C'est une expérience amusante que propose l'EFF. Partant du constat que les sites web peuvent de moins en moins compter sur les cookies pour établir le profil des utilisateurs et les suivre à la trace, la bien connue association américaine de défense de la liberté d'expression sur internet s'est demandée quelles autres traces pouvaient bien laisser nos navigateurs.
On connaît bien le user-agent , qui couplé à une adresse IP peut déjà fournir pas mal d'information aux bases de données de site web peu scrupuleux quant à la vie privée de leurs utilisateurs. Un petit tour sur le site de la CNIL http://www.cnil.fr/vos-libertes/vos-traces/ rubrique votre ordinateur vous donne déjà un aperçu de quelques traces supplémentaires (comme la résolution de l'écran).
L'EFF pousse le concept plus loin et tente de corréler le plus d'informations possibles : on peut corréler la résolution de l'écran, la version des plugins (java, flash, etc.) utilisés, les polices systèmes... Expérience en ligne sur http://panopticlick.eff.org/
Le résultat est impressionnant : sur quelques tests ils estiment que l'entropie des informations détectées sur un firefox 3.6 intégrant le plugin mplayer et flash est de l'ordre de 17,5 bits. C'est-à-dire qu'on peut statistiquement identifier l'ordinateur qui a précisément servi à établir cette connexion parmi 185000 ! Idem avec un konqueror intégrant les mêmes plugins. Rien que le user agent d'un firefox sous Linux 32 bits permet de discriminer parmi 4000 visiteurs... Sans même avoir à faire intervenir l'adresse IP !
Une première parade immédiate consiste à changer d'identifiant de navigateur, et à modifier régulièrement et aléatoirement les paramètres retournés. À l'avenir, il serait bon que les modes de navigation privée intégrés à la plupart des navigateurs restreignent l'accès à ce genre de données: connaître par exemple la version précise d'un plugin est rarement utile.
Pour une présentation un peu plus technique sur la théorie de l'information appliquée à l'identification, voir http://www.eff.org/deeplinks/2010/01/primer-information-theo(...) (en anglais).
# Vive Noscript
Posté par Olivier Esver (site web personnel) . Évalué à 8.
Au maximum j'ai 4 bits d'information (mis à part l'user agent que je peux changer facilement pour un commun) ce qui fait en moyenne 1 sur 14. C'est déjà moins que 1 sur 185000 :D
S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
[^] # Re: Vive Noscript
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Vive Noscript
Posté par Étienne . Évalué à 10.
Étienne
[^] # Re: Vive Noscript
Posté par mistral . Évalué à 1.
[^] # Re: Vive Noscript
Posté par Zarmakuizz (site web personnel) . Évalué à 1.
Within our dataset of several hundred thousand visitors, only one in 18,722 browsers have the same fingerprint as yours.
Currently, we estimate that your browser has a fingerprint that conveys 14.19 bits of identifying information.
D'un autre côté le fait d'utiliser Firefox sur Ubuntu aide déjà pas mal à me tracer. Hop 1/2446.
Je fais le test en laissant le javascript en marche :
Your browser fingerprint appears to be unique among the 225,040 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 17.78 bits of identifying information.
En regardant la fiche de route, je savais pas que j'avais autant de plugins dans Firefox, j'ai vu des trucs de DivX, de QuickTime... j'aime bien la probabilité de 1/25004 que je me choppe sur ce point.
Les polices du système c'est abusé le chiffre bien haut, 1/225040.
Quand le javascript est désactivé, ça fait des probas du style 1/6 pour 5 paramètres, surtout les plus gros, donc c'est pas mal. Par contre la caractéristique HTTP_ACCEPT Headers passe d'environs 1/755 à 1/120 environs quand on réactive le javascript.
1/19 avec Noscript c'est bien plus haut que 1/225040 sans. Oui, vive NoScript.
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Mal lu
Posté par Zarmakuizz (site web personnel) . Évalué à 1.
Bon, pour réduire mes chances d'être tracé il me faudrait un moyen de me faire passer pour un windowsien.
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Mal lu
Posté par meumeu1402 . Évalué à 1.
[^] # Re: Mal lu
Posté par Zarmakuizz (site web personnel) . Évalué à -2.
Sauf qu'avec l'histoire de Yahoo par défaut sur Ubuntu, il est temps pour moi de changer de distrib, ou comment se faire repérer encore plus facilement.
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Vive Noscript
Posté par téthis . Évalué à 3.
Il faudrait pouvoir manipuler les propriétés de navigator et lui faire cracher ce qu'on veut.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Vive Noscript
Posté par feth . Évalué à 2.
Je vous la recommande.
[^] # Re: Vive Noscript
Posté par nicoastro . Évalué à 6.
— le numéro de version, ils en ont peut-être plusieurs dans leur base, mais à un instant t, la plupart des ordinateurs étant à jours, on a tous le même numéro de version ;
— toujours ce même numéro de version, il ne permet pas de tracer un ordinateur puisqu’il change régulièrement (vous allez me dire… avec la Debian…) ;
— c’est bien beau de dire qu’on a x quantité d’info. mais est-elle pertinente? genre le en-US pour un français.
# Taille écran
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
Et la CNIL et l'EFF ne détectent pas mes 2 écrans (TwinView) et retournent juste 1280x1024
Sur l'internet, personne ne sait que vous avez plus d'un écran :)
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Taille écran
Posté par soulflyb (Mastodon) . Évalué à 3.
2560x1024x24
[^] # Re: Taille écran
Posté par benoar . Évalué à 2.
# Et il n'y a pas que ça.
Posté par xenom . Évalué à 5.
Ce sont en fait des objets locaux («local shared objects» (SOs)) enregistrés sur le poste.
Et de plus en plus de sites les utilisent, car les gens effacent de plus en plus leur cookies, et pour l'instant je ne crois pas qu'il y ait de fonctions intégrés aux navigateurs pour les gérer, à part des extensions Firefox (et de toute manière ces objets sont gérés par le player Flash).
On peut aussi connaitre une partie de l'historique des visiteurs grâce au CSS et à « a:visited». Il y avait un site pour tester ça, mais je ne retrouve plus l'adresse.
J'ai fait le test de l'EFF il y a quelques jours, et je devais être 1 sur 50.000 avec mon user agent. Et sur mon poste au travail je suis le seul à être testé qui à ces plugins, donc facilement reconnaissable.
[^] # Re: Et il n'y a pas que ça.
Posté par hugo (site web personnel) . Évalué à 7.
Perso, j'utilise cette extensions sous Firefox : https://addons.mozilla.org/en-US/firefox/addon/6623 qui se contente de supprimer le contenu du dossier .macromedia/ qui devient au fûr et à mesure des surfs une vraie caverne d'alibaba...
[^] # Re: Et il n'y a pas que ça.
Posté par kikicnrv . Évalué à 6.
Il existe un addon pour firefox connu pour virer ça :
https://addons.mozilla.org/fr/firefox/addon/6623
Mais peu de personne l'utilise (moi même je ne l'utilise pas d'ailleurs).
Utilisant flashblock, je vois de plus en plus de page avec un petit bouton flash apparaitre, quand tu cliques dessus rien n'apparait ... Étrange non ?
pour l'historique :
https://linuxfr.org//~Skunnyk/28427.html
mais le lien qui y est donné ne semble plus fonctionner
[^] # Re: Et il n'y a pas que ça.
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
http://www.cnil.fr/vos-libertes/vos-traces/lhistorique/
"La première sécurité est la liberté"
[^] # Re: Et il n'y a pas que ça.
Posté par Fabimaru (site web personnel) . Évalué à 2.
[^] # Re: Et il n'y a pas que ça.
Posté par Gniarf . Évalué à 3.
maintenant, ca va etre comme javascript, quand tout le monde s'en servira ca sera ingérable et on utilisera l'équivalent de NoScript pour ca si le navigateur le propose pas facilement
[^] # Re: Et il n'y a pas que ça.
Posté par Fabimaru (site web personnel) . Évalué à 2.
[^] # Re: Et il n'y a pas que ça.
Posté par Gniarf . Évalué à 4.
et
The following websites have stored data for offline use
dans options/advanced/network, le premier est coché par défaut pour l'instant
[^] # Re: Et il n'y a pas que ça.
Posté par khivapia . Évalué à 2.
Après il est effectivement détestable que comme le dit kikicnrv de plus en plus d'objets flash ne servent plus à afficher quoi que ce soit...
[^] # Re: Et il n'y a pas que ça.
Posté par fusible . Évalué à 4.
rm -Rf ~/.macromedia ; ln -s /dev/null ~/.macromedia
et on n'en parle plus.
[^] # Re: Et il n'y a pas que ça.
Posté par thedude . Évalué à -2.
C'est une methode qui consiste a lire la doc sur le parametrage du player flash. Totalement dingue quoi.
En pratique, ca donne quoi?
On clique droit sur un flash movie, settings, cliquer sur advanced.
On finit par arriver tres vite sur cette page:
http://www.macromedia.com/support/documentation/en/flashplay(...)
Ou l'on apprend que, truc de malade sont balezes chez adobe quand meme, on peut desactiver completmeent les local shared objects!!!
[^] # Re: Et il n'y a pas que ça.
Posté par Christophe HENRY (site web personnel) . Évalué à 5.
On finit par arriver tres vite sur cette page:
http://www.macromedia.com/support/documentation/...
Il faut donc se connecter sur leur site pour paramétrer un outil installé sur mon système ? Il n‘y a rien que te choque ?
[^] # Re: Et il n'y a pas que ça.
Posté par thedude . Évalué à 1.
Il faut lancer l'appli flash de configuration de flash player.
Ce truc est en ligne parce que c'est la facon la plus simple de lancer une appli flash pour quelqu'un qui s'y connait pas, mais tu pourrais tres bien telecharger le swf et le lancer dans ton browser en local.
[^] # Re: Et il n'y a pas que ça.
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Et il n'y a pas que ça.
Posté par thedude . Évalué à 1.
Faut drag n droper sur le navigateur, et va expliquer ca a ma'ame michu...
[^] # Re: Et il n'y a pas que ça.
Posté par Gniarf . Évalué à 2.
je sais très bien comment ca se passe derriere et que c'est sans danger modulo les compétences chez Adobe mais le moins qu'on puisse dire c'est que ca n'envoie pas du tout le bon signal à nos amis paranos.
[^] # Re: Et il n'y a pas que ça.
Posté par claudex . Évalué à 5.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Et il n'y a pas que ça.
Posté par thedude . Évalué à 1.
Et on est loin de dire que ca soit horriblement complique.
[^] # Re: Et il n'y a pas que ça.
Posté par téthis . Évalué à 2.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Et il n'y a pas que ça.
Posté par Olivier (site web personnel) . Évalué à 1.
chown root:root /home/*/.macromedia/
chmod a-w /home/*/.macromedia/
[^] # Re: Et il n'y a pas que ça.
Posté par zebra3 . Évalué à 3.
# chattr +i /home/*/.macromedia/
C'est ça qu'il y a de bien avec Linux (et Unix en général) : il y a trente six méthodes pour faire la même chose :-).
Quelqu'un a une autre idée ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Et il n'y a pas que ça.
Posté par boq . Évalué à 4.
[^] # Re: Et il n'y a pas que ça.
Posté par téthis . Évalué à 2.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Et il n'y a pas que ça.
Posté par boq . Évalué à 2.
# IP Fixe
Posté par mxt . Évalué à 6.
[^] # Re: IP Fixe
Posté par khivapia . Évalué à 4.
# Distribution aléatoire??
Posté par Maclag . Évalué à 3.
User Agent
bits of identifying information
9.88
one in x browsers have this value
940.42
value
Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.2) Gecko/20100115 Firefox/3.6
Une personne sur 940.42 utilise Firefox 3.6 sous Windows XP comme je le fais maintenant?
Sont encore mieux renseignés que Xiti!
A moins que...
2^9.88 ~ 940
Ah ben oui. J'ai une valeur codée sur 9.88bits et on en conclue que toutes les combinaisons de ces 9bits sont possibles!
Et plus fort encore: que ces combinaisons sont équiprobables.
Je ne sais pas s'il y a vraiment 942 navigateurs différents référençables par leur user-agent, mais pour la pertinence du critère équiprobable, j'ai une assez bonne idée.
Et vous aussi, apprenez que votre IE7 sous Vista qui représente 22% du marché d'après Xiti permet en réalité de vous identifier parmi 4000 utilisateurs!
(Chiffres de cette dernière phrase totalement fantaisistes).
[^] # Re: Distribution aléatoire??
Posté par Hrundi V. Bakshi . Évalué à 6.
Donc en gros, ton user agent, dans leur gros log, ils en avaient 1/940% et en déduisent que ça fait 9,88 bits d'info.
Ensuite, c'est interprétable en disant non pas que une personne sur 940 utilise ton firefox, mais qu'il y a une chance sur 940 que ça soit ton propre navigateur qui a accédé à une page pour laquelle on a repéré la chaine qui caractérise ta browser value.
Donc, toujours si j'ai bien compris, c'est un calcul théorique et la démo ne marche que si on restreint à des hypothèses drastiques (il faut une table de référence exhaustive) pour extrapoler à "une browser value donnée prise au hasard est partagée par tant de personnes dans le monde".
C'est intéressant, mais ça reste relativement quelconque. c'est pas plus codant que de savoir que tu es parmi les propriétaires de mustangs bleues de 1999 (trouvée grâce à Elvita TM ).
Là où il faut faire gaffe, c'est que là on a un fichier répertoire en masse à pas cher, et avec quelques infos en plus, on pourrait parfaitement pister quelqu'un.
Un jour, dans NCIS, Mcgee et Abby diront
Abby (excitée): Gibbs, on y a passé la nuit, mais on a trouvé, aussi surement qu'une trace d'adn...
McGee (docte) :.. on a calculé la chaîne identifiant le brouteur du méchant, on l'a comparée avec les logs du site de l'escort girl qui s'est faite tuée et violée (dans cet ordre), on a recoupé avec l'heure du crime, et il se trouve que grâce à notre super base de donnée de référence secrète du gouvernement 'au total on a plus que 33 bits d'informations alors...
Gibbs (impatient) : Mcgee...
McGee (penaud) : D'accord patron, c'est lui
Gibbs (crie): DiNozzo ! En route.
DiNozzo (tape McGee sur l'occiput en souriant bêtement) : J'arrive patron !
(on m'objectera qu'ils ont certainement le fichier de tous les propriétaires de mustang bleue de 1999 et que ça aurait été plus simple et télégénique, mais bon, McGee a voulu faire le McGeek )
Bien entendu, il se peut aussi que je n'ai pas compris le bouzin et que je raconte des conneries
[^] # e
Posté par NickNolte . Évalué à 3.
9 épisodes sur 10 au moins doivent parler d'AlQouillda.
Dans la réalité? Ce n'est pas AlQouillda qui licencie du personnel à outrance, qui vérouille le net, qui me menace tous les jours de vie ou de mort (en fait c'est plutôt le journal porno de Pernaud ), etc etc...
[^] # Re: e
Posté par Hrundi V. Bakshi . Évalué à 2.
[^] # Re: e
Posté par NickNolte . Évalué à 1.
[^] # Re: e
Posté par zebra3 . Évalué à 3.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: e
Posté par NickNolte . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.