Discussion :

[Stéphane le calme]

Les cookies publicitaires pourraient permettre de vous identifier,
selon une étude menée par des chercheurs de l’université de Princeton

En décembre dernier, des documents présentés par Edward Snowden expliquaient que la NSA et son homologue britannique la GCHQ se servaient des cookies PREF de Google (cookies de préférence) pour identifier leurs cibles dans le cadre des programmes de surveillance.

Google explique que « à l'aide de ces cookies, nos sites Web enregistrent des informations qui influent sur leur fonctionnement ou leur apparence, par exemple au niveau de votre langue de prédilection ou de votre localisation géographique. Ainsi, en mémorisant votre position, un site Web peut vous fournir la météo locale ou des informations de circulation routière. Ces cookies peuvent également vous aider à modifier la taille et la police du texte ainsi que d'autres éléments de pages Web personnalisables. ». D’ailleurs, la plupart des utilisateurs de Google ont un cookie de préférence appelé "PREF" enregistré dans leurs navigateurs.

Une équipe d’ingénieurs de l’université de Princeton s’est alors interrogé sur les moyens que les agences de renseignements auraient pu déployer pour atteindre leurs objectifs. C’est dans ce contexte que l’étude intitulée « Cookies That Give you Away: The Surveillance Implications of Web Tracking » a été menée. Elle établit combien il est relativement simple de relier les points entre les cookies et les identités réelles. Le rapport constate que même HTTPS ne constitue pas une entrave à la capacité de surveillance.

« Ainsi, un espion qui peut mettre sur écoute le réseau peut non seulement regrouper les pages web visitées par un utilisateur, mais également les rattacher à des identités du monde réel », ont expliqué les chercheurs. « Même si l'identité d'un utilisateur n'est pas divulgué en clair, si l'espion en question a le pouvoir d'assignation, il pourrait obliger la divulgation de l'identité correspondant à un cookie, ou vice versa. »

Ce diagramme illustre comment un espion peut utiliser plusieurs cookies tiers afin de relier le trafic. Lorsqu’un utilisateur visite 'www.exampleA.com’, la réponse contient le traqueur intégré X, avec un cookie d'identification 'xxx'. Les visites effectuées sur exampleA et X sont liées par une adresse IP, qui généralement ne change pas au sein d'une seule visite de la page (si l’utilisateur ne passe pas par Tor). Une autre page visitée par le même utilisateur peut intégrer traqueur Y portant le cookie au pseudonyme 'yyy'. Si les deux pages ont été visitées à partir de différentes adresses IP, au regard des cookies un espion ne saurait dire si elles ont été effectuées à partir du même navigateur. Cependant, si une troisième page intègre les deux traqueurs X et Y, l'espion saura alors que les ID de « xxx » et « yyy » appartiennent à un seul et même utilisateur. Cette méthode appliquée de manière itérative a le potentiel de lier ensemble une grande partie du trafic d'un seul utilisateur.

Par la suite les chercheurs décrivent des scénarios de menace qu’ils envisagent pour ce type de surveillance passive du réseau : « l'espion peut avoir deux objectifs: il pourrait en premier lieu vouloir cibler une personne en particulier. Dans ce cas, il connait soit l'identité dans le monde réel de la cible soit un seul cookie d'identification avéré de la cible. En second lieu, l'espion peut être engagé dans la surveillance de masse. Il voudra alors "récolter" autant que faire se peut des indices sur le web et les associer à des identités du monde réel. »

L'expérience a modélisé le comportement des utilisateurs en ligne, en supposant que l'utilisateur effectue jusqu'à 300 visites de sites sur une période de deux à trois mois, et a cherché des composants qui relieraient les utilisateurs à leur identité. Le rapport précise que 90 pour cent des visites sont en mesure d'être regroupées de cette façon.

Les chercheurs concluent le rapport en espérant que ce document « serve de base au débat politique sur la surveillance et l'écosystème de suivi Web (…). Nous espérons également qu'il permettra de sensibiliser des violations de la vie privée par des techniques d'inférence subtiles. »


Source : Cookie Surveillance (au format PDF)

Et vous ?

Qu'en pensez-vous ?

[imikado]

On pourrait imposer une navigation https, ça permettra

1. d'éviter de se faire lire en "clair" ses cookies
2. de vérifier l'identité du site web navigué

[Carhiboux]

On pourrait imposer une navigation https, ça permettra

1. d'éviter de se faire lire en "clair" ses cookies
2. de vérifier l'identité du site web navigué

En fait ca éviterait seulement de se faire lire en claire par n'importe qui.

La NSA demande directement les clefs de chiffrements à Google et consort, tandis que les autres agences gouvernementales d'autres pays non alliés à la NSA ont probablement d'autres méthodes pour déchiffrer ces trames.

[fredoche]

On pourrait imposer une navigation https, ça permettra

1. d'éviter de se faire lire en "clair" ses cookies
2. de vérifier l'identité du site web navigué

je me demande si on perçoit bien la problématique :
https empêche t'il les mash-up ?
ce que je comprends du doc, c'est que si tu es un fournisseur de pub par exemple pour différents sites, et donc si tu inclues du contenu depuis tes serveurs sur différents sites, tu pourras tracer le parcours des utilisateurs de ces sites à partir des cookies que tu peux échanger sur la base de ton trafic HTTP, S ou non.

Ton 2e point me pose un gros souci sur la compréhension de ce qu'est la certification pour la plupart des gens : on certifie une adresse qualifiée, du type machine.domaine.méta-domaine
C'est tout.
Demain je peux prendre le domaine bnp.eu (exemple), certifier le sous-domaine www ou même un wildcard *.bnp.eu et me mettre à "faker" tout ce qui concerne la BNP. Ca me coutera disons 200€ pour l'année, et je pourrais embrouiller qui je veux.
La certification de base, celle qui sert dans la plupart des cas pour le https, ne certifie qu'une adresse, une URL, et absolument rien de qui porte cette URL, qui est derrière le service, qui fait quoi.
Et vu qu'on a appris à absolument tout le monde à avoir confiance au petit cadenas, et c'est tout, je crois qu'il y a un gros problème de ce coté.

[imikado]

En effet pour le certificat, on peut acheter un certificat pour bnp.eu, mais la procédure est un peu plus lourde que d'acheter juste le domaine.
Selon les organismes de certification, ils vont ou non vouloir une photocopie de la piece d'identité d'un tiers et verifier par telephone le numéro de la société... (je parle par expérience)

[fredoche]

Bah tu vas aller vers le certificateur le plus cool de toute façon, pour ce genre de chose.
D'autant que c'est le genre de produit vendu et revendu, par n'importe qui

Et quand bien même... tu prends bnp.eu, c'est à ton nom, tu achètes le certificat qui va avec, tout roule, et la vérif se passe sans souci.

Les vrais certificats qui valident et certifient la société portant le nom de domaine (le détenteur du certificat), le process de contrôle va bien plus loin qu'une photocopie de carte d'identité, ces certificats coûtent cher Il sont dits EV pour Extended Validation, ils apparaissent en vert avec le nom de la société certifiée sous firefox.
Si ce n'est ce type de certificat, tu verras que le détenteur du certificat apparaît comme inconnu, avec un certificat lambda...et même les plus grands utilisent ce genre de certiifcat

[imikado]

+1 il faudrait effectivement imposer des EV pour tous les sites "critiques" banque/fiance mais également réseau sociaux