L'époque du cookie pour vous pister est révolue, ou presque.
De nombreuses autres armes permettent à n'importe qui de vous pister quand vous surfez sur le web. Que ce soit des publicitaires, des mutuelles, des banques... et si n'importe qui pouvait passer commande à une société suffisemment implantée sur le web pour récolter nos historiques de navigation, avant de les recroiser ?
vie-privee_CC
Et si vous ne pouviez rien faire contre ? ou presque...
Vous êtes unique
L'important c'est de vous identifier, c'est à dire implanter un identifiant unique dans votre navigateur internet. On arrivera à vous traquer de toutes façons ensuite en croisant les données récoltées, vous avez sans doute entendu parlé de big data.
panopticlick-result
Comment relever cette signature ?
Si vous disais qu'il est possible de vous suivre sans ne jamais rien déposer sur votre machine ?
Vous êtes déjà identifiés par l'adresse IP attribuée par votre FAI, ça vous le savez. Mais si vous n'êtes pas tout seul à la maison où si vous êtes en entreprise ça se complique, tout le monde utilise la même adresse IP car le réseau internet est accessible au moyen d'une passerelle. Tout le monde aurait donc la même signature.
Mais on peut faire bien mieux que ça ! Votre navigateur divulgue des informations techniques nécessaires à l'affichage des page web : résolution, liste de plugins, User Agent, fuseau horaire, etc. Il suffit de combiner tous ces paramètres pour créer une signature unique, la vôtre.
C'est ce que permet le site Panopticlick (vous pouvez refuser l'exécution de l'applet java cela fonctionne quand même) :
panopticlick-list
Et voilà, ça y est on vous tient ! Tous les détails sur cette identification sont résumés dans ce PDF.
Et un cookie persistant, un !
L'autre méthode est également très vicieuse, elle concerne bien notre fameux cookie. Le problème du cookie c'est qu'il ne se cantonne plus au gentil cookie stocké dans votre navigateur. Je rappelle que dans un cookie on peut stocker toutes sortes d'informations : identifiants, nom, email, numéro de session... bref tout ce qui se rapporte à du texte en réalité.
Le cookie a lui aussi évolué avec le temps et de nombreux programmes ont implanté un système de stockage local similaire. Le premier gros vilain c'est flash qui stocke les informations dans des fichiers *.sol (local shared obkects) à plusieurs endroits suivant le navigateur utilisé. Il est possible de visualisé les sites concernés via une URL :
flash-storage
Si vous utilisez des outils de nettoyage comme CCleaner ces emplacements sont normalement vidés, mais comme vous surfez de sites en sites c'est de toute façon peine perdue. Un cookie d'un site A ne peut pas être lu par un site B, mais si chacun des deux sites affichent une publicité Google (pour l'exemple), bingo vous pouvez techniquement être suivis. Ces cookies flash sont souvent très utiles dans les cas de forensics car même si l'utilisateur vide son cache, son historique et ses cookies le dossier flash restera intact.
Flash n'est pas le seul moyen de stocker des informations sur votre machine. Il y a son cousin java et ses multiples failles, microsoft silverlight (souvent utilisé sur les sites de replay), le localstorage, le globalstorage... ou encore d'autres méthodes plus exotiques comme le HTTP ETag, la propriété DOM window.name.
Vous la sentez venir la patate traçeuse ?
Je vous invite à vous connecter le site samy.pl/evercookie, puis de cliquer sur le bouton "click to create an evercookie" (rien de méchant rassurez-vous c'est pour la démo et aucune info vous concernant ne sera stockée) :
samy.pl_cookie
Le site va créer un evercookie, ou cookie persistant, contenant un numéro d'identification (uid) que vous notez sur un bout de papier. Ce numéro va être écrit dans un maximum de zones de stockage. A vous de jouer et d'essayer de supprimer un maximum de traces dans votre navigateur, puis retourner sur le site en cliquant sur "click to rediscover".
Si vous avez été assez bon et qu'aucune trace ne persiste alors "undefined" devrait apparaître :
samy.pl_undefinid
Dans le cas contraire vous retrouverez votre uid, malgré tous vos efforts vous n'avez pas réussi à vous débarrasser de cet identifiant permettant de vous suivre à la trace.
Comment se protéger ?
C'est clairement l'anarchie... on vous piste sans aucun problème et sans vous demander votre avis, vous en avez maintenant la preuve. Que peut-on faire contre ce suivi massif ?
Voici quelques conseils pour vous protéger :
utilisez un navigateur libre et sans mouchard comme Mozilla Firefox (évitez Chrome même si vous le trouvez plus rapide, quand à IE je ne vois aucune bonne raison de l'utiliser)
installez dans Firefox le module complémentaire adblock edge qui filtrera les publicités et donc de nombreux cookies par la même occasion (je vous déconseille adblock plus qui est controversé, tout comme Ghostery)
installez dans Firefox le module complémentaire BetterPrivacy qui supprimera tous les cookies flash à la fermeture de Firefox
installez dans Firefox le module complémentaire Self-Destructing Cookies qui supprime le contenu des cookies flash et du local storage dès que vous quittez le site qui les a créés
installez dans Firefox le module complémentaire Request Policy qui contrôle les requêtes inter-sites (cross-site)
vous pouvez aussi utiliser NoScript mais je le trouve trop bloquant pour ma part, je passe ma vie à cliquer sur oui pour autoriser des scripts sans regarder à l'intérieur...
n'installez pas de toolbar ou d'extensions (plugins) douteuses comme ceux proposés pour regarder un contenu en streaming (même si ça peut marcher), moteurs de recherches à la noix... ils épient aussi votre navigation
ouvrez une fenêtre en mode navigation privée garantit de ne laisser aucune trace dans le navigateur, pensez-y si vous êtes chez des amis ou si vous consultez un site douteux (ctrl+maj+P pour firefox, ctrl+maj+N pour chrome)
L'idée n'est pas de vous rendre parano mais plutôt de mieux s'informer. Libre à vous ensuite de décider de l'avenir de votre vie privée, si tant soit peu qu'il en reste avec toutes les révélations d'écoutes de ces dernières années. Espérons que la CNIL rattrape son retard dans le domaine et que des lois encadreront ces suivis.