Tu veux un cookie ?

INFORMATIQUE

À l'approche de la date de l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD 25.05.2018), la panique (quand ce n'est pas carrément le syndrome du larbin) saisit tous les éditeurs responsables et les webmasters.

On croirait à un concours de la pop-up la plus moche — la plus gênante, surtout — pour vous faire accepter les « conditions dans lesquelles le site collecte des informations par l'utilisation de cookies... ».

Panique aussi concernant les newsletters : « nous allons devoir redemander la permission à tous nos abonnés pour pouvoir continuer à leur envoyer notre newsletter ». Non, non, et non. Tout ça c'est juste du flan.

  • D'une part, le règlement en question ne stipule nulle part qu'une adresse e-mail serait automatiquement une donnée à caractère personnel.
  • D'autre part, si vos abonnés se sont inscrit en double optin (confirmation), un mini contrat existe entre eux et vous qui vous autorise à leur envoyer votre newsletter dans les conditions spécifiées lors de l'inscription, et ce, jusqu'à ce que l'utilisateur choisisse de se désabonner. Le RGPD n'a pas pour effet d'annuler tout ce qui préexistait !

Pour le reste, tout le monde se fiche des données que vous pourriez collecter via les cookies, vous allez comprendre que c'est de la roupie de sansonnet à côté de ce que vous transmettez comme données personnelles de navigation de vos visiteurs, directement aux GAFAM, et aux autres grands acteurs du marché. À l'insu de votre plein gré (ce ne sera bientôt plus une excuse en ce qui vous concerne, si vous êtes un collègue webmaster).

Prenons un exemple

Vous vous rendez sur le site de votre agence de voyage pour y commander votre séjour de rêve sur les plages de sable chaud. Dix minutes plus tard, vous ouvrez votre page Facebook et il vous propose, dans les pubs tout un tas de produits et services en rapport avec votre achat... Et les données collectées dans des cookies par l'agence en question ne sont nullement en cause, c'est un peu plus pervers que ça.

Lorsque vous vous inscrivez sur Facebook, celui-ci associe votre identité réelle à un identifiant numérique, disons 4859127884091837. Il place cet identifiant dans un cookie, qui sera stocké sur votre disque dur. Seul Facebook a le droit de lire ou de modifier ce cookie (l'utilisateur, quant à lui, peut l'effacer, mais en pareil cas, il devra à nouveau s'identifier lors de sa prochaine connexion).

Jusque-là, tout va bien, et l'on ne voit pas immédiatement comment Facebook se fait transférer automatiquement les données de navigation des utilisateurs lorsqu'ils naviguent sur le web...

L'astuce est simple : les GAFAM, avec Facebook et Google en tête, s'arrangent pour que les webmasters incluent un fichier situé sur leur domaine dans toutes les pages de leur site. Cela va du bouton « like » à la jolie fonte google, en passant par les petits snippets javascript pour faire ci ou ça.

Dès lors, au chargement de la page, le navigateur du client (votre visiteur) va faire une requête (GET) sur le serveur GAFAM, et ce faisant, lui donner libre accès au cookie associé, ainsi qu'au referrer, soit l'URL de la page demandée. Oui, je sais, c'est du chinois, alors voyons ça concrètement.

Pour les besoins de la cause, j'ai créé : 

  • Une page « register » sur www.levilainpetitcanard.be, qui créera un cookie « register » portant valeur « 9a6663f1bf0c56043bff6efc2b6a2599 »
  • Une page anodine, sur le site www.lvpc.tk, qui affiche un simple texte... mais fait « référence » à un petit script localisé sur le domaine www.levilainpetitcanard.be
  • Le petit script en question, qui se contente d'afficher, dans une fenêtre d'alerte, les données ainsi collectées.

1) on va sur la page« register.php » qui représente n'importe quelle inscription sur un GAFAM ou autre acteur du marché

2) On va sur la page « anodine.htm » qui contient le code suivant : 

La référence au « GAFAM » est située à la dernière ligne du bloc <HEAD>. Il s'agit d'un lien vers le code supposément javascript situé sur www.levilainpetitcanard.be. En pratique, il ne fait que régurgiter les données sur lesquelles il a pu mettre la main sous forme d'une fenêtre de message (alert) en Javascript.

3) On voit le résultat

Non seulement le « GAFAM » peut récupérer l'identifiant unique de l'internaute, et le relier ainsi à l'utilisateur (et ses données récupérées précédemment), mais en plus il obtient l'adresse IP, les informations sur le navigateur, et le plus important : le referrer.

Notez que dans ce cas-ci, le referrer portait en paramètres (GET) des informations sur l'activité du client, permettant au GAFAM de mieux cibler encore les centres d'intérêt de l'internaute. Si vous vous trouvez dans la partie « boutique », il le saura, si vous êtes sur la page « réclamation », il le saura aussi.

Faut-il préciser que ce sont des terrabytes d'informations concernant les habitudes de navigation de leurs utilisateurs que ces GAFAM reçoivent tous les mois ? Il ne reste plus qu'à passer ça à la moulinette de l'indexage et du collationnement des données pour constituer un portrait toujours plus fidèle du pigeon de service : l'utilisateur/consommateur.

Comment arrêter de transmettre les données de nos visiteurs ?

La solution la plus simple consiste à faire ce que j'ai fait sur Le Vilain Petit Canard : supprimer toute référence à des scripts/css/snippets/iframes en provenance d'une source externe. On rapatrie les polices Google qu'on veut utiliser et on les référence localement, on télécharge la version de JQuery qu'on souhaite utiliser et on fait de même, on vire les boutons « like » pour ne garder éventuellement qu'un bouton « partage » qui ne nécessite pas de référence à un code distant.

Après quoi, on peut installer un addon comme LightBeam dans firefox pour visualiser les éventuelles dépendances restantes. Pour moi, elles ont toutes été supprimées au moment où j'écris ceci à part une référence à Google (Recaptcha) qui ne sera présente que si vous souhaitez placer un commentaire sur mon site.

Conclusion

Les webmasters ont une responsabilité majeure dans la collecte par les GAFAM et autres géants du Big Data des données de leurs utilisateurs, il convient donc qu'ils prennent conscience de la portée du phénomène et tiennent mieux en compte le droit des utilisateurs à ne pas être traqués partout où ils passent.

Comment les internautes peuvent blinder leur navigateur (edit du 30.05.18)

Tout d'abord, la méthode que je décris ici ne fonctionne que pour Mozilla Firefox et ses variantes (forks).  Pourquoi ?  Tout simplement parce que selon moi, les autres ténors du marché (Chrome, Safari, Ms) ne donnent pas aussi complètement l'accès aux paramètres système pour arriver à une sécurisation optimale.  Toutefois, j'expliquerai les étapes afin que vous puissiez, le cas échéant, chercher dans la doc de votre navigateur favori s'il présente des fonctionnalités similaires.

1) Interdiction des cookies tiers

Par cookie tiers, on entend un cookie qui n'est pas créé par le site que vous visitez, mais bien par un site auquel il est fait référence sur le site que vous visitez.  Par exemple, si vous visitez un blog qui fait appel à des modules de Facebook (likes), Facebook aura accès à votre cookie par défaut.  Ajouté à votre referer, ce sont toutes vos données de navigation qu'il recevra.

Dans la barre d'URL, tapez about:config (et si vous ne l'avez fait, acceptez l'avertissement)

Dans le champ de recherche, tapez cookie

Double-cliquez sur network.cookie.cookieBehavior, puis donnez la valeur 1 (autorise uniquement les cookies du serveur visité).

2) Masquage du referrer et granularité

Dans le champ de recherche tapez referer (oui, avec un seul r)

Double cliquez sur network.http.referer.spoofSource pour le mettre à la valeur true.  Ceci aura pour effet de remplacer le referrer (l'url de la page que vous visitez) en l'url de la page pointée par la ressource demandée (par ex : facebook.com).

Double cliquez sur network.http.referer.trimmingPolicy et donnez lui la valeur 2.  Ceci aura pour effet de diminuer la granularité, ce qui fait qu'il n'enverra comme (faux) referrer que le nom de domaine (de la cible).

Vous voilà paré, plus de danger que les GAFAM reçoivent en temps réel vos informations de navigation, et ça, sans même avoir besoin d'installer quelque plugin que ce soit !

Comments

C'est un petit rappel utile, mais paradoxalement, bien des personnes qui râlent contre l'exploitation des données personnelles ne prennent même pas la peine de lutter contre, mis à part le téléchargement d'un bloqueur de pub (ben oui, c'est à leur portée, mais faut pas trop en demander). Il y a même bien plus simple : paramétrer son navigateur pour qu'il n'accepte pas les cookie, ou les supprime à la fermeture. On peut aussi employer certaines extensions qui modifient le user agent, bloquent les requêtes sur certaines pages, etc. Si on se donne la peine on trouve de quoi semer des petits graviers dans les chaussures des gafam ;-) Coucou à toi en passant mon p'tit canard ;-)

Salut Collègue,

Disons que ce sont clairement les webmasters que nous sommes qui peuvent faire le plus de mal, souvent sans savoir vraiment ce qu'ils exposent comme données utilisateurs.

Les utilisateurs n'ont bien souvent pas le niveau requis pour comprendre les implications, donc tout ce qu'ils voient, c'est l'aspect "pub", sans réaliser que les GAFAM en apprennent long, très long sur eux.

La navigation privé, c'est joli, mais comme t'as pas de cookie, t'es pas connecté à FB et autres.

Le mieux c'est de compartimenter la navigation, ou alors il faudrait pouvoir accéder à la propriété referrer au moment du chargement d'une page, et la mettre à blanc de sorte que ce vol de données privées ne puisse plus se produire.

Note que même Moz ne le ferait pas, cela représente des milliards d'Euros par an...

article interressant. l'auteur semble avoir bien analysé le processus. Manque maleureusement un développement du sujet dans sa forme pratique, pragmatique, pour que le lecteur puisse l'appliquer. "La solution la plus simple consiste à faire" est intelligible pour un expert informatique seulement !
- scripts/css/snippets/iframes en provenance d'une source externe
- rapatrie les polices Google en local
- on télécharge la version de JQuery
... a suivre ??

Bonjour,

C'est parce que je présentais uniquement la solution pour les webmasters, qui peuvent de cette manière "protéger" tous leurs visiteurs contre ce qu'il faut bien appeler un vol de données.

Pour les internautes utilisant firefox, j'ai ajouté une méthode dans l'article...

Les assertions et opinions exprimées dans les pages du Vilain Petit Canard par des contributeurs, ou dans le cadre d'une reproduction restent propriété exclusive de leurs auteurs respectifs réputés en assumer l'exactitude et la responsabilité qui ne peut être imputable à la rédaction du Vilain Petit Canard. Ces articles sont signalés par une mention spécifique du nom de l'auteur ou son pseudo s'il a souhaité garder l'anonymat, et mentionnent un lien vers l'article original.

Newsletter hebdomadaire

Ils l'ont dit [+]

Un peuple qui élit des corrompus, des renégats, des imposteurs, des voleurs et des traîtres n'est pas victime, il est complice.
George Orwell
L'ignorance des masses est la première force des dirigeants
Anonyme
En politique, rien n'arrive par hasard. Chaque fois qu'un événement survient, on peut être certain qu'il avait été prévu pour se dérouler ainsi.
Franklin D. Roosevelt

Sélection d'Actu