Il n’y a pas que les cookies pour vous espionner

Il n’y a pas que les cookies qui permettent aux sites web d’enregistrer et récolter des informations personnelles persistantes sur votre ordinateur.

Il existe par exemple LocalStorage (supporté depuis Firefox 3.5 en 2009) et IndexedDB (supporté depuis Firefox 10 en 2013). Ces technologies permettent de stocker des données plus volumineuses et plus simplement que les cookies en utilisant Javascript.

Le script d’une page peut alors interroger les données et les envoyer sans passer par des cookies. L’utilisateur n’étant sensibilisé qu’aux cookies n’y voit que du feu. Il aura beau effacer ses cookies, les identifiants personnels et autre données qui lui auront été attachés resteront enregistrés.

De nombreux trous de sécurités y sont reliés. Par exemple, jusqu’à Firefox 43, une iframe pouvait accéder au LocaStorage de la page principale… ce qui permettait de passer outre le blocage des cookies tiers.

Effacer les cookies n’efface pas ces traces. Il faut passer par l’effacement de l’historique sous Firefox, et encore faut il faire attention à ce bug.

Il n’y a pas d’interface utilisateur pour visualiser et effacer les données localstorage efficacement. Il existe néanmoins un plugin pour Firefox <= 52  pour combler ce manque :

Pour IndexedDB, il s’agit de fichier SQLite déposés dans le dossier « storage » de votre profil Firefox.

Et que dire de l’ETag qui fait partie du protocole HTTP et permet d’utiliser le cache de ressources du navigateur pour cacher des identifiants personnels ?

Il existe des méthodes pour supprimer ces données mais elles sont trop avancées pour être utilisées par tous en pratique.

Les éditeurs de site web ont beaucoup de pouvoir sur les utilisateurs. Comme des éditeurs d’applications, ils ont un certain contrôle sur la machine et les données de l’utilisateur.

Au jeu du chat et la souris, tout le monde perd. D’un coté, les éditeurs n’arrivent pas à tracer tout le monde à cause des bloqueurs de scripts (adblock), de requêtes tierces (umatrix) et des destructeurs de cookies (cookies autodelete). De l’autre, les utilisateurs seront toujours devancés par le dernier détournement technologique pour les espionner.

Je crois que la solution passe par le choix d’utiliser uniquement les bons sites web, aux bonnes pratiques qui ne cherchent pas à passer outre le consentement de l’utilisateur. Pour atteindre cette solution, il faut sensibiliser les utilisateurs et les éditeurs de site web ainsi que faire la promotion des solutions « propres ».

Malheureusement, la CNIL n’est que peu impliquée dans cette démarche (inclure des script de Facebook sur ses pages, il fallait le faire….)
Faudrait il labelliser les sites web sur leur respect de la vie privée ?

3 Comments

Add a Comment