que vous visitez. On les appelles les composants « tiers ». Votre navigateur web fait alors un téléchargement directement ces composants sur les serveurs hébergeant ses composants tiers et les intègre tout seul dans la page web que vous voyez.

Le truc, c’est que si un composant « tiers » est présent sur de multiple sites que vous visitez, il peut vous pister facilement. A chaque page web, vous lui dites que c’est vous (cookie unique) et que vous visitez telle page (referrer).

Pour visualiser ce tracking, je vous invite à installer le module Lightbeam pour Firefox.
Ce module va enregistrer pour chaque site que vous visitez, les serveurs tiers avec qui vous communiquer. A la fin, vous aurez un graphe mettant tout ce beau monde en relation vous aurez probablement ceci :

lightbeam

Oui, Google par l’intermédiaire de Google Analytics peut vous pister sur la plupart des sites. Selon W3techs, 63% des sites web utilisent les services de Google. Ce qui veut dire que au bout de 5 sites visités, vous avez 99.3% de chances de transmettre à Google des informations personnelles sur votre surf sur le web.

Pour éviter cela, il y a 2 méthodes:
– avoir une page web propre qui ne comporte pas de traqueur. Ca demande une prise de conscience des webmasters. Vous pouvez leur envoyer en mail dans ce sens.
– si vous avez quand même envie de visiter un site web truffé de traqueur, mettez une capote à votre navigateur pour qu’il évite de télécharger tout et n’importe quoi sous prétexte que le webmaster a décidé de l’inclure dans la page web. C’est vous qui décidez quand même !

Je vais passer en revue les différents modules Firefox permettant d’appliquer la seconde solution:
Ghostery : C’est un plugin propriétaire qui est incité à revendre vos données de connexion. Hop poubelle.
Disconnect : Ne détecte pas tous les contenus tiers… (ex: googleapis.com) Bizarre non? Donc, c’est pas possible de bloquer les traqueurs qui m’embêtent. Je suppose que ca ne marche pas encore bien sur les requêtes javascript un rien camouflées. De plus, leur moteur de recherche anonyme est une blague, leur page de résultat de recherche d’images vous fait télécharger toutes les image depuis Google. La honte, je suis désolé. Ca laisse penser le pire sur la capacité de ces gens. Comparez avec mon moteur https://search.jesuislibre.net/
Privacy badger : Le concept est intéressant. Au fur et à mesure que vous visitez des sites web, il bannit les serveurs tiers les plus communs qui sont logiquement ceux qui auront la vision la plus panoramique(panoptique?) sur vous. Mais dans la pratique, peu de traqueurs sont décelés. Dommage.
Adblock Plus : Il y a une case à décocher pour bloquer les sites web de publicités soit disant « non intrusives ». Je ne vois pas en quoi c’est non intrusif si ca me traque mais bon, une case à décocher et voila! Bon premier filtre automatique. Supprime les publicités sur Youtube (killer feature) N’indique pas les connexions tierces non filtrées donc nécessite un complément.
RequestPolicy : Très bonne détection des connexions aux serveurs tiers. On peut bannir ou allouer les connexions par site web et par serveur tiers. Parfait mais demande beaucoup de travail manuel quand on va sur un nouveau site web pour trier le grain de l’ivraie.
Noscript : Bloque efficacement les scripts même obscurs. Comme souvent les scripts externes sont des traqueurs, je les bloque tous par défaut. Comme ca, ils ne vont pas essayer de se connecter à leur serveur, et donc ne vont pas indiquer de requête dans RequestPolicy. Ca me fait du travail de tri en moins dans RequestPolicy.

Ghostery tient un comparatif entre ces outils en se gardant bien d’inclure RequestPolicy et Noscript dont l’efficacité risquerait de faire bien trop d’ombre à leur produit :

privacy catchers

Bilan, si vous voulez être tranquille, je vous conseille : AdblockPlus + RequestPolicy + NoScript + https://search.jesuislibre.net/. Ca fonctionne bien pour l’ordinateur. Maintenant pour le smartphone, je ne sais pas quoi utiliser. Des avis?

Nota : Si vous utilisez Tor mais continuez d’envoyer vos cookies à Google, ca ne sert à rien. Donc cet article apporte des mesures orthogonales à l’utilisation d’un dispositif anonymisant votre IP seulement.

Une page web pour en savoir plus sur le tracking.

J'aime(8)Ferme-la !(0)

WebRTC est-il un framework peer to peer?

Tout d’abord, il y a le signaling server, qui va mettre les utilisateurs en relation, et mérite donc la confiance des utilisateurs.

Mais ensuite, si l’un des utilisateurs est derrière un NAT (une bête box ADSL) alors il y a de grandes chances que la connexion nécessite un serveur relai pour acheminer l’ensemble de la communication.

Bref, on est loin modèle du peer to peer dans ce cas plutôt assez commun.

Je vous invite à lire WebRTC: Not Quite Magic et WebRTC: If it’s P2P, why do I need a server? qui explique le pourquoi du comment.

J'aime(2)Ferme-la !(0)

Les prix varient selon votre profil

Ce qui devait arriver arriva, les sites web marchants proposent désormais des tarifs différents aux internautes en fonctions de leur profil (compte, cookies, OS, etc…)
Si les vendeurs veulent tant en savoir sur vous, c’est dans leur intérêt, pas le votre. Mettez vous ça dans le crane.

Par exemple, votre localisation est utilisée pour déterminer si vous être proche d’un magasin concurrent. Dans ce cas Staples, vous proposera un meilleur prix que si vous êtes devant un de leur magasin afin de vous dissuader d’acheter chez le concurrent.

Lorsque vous voulez réserver un hotel en ligne sur Orbitz, les offres mises en avant seront plus chers si vous consultez le site depuis un ordinateur Apple.

Ces pratiques sont opaques, les sites web n’informant pas leurs clients que les offres sont choisies ou modifiées pour leur profil.

Une récente étude américaine, menée sur 19 sites web marchands par 300 personnes qui consultent les mêmes produits avec des profils différents (avec cookie, sans cookie, avec compte, sans compte, différente marques d’ordinateur, etc…), montre que les produits mis en avant et leur prix varie fortement suivant votre profil.

L’étude le choix des produits mis en avant est très souvent personnalisé en fonction de votre profil. Le site cherche à maximiser son chiffre d’affaire en proposant les offres au maximum de votre consentement à payer (les plus chères que vous êtes susceptibles d’acheter).

Plus rare (< 3.5% des cas) mais plus dérangeant, les prix peuvent différents pour le même produit suivant votre profil pour Home Depot, Sears, Cheaptickets, Orbitz, Priceline, Expedia et Travelocity (et principalement pour les locations de voitures). Avec parfois de belles différences de plusieurs centaines de dollars. Exemple : le même hôtel sans profil(565$), avec profil (633$) :

price discrimination2

price discrimination
L’étude montre aussi que beaucoup de personnes reçoivent des offres personnalisées sur tous les sites web marchands, sans savoir expliquer les raisons. Est ce que cela signifie que le traqueur qui vend votre profil au site marchand est transversal à tous les sites (Google, Facebook?)

Car ce n’est que le début car le profilage des internautes est encore jeune… Imaginez quand Google (présent sur 65% des sites web) commencera à vendre vos données, lui qui connaît vos achats et factures dans vos mails, vos destinations de vacances, vos déplacements, vos heures de sommeil, vos relations, etc… Il pourrait nous proposer ce qu’on à besoin quand on en a besoin au prix qu’on est prêt à mettre. Vente et profits garantis.

Avec le profilage croissant des internautes, on va voir fleurir de plus en plus des « offres personnalisées », doux nom pour ne pas dire des prix à la gueule du client. Là où c’est pernicieux, c’est qu’il est quasiment impossible de savoir quel critère influe sur le prix qu’on va nous proposer et donc d’optimiser à coup sûr l’offre pour le client et non le vendeur. C’est le secret de cuisine de la société qui établit les offres et les prix.

Par exemple, l’étude a découvert que Travelocity propose des prix moins cher pour le même produit si vous visitez le site depuis un iOS (mobile Apple) car il veut être concurrentiel sur le marché mobile. Orbitz, propose parfois des prix plus bas si vous avez un compte chez eux, sans communiquer publiquement sur cet avantage. Expedia et Hotel.com rangent les utilisateurs dans 3 catégories et les incitent à acheter des offres plus luxueuses.

J'aime(8)Ferme-la !(0)

Verizon Wireless ajoute un identifiant unique sur tout votre traffic web

Le DPI c’est génial. Une fois le contenu de chaque paquet analysé, il est trop tentant de vouloir modifier celui-ci.

Exemple avec Verizon Wireless, un FAI américain aux 100 millions d’abonnés en 2013. Celui-ci ajoute automatiquement un tracker à toutes les entêtes HTTP du type :

X-UIDH: OTgxNTk2NDk0ADJVquRu5NS5+rSbBANlrp+13QL7CXLGsFHpMi4LsUHw

Cet identifiant est lié à votre compte abonné. Il permet au site web de demander à Verizon des infos sur votre profil personnel pour afficher les publicités auxquelles vous êtes le plus sensibles de succomber et ainsi améliorer ses revenus.

Premièrement, je trouve cela fou que le FAI se permette de modifier le contenu de transmissions personnelles. C’est comme si la Poste mettait des prospectus dans votre courrier pro. Et ces pratiques mettent les FAI en position de force. Ça me rappelle Free qui appliquait un filtre anti-pub directement sur le traffic web de telle sorte que l’utilisateur ne reçoivent que les publicités avalisées par Free. C’est une grave entorse à la neutralité des moyens de communications.

Deuxièmement, cette entête donne à tous les sites web que vous visitez un supercookie qui vous colle à la peau jusqu’à ce que Verizon décide de le changer (toutes les 2 semaines apparemment). Ca pue vraiment pour votre vie privée.

Ces pratiques devraient être interdites.

Source

J'aime(6)Ferme-la !(0)

Le déréférencement est-il la solution ultime?

Quand on ne peut pas bloquer on déréférence.

L’assemblée veut voter un loi qui permette à l’exécutif de déréférencer les sites terroristes ou pédopornographiques , pour commencer.

Les ayants droits ont aussi leur mots à dire, et poussent Google à déréférencer les sites de partage illégal.

Le droit à l’oubli européen est aussi un moyen fort de contraindre Google à déréférencer des liens qui sont parfois digne d’intérêt.

Mais attention au retour de baton, comme l’explique The Pirate Bay: « Que Google nous référence moins bien est en quelque sorte une bonne chose pour nous. Nous aurons plus de trafic quand les gens ne trouveront plus ce qu’ils cherchent en utilisant Google, car ils viendront directement sur The Pirate Bay »

Ca me fait penser à l’effet Youtube, on ne cherche plus de vidéo sur Internet mais directement sur sur le site de Youtube car on sait que les résultats ont plus de chance d’y être pertinents.

J'aime(2)Ferme-la !(1)

Chrome donne tous vos mots de passe à Google

En utilisant le navigateur Google Chrome et en vous connectant à votre compte Google avec Chrome (« Menu » / « Se connecter à Chrome… »), Google synchronise par défaut les données du navigateur avec son cloud.

Cela comprend les favoris, l’historique et l’ensemble des mots de passe mémorisés localement. C’est utile pour récupérer ou partager ses préférence entre plusieurs appareil mais pourquoi donc cela est-il fait sans chiffrement, de telle sorte que Google, et tous les services qui en demandent l’accès NSA, etc.. aient un accès tout trouvé à vos secrets, accès et historique de navigation?

Je vous conseille d’utiliser plutôt la solution de Mozilla Firefox  appelée « Sync » qui fait la même chose (sauvegarde dans le cloud et partage de votre historique, favoris et mots de passe entre appareils) mais de telle sorte que vous seul puissiez en connaître le contenu.

Enfin, on savait déjà l’appétit de Google pour vos infos personnelles. Chrome n’est qu’un moyen pour leur core business, il ne faut pas l’oublier.

J'aime(14)Ferme-la !(1)

La vidéoconférence par WebRTC est elle sécurisée?

Actuellement, le schéma WebRTC actuellement proposé par moult sites web comme Talky.io, vLine etc… est similaire. C’est le serveur web qui est responsable de la première mise en relation des clients et de leur authentification.

Le premier utilisateur rejoint une « salle » identifiée par une URL et chaque client qui se connecte à cette URL se joint à la « salle » de visioconférence.

Cela pose un problème de sécurité. Qu’est ce qui m’assure que :

  • le serveur web ne va pas s’interposer entre les clients pour enregistrer toutes les conversations? (il s’assurer que l’IP d’échange de données est bien celle de chaque correspondant)
  • qu’un client caché n’est pas aussi présent dans la salle? (il faudrait vérifier et comprendre le code source livré par le site web à chaque exécution)
  • que mon correspondant ou moi-même ne sommes pas l’objet d’un MITM sur un nœud de connexion réseau. Par exemple, un routeur de mon FAI ou de mon réseau local pourrait relayer la vidéo.

Ces problèmes sont présents actuellement dans les services proposés au grand public. Je vous invite à lire cet article : WebRTC Security – an overview & privacy/MiTM concerns (including a MiTM example) pour aller plus loin sur le sujet.

J'aime(0)Ferme-la !(0)

Quelques définitions de Mediapart

Brice Hortefeux : « Je voudrais ce soir encourager les téléspectateurs à lire Mediapart. Ils y découvriront ce qui n’existe pas »
Bruno Roger-Petit : « Mediapart a peut-être inventé le journalisme de bûcher »
Hubert Védrine : « La transparence est une maladie entretenue par les vautours comme Mediapart »
Jean-François Copé : « Ce sont des méthodes, excusez-moi, des années 30 »
Xavier Bertrand : « Mediapart, c’est le site qui utilise des méthodes fascistes »
Isabelle Balkany : « Je souhaite du fond du cœur que Mediapart fasse faillite »
Alain Minc : « Si vous me dites que le modèle d’indépendance pour la presse, c’est Mediapart, alors je suis assez inquiet pour la démocratie française. Rassurez-vous et croyez-en mon expérience, Mediapart ça ne marchera jamais. La presse sur le Net ne peut être que gratuite »
Alain Finkielkraut : « Mediapart, le site d’information qui donne envie de changer de planète »
Nadine Morano : « Mediapart me fait gerber. Je ne veux pas donner une seule information qui puisse ramener de l’argent à ce journal de vomi et à ce Plenel dégueulasse »

Abonnez vous

J'aime(2)Ferme-la !(1)

Blocage des sites web… encore !

J’entends que l’assemblée a encore voté pour le filtrage des sites web consultable depuis la France, sans décision judiciaire.

Premièrement, d’un point de vue technique, c’est chaud :

  • Le blocage par DNS est facilement contournable et ne concernera que ceux qui ne savent pas mettre « 8.8.8.8 » dans une case de Windows. Autrement dit, une efficacité si nulle que même un gamin de 12 ans saura la contourner sur son smartphone
  • Le blocage par DPI, plus efficace, coûterait 200 millions d’euros par an au contribuable. Pas sûr que ce soit politiquement acceptable vu le maigre bénéfice et surtout la conséquence que cela mettrait sur pied une infrastructure d’espionnage généralisé de toutes les communications des français.
  • Le blocage par IP, qui bloquerait tous les sites hébergés sur un serveur mutualisé. Sans parler que bloquer une IP dynamique bloquerait tous les utilisateurs qui récolterait après l’IP blacklistée.
  • Aucune solution technique pour pouvoir bloquer une page Youtube sans bloquer tout Youtube si Youtube n’approuve pas la demande de censure. (SSL masque l’adresse complète de la page web vue, bon courage)
  • Je n’ai même pas parlé des VPNs dont l’usage se généralise (entreprise, téléchargement, pays censurés, etc…)

Donc déjà là, on se dit que discuter du blocage des sites web dans une loi sans savoir si c’est possible, c’est comme décrêter qu’il faudrait arrêter l’air !

En plus, l’Etat voudrait faire cela sans contrôle judiciaire à priori. Quelle menace du pouvoir sur le citoyen !

Les sites web bloqués seraient consignés aux opérateurs soit par une liste confidentielle à l’abri du regard citoyen (bienvenue en pays totalitaire), soit par une liste publique (quel merveilleux annuaire!)

Il va falloir s’y faire, Internet n’est pas fait pour la censure. L’ère de l’ORTF est finie.

J'aime(4)Ferme-la !(0)

D’où vient l’argent de Facebook ou Google ?

De vous ! De chaque utilisateur de Facebook ou Google qui, influencé par les publicités, va acheter le produit en magasin alors qu’il ne l’aurait pas acheté ou aurait préféré un concurrent si il n’avait été exposé à la publicité.

Je vous assure que sans TV, sans magazine (dont une page sur 2 est de la pub) et avec Adblock pour naviguer sur le web, on ressent beaucoup moins cette pression publicitaire. Pourquoi acheter Coca-Cola et pas Lidl cola? L’un est meilleur que l’autre ? Sans pub, les 2 sont des sodas bourrés de sucre et colorés artificiellement et aucun à priori ne les départage dans le magasin. Et c’est pareil pour tout voiture, produit ménager, etc… Les choix que vous faites ne sont plus chargés de l’affect propagé par la pub et bien plus rationnels.

Quand on pense qu’il suffirait que les gens arrêtent d’utiliser Facebook pour qu’il coule. Mais non :

J'aime(2)Ferme-la !(0)