Vie privée : comment vos appareils vous espionnent

Des jeux un peu trop curieux – Sniff’em All

Si la récupération de données à grande échelle représente le business principal de grandes entreprises comme Google, d’autres peuvent aussi y trouver un intérêt lucratif. C’est le cas des éditeurs de jeux vidéo, et plus particulièrement des plateformes de téléchargement en ligne comme Steam. Les fabricants de cartes graphiques peuvent aussi s’intéresser de près à vos données. Quels types de données récupèrent-ils ? Nous avons tenté de lever le voile en interceptant les communications entre leurs clients Windows et les serveurs de Big Brother.

Les plateformes de téléchargement

SteamBattle.netOriginGOG

logo_steamComme on pouvait s’y attendre, Steam se comporte comme un véritable aspirateur à données. Il connaît absolument tout de votre façon de jouer (nombre de lancements, temps de jeu, options choisies…) ainsi que de votre configuration hardware et software. Le fameux “Sondage” qui apparaît régulièrement représente d’ailleurs une formidable opportunité sur ce point : la liste complète de vos applications Windows “remonte” par exemple à Big Gabe pour l’occasion. Vous possédez un Steam Controller ? Alors les statistiques sur la pression de chaque touche parviendront également à Valve. De quoi établir un profil hyper-ciblé et vous proposer les offres alléchantes que vous ne pourrez pas refuser (et des jeux auxquels vous ne jouerez jamais). Détail amusant : Steam exploite – entre autres –  les services de Google (pour le tracking) et de Microsoft (pour le Cloud). Nous avons constaté que l’utilisation de Steam excitait au plus haut point les différents mécanismes de tracking de Windows 10 qui deviennent nettement plus actifs en sa présence. Gagnant-gagnant…

logo_battlenetChez Blizzard, on ne fait pas vraiment dans le détail. Cinq secondes après avoir cliqué sur l’exécutable de l’installateur Battle.net, on constate déjà une flopée de connexions vers des domaines aussi réjouissants que nydus.battle.net/geoip, google-analytics.com/collect et telemetry.battle.net. Cette dernière IP reçoit d’ailleurs un flux quasi continu d’informations quand Battle.net fonctionne. À la lecture des fichiers envoyés, Blizzard peut analyser en temps réel l’utilisation de son client et également monitorer ses fermes de serveurs : votre PC générera une alerte en cas d’indisponibilité de l’un d’entre eux. De nombreuses ID de sessions (et autres informations) sont également transmises régulièrement à iir.blizzard.com, dont “BNET.BI.AppGoogleSessionLink” qui semble démontrer un lien étroit avec Google. Blizzard donne également accès à votre machine via Battle.net à de nombreux tiers qui s’empressent de venir y déposer cookies et trackers : DoubleClick, PubMatic, RocketFuel, MarkMonitor, Rubicon Projet, Casale Media, etc. Tapez donc leur nom dans un moteur de recherche pour rigoler…

logo_originÀ la lecture de l’avalanche de logs qui apparaissent au lancement d’Origin, on peut se demander si le but d’Electronic Arts ne consisterait pas d’abord à renseigner toutes les régies pub de la planète plutôt que de diffuser ses jeux vidéo. L’installation d’Origin vous garantit la mise en place de dizaines de cookies de suivi et d’autant de trackers de toutes sortes, par des cadors du marketing ultra-ciblé. Citons par exemple l’hyper-intrusif Tapad, spécialisé dans le suivi “unifié” des utilisateurs sur plusieurs appareils en fonction de leur comportement. Une véritable nuisance pour le respect de la vie privée.

logo_gogLa politique de la plateforme GOG s’est toujours voulue respectueuse de l’utilisateur en matière de vie privée. Elle fut également la première à proposer des jeux sans DRM, incluant les créations de sa maison-mère (CD Projekt) comme la populaire série des Witcher. Nous avons épluché les différentes communications entre GOG et ses serveurs sans y déceler de brèches notables concernant d’éventuelles données personnelles. Les connexions sont toutes chiffrées et globalement peu nombreuses, les rapports d’erreur n’incluent pas d’informations sensibles et les identifiants se limitent au minimum. Seul petit bémol, GOG intègre les trackers de Google en Javascript et de Doubleclick en utilisant un GIF de 1×1 pixel, ce qui donne une porte d’entrée à l’ogre de Mountain View.

Les drivers des cartes graphiques

  • Nvidia

Procédons donc à l’innocente installation du dernier driver en date de Nvidia (368.25). Dès le début du processus, le programme s’empresse d’envoyer – en HTTP non chiffré –  les versions des pilotes que vous vous apprêtez à installer, accompagné du PCI ID de votre carte graphique, à gfswl.geforce.com. Après quelques informations de seconde importance (ID, taille du moniteur, etc.) transmises à Adobe et un inévitable tracker Google Analytics, Nvidia se permet tranquillou d’envoyer des informations hardware basiques sur votre machine – comme le modèle de votre CPU ou de votre SSD – sur telemetry.Nvidia.com.

nvidia-01

Intolérable ? S’il n’y avait que ça… Si vous avez eu le malheur de laisser s’installer GeForce Experience (par défaut), celui-ci en profite pour envoyer l’intégralité des informations matérielles détaillées de votre PC quelques minutes plus tard à gfe.Nvidia.com/getsugar (notez le cynisme de l’URL) : marque et modèle de la carte mère, numéro de série de votre machine, version du BIOS, clés USB connectées, taille de le RAM, fréquence du GPU, etc. Scandaleux ? Attendez, attendez, ce n’est pas tout ! GeForce Experience envoie aussi la liste des applications que vous utilisez (jeux ou pas), le moment où vous les lancez, les arrêtez et, s’il s’agit d’un jeu, un historique du framerate mesuré (avec valeur mini/maxi) ainsi que sa configuration et des statistiques diverses. Votre dernière partie de 3D Sex Villa était-elle bien fluide sur votre GTX 960 ? Nvidia le sait, lui. Et il sait également où vous avez cliqué sur ses utilitaires, combien de temps vous avez passé sur chaque page, etc. En tout, près de 100 Ko d’informations (accompagnées de trackers Google qui s’exécutent très régulièrement) sont ainsi transmises à Nvidia. Un log déchiffré que nous avons intercepté sur notre machine de test est disponible ici. Ce genre de pratique constitue une atteinte évidente à la vie privée. Alors certes, les conditions d’utilisation en anglais de Nvidia sont parmi les plus intrusives qui soient, puisqu’en les acceptant, vous autorisez le fabricant à récupérer des informations “personnelles ou non” et à les partager avec des tiers. En revanche, la version française accessible par un lien au moment de télécharger le pilote ne mentionne aucunement ces récupérations de données personnelles massives. Une preuve de plus du peu de cas que semble faire Nvidia de la vie privée de ses utilisateurs…

  • AMD

Passons cette fois à AMD avec l’analyse de l’installation des pilotes Crimson 16.5.3. Comme chez Nvidia, des informations hardware basiques comme le PCI ID de votre carte graphique, le modèle de votre CPU ou le type d’OS utilisé remontent en clair vers AMD par le biais d’un tracker Google Analytics. Ensuite, plus grand-chose. Nous avons laissé la machine connectée une journée, en démarrant régulièrement différentes plateformes de jeu et en jouant à plusieurs titres sans constater d’envoi d’informations de la part du driver Crimson (ou de ses applications). Le jour et la nuit par rapport à GeForce Experience…

crimson

 

Les jeux vidéo

nvidia-01Impossible de vous dresser une liste exhaustive (peut-être dans un futur article ?) mais la plupart des jeux modernes testés envoient aux serveurs de leur éditeur des informations de télémétrie sur votre configuration hardware et votre façon de jouer. Deux exemples représentatifs : GTA V et Street Fighter V. Le premier communique très régulièrement avec les serveurs de Rockstar (prod.telemetry.ros.rockstargames.com). Les données ne sont pas chiffrées par SSL mais exploitent un encodage propriétaire illisible. Pas moyen de savoir exactement le type de données transmises. Street Fighter V, de son côté, renvoie votre configuration hardware complète ainsi que des données d’utilisation à Epic Games via etsource.epicgames.com. Ces données circulent en clair (http) sur Internet sans être chiffrées malgré la présence d’un identifiant unique. Une contrepartie à l’utilisation de l’Unreal Engine 4 par Capcom ?

 

About the Author

Doc TB
Détracteur en chef, journaliste total, combat le bullshit marketing depuis 2001, ce qui lui vaut régulièrement procès et menaces. Particularité : dilapide l'argent de la rédaction en produits divers et variés qu'il pourrait très bien obtenir gratuitement via les constructeurs (contre un ou deux points en plus sur la note). Détruit au final lesdits produits en cherchant à les améliorer ou pour éprouver leur résistance aux courts-circuits.

Comments are closed.