Discussion :

[Nancy Rey]

Votre historique de navigation peut vous identifier de manière précise,
d’après une étude menée par les chercheurs de Mozilla

Les chercheurs de Mozilla ont confirmé que les historiques de navigation peuvent être utilisés pour compiler des profils de navigation uniques et que ceux-ci peuvent être utilisés pour tracer les utilisateurs. Il existe également de nombreux acteurs assez omniprésents pour rassembler des historiques web suffisants pour exploiter l'historique de navigation comme identifiant.

Ce n'est pas la première fois que des chercheurs démontrent que les profils de navigation sont suffisamment distinctifs et stables pour être utilisés comme identifiants. Sarah Bird, Ilana Segall et Martin Lopatka ont été poussés à reprendre les résultats présentés dans un article de 2012 de Lukasz Olejnik, Claude Castelluccia et Artur Janc, en utilisant des données plus fines, et ils ont étendu ce travail pour détailler le risque pour la vie privée posé par l'agrégation des historiques de navigation.

Les données ont été recueillies auprès d'environ 52 000 utilisateurs du navigateur Firefox qui ont choisi de partager les données à des fins de recherche et de développement de produits au-delà de ce qui est prévu dans les politiques de collecte de données par défaut de Mozilla. Les chercheurs de Mozilla ont recueilli des données pendant 7 jours, puis ont fait une pause de 7 jours, avant de reprendre pendant 7 jours supplémentaires. Après avoir analysé les données collectées, ils ont identifié 48 919 profils de navigation distincts, dont 99 % sont uniques. Le document original, celui de 2012, a observé un ensemble d'environ 400 000 profils d'historique de navigation, dont 94 % étaient uniques.

« L'unicité élevée tient même lorsque les historiques sont tronqués à seulement 100 sites de premier plan. Nous constatons alors que pour les utilisateurs qui ont visité 50 domaines distincts ou plus au cours de la période de collecte de données de deux semaines, environ 50 % peuvent être réidentifiés en utilisant les 10 000 premiers sites. La possibilité de réidentification est passée à plus de 80 % pour les utilisateurs qui ont visité 150 domaines distincts ou plus », notent les chercheurs de Mozilla.

Ils ont également confirmé que les profils de l'historique de navigation sont stables dans le temps, une deuxième condition préalable pour que ces profils soient liés de manière répétée à des utilisateurs spécifiques et utilisés pour le suivi en ligne. « Nos taux de réidentification dans un ensemble de 1 766 sites étaient inférieurs à 10 % pour 100 sites malgré un profil unique à plus de 90 % dans les différents ensembles de données, mais ils ont augmenté à environ 80 % lorsque nous considérons 10 000 sites », ont-ils ajouté.

Enfin, certaines entreprises comme Alphabet (Google) et Facebook sont en mesure d'observer le web dans une mesure encore plus grande que lors de la recherche pour le document de 2012, ce qui peut leur permettre d'acquérir une profonde visibilité de l'activité de navigation et d'utiliser cette visibilité pour un suivi en ligne efficace, même si les utilisateurs utilisent des appareils différents pour naviguer sur Internet.

D'autres recherches récentes ont montré que l'anonymisation des modèles de navigation ou profil par la généralisation ne protège pas suffisamment l'anonymat des utilisateurs.


Une réglementation est nécessaire

Lukasz Olejnik, chercheur sur la protection de la vie privée et l'un des auteurs de l'article de 2012, a noté que les résultats de cette nouvelle recherche sont une confirmation bienvenue que les historiques de navigation sur le web sont des données personnelles qui peuvent révéler des informations sur l'utilisateur ou être utilisées pour suivre les utilisateurs.

« D'une certaine manière, l'historique de navigation ressemble à des données de type biométrique en raison de leur caractère unique et de leur stabilité », a-t-il commenté. Il a également souligné que, puisque ces données permettent de distinguer des individus parmi beaucoup d'autres, elles relèvent automatiquement du règlement général sur la protection des données (RGDP).

« Les historiques de navigation sur le web sont des données privées et, dans certains contextes, ce sont des données personnelles. C'est ce qu'indique l'état de l'art de la recherche. La technologie devrait suivre. Les réglementations et les normes en matière de traitement des données devraient également suivre. Ainsi que l'application de la loi », a-t-il conclu.

Sources : Rapport de recherche (1, 2)

Et vous ?

Quelle est votre opinion sur le sujet ?

Voir aussi :

Le Sénat US adopte une mesure qui permet au FBI de collecter sans mandat l'historique de navigation des Américains, dans une mise à jour du Patriot Act de 2001

Une extension Firefox prise à siphonner l'historique de navigation de ses 220 000 utilisateurs, après avoir bénéficié d'un coup de cœur de Mozilla

Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs, de façon malicieuse

« Clear History » qui permettra d'effacer son historique de navigation sur Facebook est pour 2019, la firme dit qu'il nuira à ses activités de pub

[wistiti1234]

Ils n'expliquent pas comment cet historique a été récupéré.
Les cookies sont-ils capablement d’accéder à notre historique de navigation hébergé dans notre navigateur? Dans ce cas qu'attendent-ils pour protéger ces donnée et en empêcher leur accès?
Ou bien les trackers sont-ils capables de retracer notre historique côté serveurs, en observant nos navigations?

[Daïmanu]

Ils n'expliquent pas comment cet historique a été récupéré.

J'ai pensé pour le service de collecte de données du navigateur (section Collecte de données par Firefox et utilisation dans les paramètres), mais le rapport de l'étude mentionne une extension spécifique pour l'étude. Ce qui me fait demander si les sujets de l'étude ont volontairement installé cette extension ?

Measurement of browsing data was carried out using a custom browser extension [46] derived from the OpenWPM instrumentation [23]. Data was encrypted on the client and collected via secure infrastructure separated from Mozilla’s normal telemetry pipeline enabling highly restricted data access. Data was collected in "pings" transmitted regularly from the browser as data amassed. Each browser was given a unique identifier to enable pings to be joined together to assemble the dataset. This unique identifier was specific to the opt-in data collection program used by this study and not connected or joinable to other identifiers used by Mozilla.

[tanaka59]

Bonjour,

Votre historique de navigation peut vous identifier de manière précise

Quelle est votre opinion sur le sujet ?

"Logique" . D'un point de vu combinaison chaque individu est représenté par une "combinaison unique" de site web qu'il fréquente. Pour le différencier encore plus on peut aussi analyser l'ip ou plutôt le "bloc" d'ip.

Ainsi on peut identifier de manière unique les habitudes de consos

Ils n'expliquent pas comment cet historique a été récupéré.
Les cookies sont-ils capablement d’accéder à notre historique de navigation hébergé dans notre navigateur?

La réponse est dans votre question. Dans les cookies de navigations ils y a des "traces" des sites consultés, ainsi que l'ip ou les "bloc" à défaut de pouvoir conserver (de mémoire la conservation de l'ip est interdite dans le cadre du rgpd).

Dans ce cas qu'attendent-ils pour protéger ces donnée et en empêcher leur accès?

Il y a une surcouche de "tracking" , résultat certains empêchent tout bonnement de les utiliser si ils n'ont pas accès. En gros c'est "on vous laisse venir sur notre site si vous acceptez et ne bloquez pas les trackers ... " . Sinon on se fait jeter du site. Il n'y a qu'a voir les sites des quotidiens régionaux ...

J’utilise Ghostery et sans le désactiver je ne peux pas utiliser Nice ou Corse Matin par exemple ...

Ou bien les trackers sont-ils capables de retracer notre historique côté serveurs, en observant nos navigations?

Il y a une complémentarité entre trackers et système de cookies ...

Le système a été fait de la sorte que d'un point de vu marketing on respecte la loi. On analyse une partie avec tracker. Les cookies font le reste. Comme l'un ne va pas sans l'autre ... le pauvre consommateur ou celui qui bloque les trackers se fait gentiment lourder des sites ...

[wistiti1234]

J'ai pensé pour le service de collecte de données du navigateur (section Collecte de données par Firefox et utilisation dans les paramètres), mais le rapport de l'étude mentionne une extension spécifique pour l'étude. Ce qui me fait demander si les sujets de l'étude ont volontairement installé cette extension ?

Oui, pour cette étude, j'ai compris qu'ils s'appuyait sur des volontaires qui acceptaient volontairement de partager leur données avec Mozilla, dans le but d'améliorer le service.
Mais dans la vie de tous les jours, vis-à-vis d'utilisateur désirant simplement protéger leur vie privé?
Quel est le moyen cette "attaque"? Pour s'en protégé, suffit-il simplement de vider notre historique après chaque session? Ou est-ce plus compliqué que cela?

La réponse est dans votre question. Dans les cookies de navigations ils y a des "traces" des sites consultés, ainsi que l'ip ou les "bloc" à défaut de pouvoir conserver (de mémoire la conservation de l'ip est interdite dans le cadre du rgpd).



Il y a une surcouche de "tracking" , résultat certains empêchent tout bonnement de les utiliser si ils n'ont pas accès. En gros c'est "on vous laisse venir sur notre site si vous acceptez et ne bloquez pas les trackers ... " . Sinon on se fait jeter du site. Il n'y a qu'a voir les sites des quotidiens régionaux ...

J’utilise Ghostery et sans le désactiver je ne peux pas utiliser Nice ou Corse Matin par exemple ...

Je pensais que les cookies étaient isolé, et ne pouvais pas avoir accès aux données des autres sites.
Mais bon, si c'est bien des cookies et des scipts blokables par ghostery et consorts, tout va bien.

Je craignais qu'ils avaient encore trouvé une nouvelle attaque quasi imblocable, à la manière des fingerprint généré par la résolution de nos écran ou des extensions installé (ghostery et autres justement), ou encore du temps d’exécution de certaines routines sur son processeur....

[Steinvikel]

Ils n'expliquent pas comment cet historique a été récupéré.
Les cookies sont-ils capablement d’accéder à notre historique de navigation hébergé dans notre navigateur ?
Dans ce cas qu'attendent-ils pour protéger ces donnée et en empêcher leur accès ?
Ou bien les trackers sont-ils capables de retracer notre historique côté serveurs, en observant nos navigations ?

J'ai pensé pour le service de collecte de données du navigateur (section Collecte de données par Firefox et utilisation dans les paramètres), mais le rapport de l'étude mentionne une extension spécifique pour l'étude. Ce qui me fait demander si les sujets de l'étude ont volontairement installé cette extension ?

"Comment", c'est le détail critique qui fait qu'une analyse est pertinente ou caduque.
On sait que Mozilla a demandé explicitement un consentement de collecte spécifique pour cette étude ...mais le biais est différent si c'est un appel à volontaires, taper dans une base de privilégiers, ou se restreindre à une zone géographique se conformant à une même juridiction (ex: USA only).
NB : à savoir que simplement demander l'accord pour poursuivre apporte déjà un biais statistique à la différence de l'échantillon contraint.

Les cookies peuvent stocker les données relatives à :
- le site par lequel vous êtes arrivé
- les préférences du/des sites
- les pages visités à travers le/les-dit sites
- la manière d'interagir avec le site (chemin de la souris, bouton cliqué, temps d'absence...)
- les champs remplis sur le/les-dit site (nom, prénom, adresse physique, adresse mail, commentaires, mots tendancieux employés...)
- peuvent également accéder (et donc agréger) à certains fichiers/informations si votre navigateur l'autorise (ex: la configuration matérielle et logicielle --> résolution, addons...).
...les autres info sont livrés non pas par des cookies mais par des extension malveillantes, ou plus simplement, les scripts de la page web
--> une démonstration assez frappante des infos récoltables sur une "simple" page web : https://clickclickclick.click/

Fondamentalement, le cookie est un espion (une commère), qui remonte vos moindres faits et gestes aux gens avec qui vous ne désirez pas les partager (les inconnus).
NB : c'est aussi le gâteux que le grand monsieur vous donne pour vous la mettre à l'envers, petit esprit insouciant et innocent que vous êtes. ^^'

D'un point de vu combinaison chaque individu est représenté par une "combinaison unique" de site web qu'il fréquente. Pour le différencier encore plus on peut aussi analyser l'ip ou plutôt le "bloc" d'ip.
Ainsi on peut identifier de manière unique les habitudes de consos

Les habitudes de conso' permettent également de distinguer des profiles, par exemple, un profile qui visionne majoritairement autour de midi par rapport à un autre le soir.
Certaines habitudes permettent même de définir qui a un boulot ou non, et de cibler des pub' "discount", "bon plan", etc.

Quel est le moyen de cette "attaque" ? Pour s'en protégé, suffit-il simplement de vider notre historique après chaque session ? Ou est-ce plus compliqué que cela ?
Je pensais que les cookies étaient isolé, et ne pouvais pas avoir accès aux données des autres sites.
Mais bon, si c'est bien des cookies et des scipts blokables par ghostery et consorts, tout va bien.

Vider l'historique ne suffit pas, puisque le cookie crée son historique sur tout ce dont il a accès. Ce qui faut c'est les bloquer, et les vider de manière cyclique s'ils vous sont imposés.
Personnellement , j'utilise le combo Ublock Origin + uMatrix + NoScript.
J'y ai fait les réglages les plus stricts, et je dois finalement lancer un autre navigateur sur les fonctionnalités nécessitant la désactivation d'un ou plusieurs de ces derniers.
ex : faire une réunion via Google Hangout, car les paramètres précis bloquants les dites fonctionnalités sont accessibles uniquement dans les options de l'addon, pas a travers son interface ...du coups, plutôt que de désactiver mes protections sur tout le navigateur, j'en ouvre un autre, juste pour ça.

[wistiti1234]

Oui donc voilà, le cookie accède à tout ce qu'on fait sur le site auquel il appartient, et il voit par où on est arrivé.
Mais il ne voit pas ce qu'on fait dans les autres onglets ouverts, et n'est pas capable à lui seul de reconstruire tout notre historique.

Donc ma question reste ouverte: par quelle moyen pourrait-ils accéder à notre historique de navigation, autrement qu'en piochant directement dans notre historique Ctrl+H?

[tanaka59]

Bonsoir

Donc ma question reste ouverte: par quelle moyen pourrait-ils accéder à notre historique de navigation, autrement qu'en piochant directement dans notre historique Ctrl+H?

Tu as aussi 2 choses :

> les FAI
> les hébergeurs de sites (kddi, ionos, ovh ...)

Entre hébergeurs et fai il y a de la revente de data sur le trafic qui se passe sur le site web. Donc déjà géographiquement on peut faire du ciblage . Plage d'ip , région, pays, langue, habitude de trafic , navigation mobile/pc , os ...

Avec ces grosses masses de données , les opérateurs télécoms vont "postaliser" les datas ...

Gardez à l'esprit que depuis l’avènement de Facebook , les sociétés marketings arrivent à travailler sur de la data anonyme pour ensuite la "désanonymiser" et arriver à de la segmentation .

Je vais donner 3 exemples vu en cours marketing :

> paiement CB en supermarché d'un pain de mie de marque Harry's, age de l'acheteur 18/25 ans > j'en déduit que c'est potentiellement un étudiant > ajouter à cela la fréquence d'achat et les autres articles achetés (alcool, gateaux apéritif ... )
> achat de sodas de marques San Peleggrino > j'en déduit que la personne aime bien une ambiance "latine" , "sud de l'europe" ... ce deuxième exemple est veridict et mon cas personnel , j'aime bien cette boisson ... alors je me retrouve occasionnellement avec des pub pour la Grèce, l’Espagne, l’Italie ou le sud de la France ...

Partez du postulat que les entreprises ont des "datas" anonymes et qu'avec des systèmes de traitement de masses, elles arrivent à cibler dans 15 à 25 % de manières précises

Les systèmes sont tellement complexes à expliquer ...

Il y a une part de calcul algébrique et matriciel avec de l'analyse factoriel. La cela dépasse mon domaine de compétence ... on en vient à faire du profiling.

[Steinvikel]

Oui donc voilà, le cookie accède à tout ce qu'on fait sur le site auquel il appartient, et il voit par où on est arrivé.
Mais il ne voit pas ce qu'on fait dans les autres onglets ouverts, et n'est pas capable à lui seul de reconstruire tout notre historique.

Malheureusement, si je ne dit pas de bêtises, certaines entités ont également des cookies "génériques" qui glannent des infos sur plusieurs de leur sites.

Donc ma question reste ouverte: par quelle moyen pourrait-ils accéder à notre historique de navigation, autrement qu'en piochant directement dans notre historique Ctrl+H?

En général, il ne "pioche" pas dans l'historique, il construit le sien... le mieux pour eux, c'est que tu installes leur addon, qui elle, va demander à ton navigateur de lui communiquer l'historique général, de fournir la liste des addons installé, activé, etc.
Maintenant tu sais pourquoi il y a tant de "petites" app facebook et compagnie sur android, et d'addon sur les web browser ...alors que quelques scripts (qui tournent également sur TA machine) peuvent faire 90% des fonctionnalités de ces programmes.

[avion-f16]

Salut à tous !

Je lis ici beaucoup de conceptions "fausses" sur les cookies même si leur finalité reste malheureusement le suivi de nos activités en ligne.

@wistiti1234

Les cookies sont-ils capablement d’accéder à notre historique de navigation hébergé dans notre navigateur? Dans ce cas qu'attendent-ils pour protéger ces donnée et en empêcher leur accès?
Ou bien les trackers sont-ils capables de retracer notre historique côté serveurs, en observant nos navigations?

Non, un cookie n'a pas accès à votre historique de navigation. Un cookie est une information que le site que vous visitez (ou le serveur d'une ressource que votre navigateur charge en surfant sur une page quelconque) demande à votre navigateur de retenir, et votre navigateur retransmet cette information lors de chaque requête vers le site. Cette information est généralement un identifiant unique, lequel peut éventuellement permettre à ce site d'enregistrer votre activité sur ce site. Le cookie ne permet absolument pas à un site d'obtenir des informations "par magie", il ne suffit pas qu'un site crée un cookie pour avoir soudainement accès à vos données.

Lorsqu'un site A crée un cookie, par défaut, votre navigateur ne retransmettra ce cookie qu'au site A.
Le problème apparaît quand beaucoup de sites différents incluent des ressources sur le site A : dans ce cas, le site A reçoit une requête de votre navigateur afin de charger l'élément inclus dans les pages de ces autres sites, et malheureusement, cette requête HTTP s'accompagne du cookie créé par ce site A lors d'une précédente requête (lors d'une visite d'un autre site) en plus du "referer" qui indique sur quelle page vous vous trouvez.

Par exemple, lorsqu'on visite un site qui utilise Google Adsense, notre navigateur charge un JS sur les serveurs Google, et le serveur répond en donnant un cookie avec un identifiant unique. À chaque fois qu'on visitera un site qui utilise Adsense, le navigateur chargera le fichier JS sur le serveur Adsense en communicant le cookie et donc l'identifiant unique (+ le referer). De cette manière, Adsense établit l'historique de navigation mais uniquement sur les sites où il est inclus.

De mon avis, la "responsabilité" du problème revient quand même un peu à tous ces sites qui ont recourt à ces publicitaires ou prestataires externes au détriment de notre vie privée, du fait de leur manque de préoccupation sur le sujet, ou alors, parce que c'est dans leur intérêt. C'est également le cas avec tous ces "CDN" (CloudFlare, ceux qui hébergent des frameworks JS, etc), Google Fonts, ... Ces géants du Web créent constamment des raisons pour s’immiscer dans tous les sites Web, et les développeurs Web actuels n'y voient que la facilité et non les dommages occasionnés.

@tanaka59

Dans les cookies de navigations ils y a des "traces" des sites consultés, ainsi que l'ip ou les "bloc" à défaut de pouvoir conserver (de mémoire la conservation de l'ip est interdite dans le cadre du rgpd).

Non, le cookie ne contient pas ces traces, il serait bien trop lourd. Comme expliqué précédemment, les cookies ne permettent pas à un site quelconque de récupérer votre historique de navigation.
Un site A ne peut connaître votre historique de navigation sur B, C, D, ... uniquement si B, C, D, ... incluent une ressource sur le site A.

Quant au GDPR, il n'interdit absolument pas la collecte de l'adresse IP, c'est même parfois une obligation légale.
La collecte d'IP des visiteurs constitue un "intérêt légitime" au sens du GDPR, notamment afin d'assurer l'intégrité d'un réseau.

@wistiti1234

Je pensais que les cookies étaient isolé, et ne pouvais pas avoir accès aux données des autres sites.

C'est bien le cas, un site ne peut accéder à un cookie que si le créateur de ce cookie a autorisé le domaine.
Par défaut, un cookie créé par un domaine n'est autorisé que pour ce même domaine, mais le créateur peut étendre la portée de son cookie.
Lors de la création du cookie, il est possible d'autoriser d'autres domaines / sous-domaines, ceci est utile par exemple afin de garder votre session active sur des sous-domaines différents mais qui appartiennent au même site ou un un réseau de sites qui appartiennent à la même organisation.

@Steinvikel

Fondamentalement, le cookie est un espion (une commère), qui remonte vos moindres faits et gestes aux gens avec qui vous ne désirez pas les partager (les inconnus).
NB : c'est aussi le gâteux que le grand monsieur vous donne pour vous la mettre à l'envers, petit esprit insouciant et innocent que vous êtes. ^^'

C'est un gros raccourci qui ne permet pas de comprendre réellement ce que sont les cookies, même si la finalité est la même.
Le cookie n'est pas un espion en lui-même, ce n'est d'ailleurs pas un programme, et la vision du cookie comme un "fichier" est dépassée aussi.

Si on regarde les cookies du site clickclickclick.click via les DevTools, on voit que les seuls cookies sont des petits identifiants/hashs qui ne contiennent pas d'information.
L'analyse de votre comportement se fait par le Javascript, et le site peut associer l'historique de votre comportement (je ne parle pas de l'historique de surf) grâce à ce cookie.
Si vous quittez et revenez plus tard, il pourra associer votre visite précédente avec celle-ci.

Un site ne peut connaître votre historique que si il est inclus sur les autres sites Web, et heureusement : n'importe qui peut créer un site, donc si n'importe quel site pouvait collecter votre historique en créant un cookie, mieux vaudrait couper le cable.

Le site clickclickclick.click analyse votre comportement sur la page par le Javascript et il est uniquement capable de le faire pour votre activité sur ce site.
Le site clickclickclick.click n'est pas capable de dire que ce que je fais sur les autres sites Web, même s'il autorise mon navigateur à communiquer son cookie à d'autres sites, et même si d'autres sites chargent des éléments "statiques" sur clickclickclick.click.
Le site clickclickclick.click ne peut analyser mon comportement de façon aussi détaillée sur d'autres sites Web que si ces autres sites Web chargent un script JS conçu par clickclickclick.click dans ce but, et ce que script JS au lieu d'afficher mon comportement communique celui-ci au site clickclickclick.click via par exemple une requête fetch/AJAX.

On voit aussi que le simple fait d'aller sur clickclickclick.click informe CloudFlare de notre visite sur ce site, et CloudFlare utilise des cookies pour nous "traquer".
Alors oui c'est bien gentil d'offrir un anti-DDOS gratuit, mais fondamentalement c'est un reverse proxy qui voit tout le traffic du site et le chiffrement de bout en bout " navigateur <-> serveur du site " n'est plus assuré.
Je me demande si les développeurs/administrateurs de ces sites Web pensent à ces soucis de vie privée lorsqu'ils font ces choix...
C'est un peu comme router tout son traffic chez Sh*tVPN en pensant que c'est mieux pour notre vie privée, la bonne blague !

@wistiti1234

par quelle moyen pourrait-ils accéder à notre historique de navigation, autrement qu'en piochant directement dans notre historique Ctrl+H?

C'est le problème pointé au début de l'article : l'omniprésence de certains acteurs dans les sites que nous visitons.
Certaines entreprises donnent des raisons aux administrateurs des sites Web pour inclure des ressources (fichiers JS) qu'elles hébergent sur leurs propres serveurs en proposant divers outils (analytique, boutons de connexion sociaux, etc).
Résultat : quel que soit le site qu'on visite, nos navigateurs chargent des éléments sur les serveurs de ces entreprises, en communiquant au passage le cookie (défini par ces mêmes serveurs externes) et ces entreprises connaissent alors la plupart des sites qu'on visite.
L'historique collecté n'est pas entier (mais suffisant), ce n'est pas exactement l'historique tel qu'on le voit dans Ctrl + H.


@tanaka59

Tu as aussi 2 choses :

> les FAI
> les hébergeurs de sites (kddi, ionos, ovh ...)

Entre hébergeurs et fai il y a de la revente de data sur le trafic qui se passe sur le site web. Donc déjà géographiquement on peut faire du ciblage . Plage d'ip , région, pays, langue, habitude de trafic , navigation mobile/pc , os ...

Avec ces grosses masses de données , les opérateurs télécoms vont "postaliser" les datas ...

Les FAI peuvent :
- Connaître le nom des sites que vous visitez si vous utilisez leurs DNS. Solution : utiliser un DNS différent
- La solution précédente n'est pas suffisant : DNS n'est pas chiffré, ils peuvent toujours capturer vos requêtes DNS. Solution : DNS over HTTPS ou DNS over TLS
- Connaître le nom des sites que vous visitez en faisant de la DPI sur les handshakes TLS, c'est bien trop coûteux (de mon avis, à vérifier) pour être fait massivement. Solution : le SNI chiffré
Lorsque vous utilisez HTTPS, le chiffrement est de bout en bout entre votre navigateur et le serveur, or la page demandée fait partie de la requête HTTP. En d'autres termes, si vous utilisez HTTPS, un intermédiaire ne peut voir que le nom du site que vous visitez, et non l'historique des pages que vous visitez. Et si vous utilisez HTTPS + DNS over HTTPS + TLS avec ESNI, alors votre FAI ne peut plus rien voir.

Concernant les hébergeurs : lorsqu'on loue un serveur dédié, l'hébergeur ne joue alors que le rôle de FAI pour le serveur, donc voir ci-dessus.
Concernant les hébergements mutualisés, ils ont accès aux access logs et donc sont en effet en mesure de revendre des informations, mais qu'ils le fassent réellement reste à démontrer et en fonction de leur CLUF, ils peuvent se mettre dans l'illégalité.



De toutes manières, les cookies sont "has been" et le fingerprinting est désormais utilisé. Paradoxalement, au plus vous tentez de protéger votre vie privée, au plus vous serait identifiable de façon unique par le fingerprinting.
On pourrait désactiver les cookies si les développeurs se décidaient enfin à utiliser les API JS (local storage) pour assurer les fonctionnalités de leur site, on pourrait bloquer les sites tiers lorsqu'on visite un site donné si les développeurs cessaient d'utiliser des services externes, mais cela n'empêcherait pas le fingerprinting volontaire (par le site que vous visitez) et on ne peut pas contrôler ce qu'ils font derrière avec ces informations, on pourrait imaginer que des bases de données permettraient de vendre/acheter des informations liées à une empreinte. Mais à partir du moment où on visite un site Web, on n'a pas d'autre choix que de lui accorder une confiance, il peut inévitablement enregistrer notre navigation sur son propre site, et ce qu'il en fait ensuite est hors de contrôle (technique en tout cas, légalement c'est une autre question).

[Steinvikel]

Un site web c'est du html, des scripts côté serveur, et des scripts côté client ...le cookie c'est l'élément créé coté client pour y placer des info à utiliser ou retransmettre.
Si les scripts côté client font du contournement pour "déduire" des info, ces dernières sont également envoyées (à l'intérieur ou pas des cookies) ...de même pour les addons qui ont accès à bien plus d'info.

Partages-tu ce point de vue ?

[cathannaerra]

Cela me surprend vraiment cette analyse puisque depuis les années 2000, Mozilla est alliancé avec Google pour plusieurs éléments. Le moteur de recherches par défault, les normes W3C, le prefcheck(Activer par défaut dans mozilla, c'est pour valider le site en question de son degrée de confiance par l'autorité Google - Je le désactive par défault), les certificats racines à échanger pour que les autorités se conforment à des réglementations made in USA(il y avait un pays qui voulait intégrer ces propres certificats kazathan* désolé pour l'écriture), les publicités puisque Mozilla met un peu d'eau dans son vin pour laisser profiter la marge de manoeuvre de publicité qui profite à son commerce.

Maintenant mozilla observe nos site visités avec about:networking, le referer qui n'est plus du tout ajusté, les fingerprint non bloqué par défault, les micro ouvert, la caméra ouvert, les notifications ouvert, la page de démarrage mozilla pour nous en fumer du meilleur la prochaine visite. Ce n'est que le cas de mozilla. Google, c'est un autre cas, celui là est comment dire, un anonymiseur de données et il ne regarde pas à l'intérieur de la boîte sauf qu'il peut filtrer le pas bon et même te suggérer des messages pour tes prochains email, tes vidéos de petites jeune dames, sa supercherie du trou noir ou de la farce du dev/null qui n'est rien d'autre qu'une blague de bande de joueur de poker.

En réalité, il produise des saletés de publicités aussi insipide que la télévision, ils font la promotion de la vertueuse vie pharmaceutique avec des flèches dans vos supermarchés avec des gants en nitrile et du purell pour toujours, sans oublié des tonnes de vidéos de la deuxième guerre et des gens super impressionnant qui font les milles coups fumants avec des dégrés d'intelligence hors du commun. L'autre jour, j'ai fait un test de stupidité youtube, en à peine 20 seconde j'ai tournayé une session ip, système d'exploitation inconnu, navigateur ursurpé, tout était inconnu jusquà là, j'ai réussi à tomber en cliquant sur 7 fois dans un ramassi de vidéos montrant plein de fou qui tire partout des fusils, après c'était les armes bactériologiques, nucléaire et la face à Donald trump apparaît, Surprise!


Tout pour dire, que finalement les principaux informateurs(fournisseurs de site web et fournisseur de navigateur et fournisseur de système d'exploitatoin) du web sont devenus les principaux acteur qui se sont rendu des espions du SCRS-KGB-CIA-NSA-FBI avec leur traçage super efficace qui donnent froid dans le dos à y penser. Les I.A du coronavirus sont des vrai plaies puisque le reverse engenerring existe et ça été prouvé en norvège que c'est ultra dangereux. Merci bonne soirée

Pour la vie privée, je n'y crois plus, pour l'anonymat, je n'y crois pas non plus, pour l'espionnage de masse, c'est un jeu d'enfant, le profilage individuel, c'est un jeu d'enfant, le profilage d'un voisin, c'est du jeu d'enfant, faire taire une personne en la menacant dans sa vie privée autre qu'internet, c'est un jeu d'enfant, faire perdre une élection, c'est du jeu d'enfant, faire du trucage, c'est du jeu d'enfant, faire du chantage, faire des hoax, du doxing, c'est du jeu d'enfant. Bienvenu dans le martyre 2020. Alice aux pays des mervilles! J'en reviens pas que ceux qui contrôles chaque rûche de chaque pays ne parviennent même pas à se faire un zoom pour faire un concensus sur des lois et non du chantage comme des enfants. Une vraie planète de singes.

[doruiae]

Merci pour l'article, ça me fait penser à l’essor de tous les logiciels espion grand public, j'avais vu passer un article du Monde à ce sujet. C'est incroyable le profilage qu'on peut faire désormais.

[wistiti1234]

Voilà qui répond à ma question:
https://developer.mozilla.org/fr/doc..._du_navigateur

Il existe donc bel et bien une API publique permettant d’accéder à tout l'historique de son navigateur.

A partir de là, il devient expertement simple de construire une empreinte numérique quasi unique de son poste, et de reconnaitre les utilisateurs partout sur le web, sans même avoir besoin de recourir aux traditionnels cookie, et quand bien même l'utilisateur masquerait son IP ou non.

Il n'y avait pas besoin d'une étude pour ça, la technique me parait évidente: suffisament de donnée personnalisés et immuables = un fingerprint de très grande qualité.
Ce que j'attends plutôt, c'est que les navigateurs restreignent l'usage de cette api!

[wistiti1234]

cathannaerra, je rebondis à ton message et ton expérience édifiante de youtube en tant que nouveau né anonyme, pour signaler que mozilla vient justement de lancer un expérience pour tenter de décortiquer les choix malveillants opéré par l'IA de youtube.

[wistiti1234]

Voilà qui répond à ma question:
https://developer.mozilla.org/fr/doc..._du_navigateur

Il existe donc bel et bien une API publique permettant d’accéder à tout l'historique de son navigateur.

A partir de là, il devient expertement simple de construire une empreinte numérique quasi unique de son poste, et de reconnaitre les utilisateurs partout sur le web, sans même avoir besoin de recourir aux traditionnels cookie, et quand bien même l'utilisateur masquerait son IP ou non.

Il n'y avait pas besoin d'une étude pour ça, la technique me parait évidente: suffisament de donnée personnalisés et immuables = un fingerprint de très grande qualité.
Ce que j'attends plutôt, c'est que les navigateurs restreignent l'usage de cette api!

Remarquez, ça serait un gros paradoxe.Ddepuis le passage aux WebAssembly et l'abandon des anciennes normes d'extension, les modules complémentaires ont énormément perdue en fonctionnalité.
Et 3 ans après, les gestionnaires de sessions n'ont toujours pas récupéré leur capacité de restaurer chaque onglets avec son historique propre, parce que les webextension, installé pas l'utilisateurs, n'ont toujours pas accès à cet historique.
Mais les pages HTML5, provenant de tout site que l'on visiterait quotidiennement, elles, le pourraient????

[abarber]

Merci pour ce partage.

Existe-t'il un paramètrage poussé de firefox pour éviter tout cet espionage? Firefox doit proposer une solution dans ces paramètres et donner la possibilité aux internautes.

[tanaka59]

Bonjour,

Merci pour ce partage.

Existe-t'il un paramètrage poussé de firefox pour éviter tout cet espionage? Firefox doit proposer une solution dans ces paramètres et donner la possibilité aux internautes.

firefox focus sur Android

[Steinvikel]

Existe-t-il un paramétrage poussé de Firefox pour éviter tout cet espionnage?
Firefox doit proposer une solution dans ces paramètres et donner la possibilité aux internautes.

Oui, il y a un ensemble de paramétrages de Firefox permettant bien plus d'anonymat et de sécurité sur internet. Ça s’appelle Thor browser ...oui, Thor est un fork de Firefox répondant spécifiquement à ce besoin.

Sinon, il y a bon nombre de paramètres non accessibles via la GUI, pour cela, il faut allez à cette adresse : about:config
Tous les autres paramètres ne s'y trouvent pas, mais il y en a beaucoup plus ...notamment certains spécifiques aux DNS.

[Escapetiger]

Et je rajoute :
Découvrez comment garder vos informations en sécurité grâce à la navigation privée de Firefox, les outils liés aux mots de passe et autres paramètres de sécurité.
:Source : Paramètres de vie privée et de sécurité | Assistance de Firefox