Vie privée : comment vos appareils vous espionnent

Navigateurs Web – Le tracking simple et facile

Dès les débuts d’Internet, quelques ronchons se sont inquiétés de l’impact des fameux cookies en matière de vie privée. Ceux-ci peuvent en effet stocker un identifiant unique permettant de pister un utilisateur de site en site. Bien que toujours exploités à grande échelle, les cookies ne représentent plus aujourd’hui qu’une goutte d’eau dans l’océan d’informations que votre navigateur fournit en permanence aux grandes sociétés. Un petit aperçu ?

Commençons d’abord par les données accessibles par tous les sites web que vous visitez, sans accords commerciaux entre eux et avec la plupart des navigateurs dans leur configuration par défaut. Pour l’occasion, nous utilisons Chrome, mais le résultat serait identique avec Firefox ou Edge dans la plupart des cas.

  • Votre localisation géographique
    L’adresse IP est à la base de toute communication sur Internet. Des sociétés comme MaxMind – et surtout Google – proposent des API gratuites permettant de faire le lien entre une adresse IP et les coordonnées géographiques. La précision (souvent renvoyée par les API) varie de quelques centaines de mètres dans les zones urbaines denses à plusieurs dizaines de kilomètres pour les smartphones. Cette information permet également d’en déduire le fuseau horaire sur lequel vous vous trouvez ainsi que votre fournisseur d’accès à Internet (ou votre opérateur de téléphonie mobile). De quoi vous proposer des offres commerciales parfaitement ciblées : un habitant du XVIe arrondissement de Paris ou de Saint-Cloud verra alors s’afficher une publicité pour une Rolex alors que vous, pouilleux de Montargis, n’aurez droit qu’à une promo pour un pack de Kronenbourg. Et ne parlons pas de Manon, qui brûle de désir de vous rencontrer tout en habitant justement la rue d’à côté.
  • Votre configuration software
    Les browsers s’identifient auprès du serveur via un User-Agent, envoyé avec les requêtes HTTP. Il intègre le nom et la version du navigateur que vous utilisez. Le système d’exploitation (Windows, OS X…) et son type (32 ou 64 bits) font aussi partie des indications remontées. Pour les smartphones, il s’agira bien sûr du nom de l’OS Mobile. Disposer d’un appareil sous OS X ou iOS vous classe bien sûr immédiatement dans la catégorie des CSP+ qui ne regardent pas à la dépense. Beaucoup de navigateurs renvoient également les plug-in installés. Un indice intéressant pour les sites malveillants : beaucoup d’entre eux souffrent de vulnérabilités exploitables.
  • Votre configuration hardware
    En exploitant le User-Agent ainsi que quelques fonctions Javascript, les navigateurs peuvent connaitre – et transmettre à qui s’y intéresse – la résolution de votre moniteur, le nombre de cœurs de votre CPU, le modèle de votre carte graphique ainsi que l’état du gyroscope et le niveau de la batterie (pour les smartphones). Une information plus importante qu’il n’y paraît puisque Uber a récemment démontré que le comportement des utilisateurs variait en fonction de la charge restante : vous serez par exemple plus enclin à payer le prix fort pour un taxi/VTC si votre batterie est bientôt épuisée…
  • Votre réseau local
    Nouveauté fascinante rendue possible par l’intégration de l’API WebRTC (de Google) dans la plupart des navigateurs modernes : l’accès direct à votre réseau local. Des sites web d’un nouveau genre comme SnapDrop s’en servent par exemple avec brio pour faire communiquer deux machines connectées au même réseau interne. Contrepartie : un site web malicieux peut ainsi scanner vos autres PC/smartphone/périphériques. L’exploitation de cette technologie permettrait également de rompre l’anonymat d’un réseau VPN en dévoilant votre véritable adresse IP.
  • À quels sites vous êtes logué
    Vous avez surement déjà rencontré l’un de ces sites qui utilisent l’authentification d’un autre comme Facebook ou Twitter. La majorité des mastodondes du Web proposent tous un système de SSO (Single Sign-On) qui permet de s’identifier par l’intermédiaire d’un tiers. En exploitant cette fonctionnalité, il devient possible de savoir à distance si vous êtes déjà logué sur Amazon, Dropbox, Facebook, Spotify, Reddit, Expedia, Yahoo et même Steam ou Battle.Net (parmi des dizaines d’autres). Ne vous étonnez donc pas de constater soudainement une recrudescence de publicité pour Amazon si vous vous y êtes connecté un peu plus tôt.
  • Quels sites vous visitez
    Le nerf de la guerre. Suivre les pérégrinations d’un quidam sur Internet permet de recueillir d’innombrables informations très intéressantes sur ses goûts et sa vie privée. En langage marketing, on parle de “ciblage”, destiné à mieux lui vendre un produit ou un service en adaptant l’offre au client de manière personnalisée. Plus les commerciaux en sauront sur vous, plus ils vous vendront facilement leur camelote. C’est scientifique. D’un point de vue technique, impossible de vous pister efficacement sans vous attribuer un identifiant unique qui vous suivra à la trace. L’adresse IP a, un temps, fourni de bons services à ce niveau, mais l’explosion des smartphones a rendu son exploitation caduque. L’IP change en effet bien trop souvent, selon la borne 3G/4G à laquelle vous êtes connecté, mais aussi quand vous rentrez chez vous et passez par votre réseau Wi-Fi. Et même pour un PC fixe, Free partage par exemple une seule IP pour quatre utilisateurs, sans même parler des différents membres d’une famille qui utiliseraient la même box. Bref, il convient de dépasser un identifiant au cœur de chaque navigateur. Pour cela, il existe de nombreuses techniques dont les fameux cookies et leurs formes plus évoluées. Ces petits fichiers texte contenant un couple clé/valeur sont configurés par le serveur web qui transmet l’ordre de création, modification ou suppression d’un ou plusieurs cookies au navigateur. Celui-ci sera ensuite renvoyé systématiquement par le navigateur lors de l’accès au site, qui pourra ainsi savoir si vous l’avez déjà visité ou pas. Oui mais voilà : par nature et pour éviter les abus, les cookies ne sont accessibles que par le site qui les a créés. Impossible donc pour Amazon de lire le cookie de Facebook. Mais rassurez-vous, les pubeux ont vite trouvé la parade : intégrer au site un petit élément d’un autre site qui, lui, concentrera toutes les données pour de nombreux clients. Il peut s’agit d’une simple image invisible d’un seul pixel (qui déposera alors un cookie “tiers”) ou un petit bout de code Javascript (qui deviendra un tracker comme les fameux boutons “J’aime” de Facebook). Le champion incontesté de cette pratique reste évidemment Google avec DoubleClick et AdWords/AdSense, qui équipent plus de 80 % des sites internet. Ces informations seront ensuite soit exploitées en interne, soit revendues à des tiers, qui peuvent alors suivre leurs clients potentiels de site en site au gré de leur navigation. De quoi générer des dizaines de milliards de bénéfices annuels.
  • Votre correspondance
    Contrairement aux autres, cette possibilité reste réservée aux propriétaires des sites correspondants. Bien qu’ils se défendent de toute intrusion dans votre vie privée, tous les acteurs majeurs d’Internet peuvent s’approprier votre “contenu” comme ils disent et l’inspecter à la loupe. Google indique par exemple analyser scrupuleusement le contenu des e-mails qui passent par Gmail afin de mieux affiner votre profil publicitaire. Vous envoyez un e-mail à votre tante Chantal pour lui faire part de l’énième panne de votre vieille guimbarde ? Google s’empressera de proposer cette information à Nissan ou Renault afin qu’ils puissent glisser subrepticement une publicité pour une nouvelle voiture dans votre prochaine navigation. La même chose s’applique évidemment si vous contactez votre tata en passant par Facebook.
Et pour me protéger ?
tl;dr> Vous ne pouvez pas. À moins d’accepter de revenir 10-15 ans en arrière, c’est-à-dire à l’âge de pierre d’Internet, les fonctionnalités HTML5/Javascript sont désormais incontournables. Vous pouvez certes vous essayer à un gymkhana avec NoScript sous FireFox, mais sachez qu’à l’instar des anti-adblockers, il existe désormais des techniques de tracking qui font fi de ces tentatives désespérées pour protéger sa vie privée. Même les plug-in comme Ghostery que nous vous conseillons encore il y a 18 mois sont désormais inféodés aux mastodontes du marketing. Seule une législation contraignante pourrait éventuellement améliorer les choses. Encore faut-il qu’elle ne s’attaque pas à des problèmes du siècle dernier comme ce fut le cas avec la directive EU sur les cookies…

 

About the Author

Doc TB
Détracteur en chef, journaliste total, combat le bullshit marketing depuis 2001, ce qui lui vaut régulièrement procès et menaces. Particularité : dilapide l'argent de la rédaction en produits divers et variés qu'il pourrait très bien obtenir gratuitement via les constructeurs (contre un ou deux points en plus sur la note). Détruit au final lesdits produits en cherchant à les améliorer ou pour éprouver leur résistance aux courts-circuits.

Comments are closed.