La version 0.3 du cadriciel d'espionnage/gestion de témoin de connexion evercookie est sortie.
L'auteur, Samy Kamkar, décrit son logiciel comme étant « conçu pour rendre des données persistantes et juste ça, persistantes. En stockant ces données dans divers endroits auquel un navigateur peut accéder, si une des données était perdue (par exemple en effaçant les cookies), les données peuvent être néanmoins récupérées et réutilisées. »
Le code source est disponible. L'auteur parle en anglais d'« open source », semble-t-il dans le sens « code source ouvert » (pas spécialement libre suivant les 4 libertés donc). Il est très court (et dépourvu de licence explicite d'ailleurs, seules celles de SWFObject (MIT) et JQuery (MIT/GPL) sont précisées dans le dépôt des sources Git).
booga explique que le logiciel « est capable d’utiliser jusqu’à 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique, mais néanmoins délicieux cookie, à la moderne, mais lente webdatabase, en passant par le sympathique LSO.
Le cadriciel est capable de détecter lorsque l’un des mouchards a été effacé, et de le recréer. » Les méthodes employées sont les suivantes :
- cookie HTTP
- LSO (cookie flash)
- génération dynamique d’un PNG, dans lequel la valeur du cookie sera codée en RGB, et utilisation de Canvas, pour la relecture de la valeur (très ingénieux)
- stockage du cookie dans l’historique du navigateur
- dans les ETags
- userData dans Internet Explorer
- utilisation des « Session Storage », « Local Storage », « Global Storage », « DB Storage », du HTML5
Lire la foire aux questions du site est aussi intéressant. On y apprend que les navigateurs protègent plutôt mal contre ces stockages dans l'immédiat (à l'exception du navigateur propriétaire Safari d'Apple - à moteur KHTML sous LGPL), Quel sera le prochain navigateur libre protégé ? Quid du navigateur libre Chromium développé par Google, dont le métier est la publicité et la collecte d'informations justement ?
Quid de LinuxFr.org ?
- Pas de format fermé Flash, donc pas de cookie flash LSO.
- Rien de fait spécialement pour le navigateur propriétaire Internet Explorer, donc rien côté userData.
- Pas (encore) de HTML5, donc rien côté « Session Storage », « Local Storage », « Global Storage », « DB Storage »
- Même images pour tout le monde (à l'exception des utilisations abusives de bande passante et du captcha), donc rien dans les PNG.
- Et on ne stocke rien non plus dans l'historique du navigateur ou les ETags.
- Bref LinuxFr.org utilise uniquement les cookies HTTP classiques.
Et pour décrire les cookies utilisés sur la partie publique du site (pas ceux dédiés à l'équipe du site donc) :
- identification : stockage du nom du compte utilisateur (login), forcer le mode HTTPS (https, recommandé, notamment pour tous ceux qui utilisent du WiFi ou qui ne contrôle pas tous les équipements réseau entre leur navigateur et le serveur LinuxFr.org...), identifiant unique de session (unique_id) et contrôle de l'identifiant unique (md5)
- pour le style / CSS : définir sa feuille de style personnelle, propre à un navigateur donné (style), accepter ou non la feuille de style événementielle type sortie d'une nouvelle version de distribution (specialstyleok)
- pour la barre d'outils : activation/désactivation de la barre d'outils permettant de se déplacer rapidement dans les nouveaux commentaires et de les filtrer par seuil (enabletoolbar). Voir l'aide http://linuxfr.org/aide/#toolbar
- pour la tribune : avec ou sans JavaScript (jssuxor), avec ou sans smileys (smileys, smiley_types), avec ou sans rafraichissement (refreshboard),
# S'en prémunir ?
Posté par antistress (site web personnel) . Évalué à 4.
http://www.osnews.com/thread?442236
[^] # flash cookies LSO
Posté par imr . Évalué à 7.
FlashBlock ne marche pas non plus pour empêcher les LSO.
Les settings flash ne servent pas à grand chose, j'ai tout mis à "non, jamais, 0 stockage", je reçois toujours des LSO.
Un lien intéressant trouvé sur mozillazine https://bugzilla.mozilla.org/show_bug.cgi?id=508167 depuis ( http://forums.mozillazine.org/viewtopic.php?f=12&t=13993(...) ).
Il ne reste pas grand chose à faire à part rajouter des entrèes dans /etc/hosts du genre:
127.0.0.1 quantserve.com
127.0.0.1 flash.quantserve.com
ou enlever flash.
[^] # Re: flash cookies LSO
Posté par JGO . Évalué à 3.
[^] # Re: flash cookies LSO
Posté par imr . Évalué à 4.
Quelle est la différence entre NoScript et FlashBlock qui permet ça?
Parce que je me disais que FlashBlock bloquait tout flash, or je me retrouve avec des LSO quand même.
[^] # Re: flash cookies LSO
Posté par JGO . Évalué à 4.
https://addons.mozilla.org/en-US/firefox/addon/6623/ (cherche « flashblock »)
[^] # Re: flash cookies LSO
Posté par Gniarf . Évalué à 7.
il ne bloque pas certains usages (au sens codage HTML) de Flash, comme visible ici :
http://netticat.ath.cx/Misc/overrideflashblockdemo.htm
les gus qui exploitent les failles du player Flash d'Adobe pour véroler du Windows le savent très bien.
donc euh bon ben FlashBlock bloque des régies de pubs et des traquers. niveau sécurité il limite la casse (et accessoirement évitera souvent Firefox de ramer ou planter comme une grosse merde) mais n'est pas infaillible du tout.
[^] # Re: flash cookies LSO
Posté par JGO . Évalué à 2.
Bon utiliser NoScript cela demande quelques jours pour mettre en liste blanche les sites qu'on consulte et qui en ont besoin (p.ex. linuxfr pour poster des commentaires) mais ensuite pour le flash c'est la même chose, un clic et c'est parti. Et franchement pour la sécurité y'a pas mieux.
[^] # Re: flash cookies LSO
Posté par Gniarf . Évalué à 2.
(perso je trouve NoScript très bourrin et je ne l'utilise pas, de plus j'ai une confiance limitée dans son auteur)
[^] # Re: flash cookies LSO
Posté par alice . Évalué à 1.
Pourquoi?
[^] # Re: flash cookies LSO
Posté par JGO . Évalué à 2.
[fr] http://blogzinet.free.fr/index.php?2009/05/02/1045-noscript-(...)
[en] http://arstechnica.com/open-source/news/2009/05/mozilla-pond(...)
# panopticlick
Posté par M . Évalué à 5.
# Gné ?
Posté par apostle . Évalué à 6.
« le logiciel « est capable d’utiliser jusqu’à 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique »
Ça OK, j'ai à peu près compris - mais on ne nous dit pas à quoi ça peut bien servir. C'est plutôt méchant donc ? Un cadriciel d'espionnage, c'est donc un spyware, terme plus répandu.
« mais néanmoins délicieux cookie, à la moderne, mais lente webdatabase, en passant par le sympathique LSO. »
Alors là, j'avoue que le jus de boudin est limpide à côté. C'est dépêche est absconse pour moi, mais j'ai peut-être un niveau insuffisant. On a tendance à faire un parallèle avec les tentatives liberticides d'en ce moment, filtrage, mouchard d'HADOPI, etc. mais ça reste vague. Quelles applications pour ce soft par exemple ?
[^] # Re: Gné ?
Posté par Frank-N-Furter . Évalué à 10.
Ce qu’il faut retenir, c’est que les régies de pub vont avoir accès à de nouvelles techniques pour suivre les gens sur internet.
En gros: des sites ont recours à des régies de pub, dont le rôle est de trouver des annonceurs, et d’afficher les pubs sur les sites en question.
En étant capables de mieux cibler les internautes, elles peuvent vendre leurs prestations plus chères aux annonceurs, et promettre plus de gains aux «afficheurs». Pour être capable de mieux cibler l’affichage des pubs, elles ont besoins d’identifier un internaute, et idéalement (pour elles), de connaitre ses habitudes, d’ou l’usage de cookies contenant un identifiant unique, permettant ainsi a la régie de savoir qui est cette personne qui accède au site, et quoi lui envoyer comme pub. Le problème est que de plus en plus de gens refusent, ou effacent les cookies, ce qui emmerde profondément les régies, puisque ça réduit la valeur du visiteur. Pour contourner ce problème, certaines régies ont commencé à détourner de leur usage original certaines fonctionnalités présentes dans les navigateurs modernes pour y stocker une copie de sauvegarde de l’identifiant unique du «naviguant», et le cas échéant le ressortir. La librairie mentionnée dans la dépêche est un florilège des méthodes utilisables.
Depending on the time of day, the French go either way.
[^] # Re: Gné ?
Posté par claudex . Évalué à 3.
Toutes les applications des cookies classique mais en permettant d'éviter que l'utilisateur supprime ses cookies. Donc tout ce concerne l'identification unique d'une personne.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Gné ?
Posté par Frank-N-Furter . Évalué à 6.
Depending on the time of day, the French go either way.
[^] # Re: Gné ?
Posté par apostle . Évalué à 2.
[^] # Re: Gné ?
Posté par Jean B . Évalué à 5.
Les deux plus grands exemples étant google analytics et le fameux bouton like de facebook. Ces deux systèmes pour peux que vous ayez un cookie actif pour respectivement GMail et Facebook font le lien entre votre compte chez eux et la page que vous visitez à coup d'iframe avec la complicité ( souvent par ignorance ) des webmasters.
[^] # Re: Gné ?
Posté par Gniarf . Évalué à 5.
ils se sont pris un gros procès le mois dernier justement pour le coup de "réssuciter les cookies" : les cookies éventuellement effacés du navigateur étaient regénérés à partir des cookies stockés par Flash.
et des éditeurs comme Disney ou Warner Bros se servaient joyeusement de cette "fonctionnalité".
# Rhaa, l'affiche
Posté par Frank-N-Furter . Évalué à 5.
Quelques ajouts que j’aurais aimé faire au journal:
Evercookie est une librairie plutôt qu’un Framework.
Samy Kamkar avait en 2005 découvert une faille (un classique XSS), sur le site MySpace, lui permettant de se faire un million d’amis en une vingtaine d’heures.
En fait, c’est 8 méthodes pour l’instant, mais il travaille sur l’ajout de techniques supplémentaires.
Depending on the time of day, the French go either way.
[^] # Re: Rhaa, l'affiche
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Dans la série « J'ai oublié », j'ai oublié de mentionner dans la dépêche les 3 autres pistes qu'il compte ajouter (Silverlight Isolated Storage, window.name caching, Java unique key).
Et panopticlick de l'EFF https://panopticlick.eff.org/ (cité plus haut dans les commentaires) parce que l'idée ne met venue après avoir posté la dépêche.
[^] # Re: Rhaa, l'affiche
Posté par Frank-N-Furter . Évalué à 2.
PS:Le drapal pour le lien vers evercookie n'est pas le bon (En_US).
Depending on the time of day, the French go either way.
# ATTENTION
Posté par Boa Treize (site web personnel) . Évalué à 4.
[^] # Re: ATTENTION
Posté par Gniarf . Évalué à 3.
[^] # Re: ATTENTION
Posté par Boa Treize (site web personnel) . Évalué à 3.
[^] # Re: ATTENTION
Posté par AP . Évalué à 1.
# Forcer le mode HTTPS
Posté par eon2004 . Évalué à 0.
[^] # Re: Forcer le mode HTTPS
Posté par Frank-N-Furter . Évalué à 2.
(addon qui force le HTTPS sur tous les sites, pour FF)
Depending on the time of day, the French go either way.
[^] # Re: Forcer le mode HTTPS
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
[^] # Re: Forcer le mode HTTPS
Posté par Kerro . Évalué à 1.
Dans quel but ?
Parce que bon, si mon voisin bricole mon réseau et espionne mes allées-venues sur linuxfr, ce n'est vraiment pas grave (de mon point de vue). Et s'il modifie mes contributions, je préfère m'en rendre compte plutôt que tenter de me blinder et lui laisser le temps d'apprendre de meilleurs coups.
Ca risque de ne pas être mon voisin vu que je suis en filaire, mais ça pourrait être une personne ayant quelque part accès au réseau en moi et la machine linuxfr. Cette personne pourrait même récupérer mon mot de passe, whaou, terrible. Mon mot de passe sur linuxfr.
Encore une fois, je préfère m'en rendre compte. Le principe est le même pour les pots de miel.
Pour mes connexions à mes (très nombreux) comptes en banque (dans des paradis fiscaux), c'est une autre histoire.
[^] # Re: Forcer le mode HTTPS
Posté par Grunt . Évalué à 1.
Ton mot de passe, ton adresse mail et ton pseudo.
Pour peu que tu utilises ce mot de passe ailleurs.. ;+)
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Forcer le mode HTTPS
Posté par Kerro . Évalué à 2.
Sinon, ta réponse ne me donne pas franchement d'arguments par rapport à ce que j'ai écrit.
[^] # Re: Forcer le mode HTTPS
Posté par passant·e . Évalué à 2.
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Forcer le mode HTTPS
Posté par Krunch (site web personnel) . Évalué à 5.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Forcer le mode HTTPS
Posté par Frank-N-Furter . Évalué à 3.
Depending on the time of day, the French go either way.
[^] # Re: Forcer le mode HTTPS
Posté par Grunt . Évalué à 8.
Par contre, dans un contexte de flicage et filtrage d'Internet, plus il y a de flux chiffrés, plus ça rend délicat le fait de faire du "DPI", de la surveillance d'usages et de contenus, et mieux c'est.
Ça coûte toujours moins cher de chiffrer que de surveiller des gens qui chiffrent, donc chiffrons, même si ce n'est pas nécessaire.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Forcer le mode HTTPS
Posté par 2PetitsVerres . Évalué à 2.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Forcer le mode HTTPS
Posté par khivapia . Évalué à 1.
Rien ne t'empêche de rajouter du bruit en début et fin de mail. Ça évite en plus d'éventuelles attaques par message clair connu, et si quelqu'un t'espionne et stocke toutes tes communications, ça lui fait toujours ça de plus en place perdue.
[^] # Re: Forcer le mode HTTPS
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
Parce que sinon on peut récupérer ton adresse de courriel (et donc souvent tes nom et prénom, associés à ton pseudo), connaître ton ou tes adresses IP (et savoir quelle version éventuellement trouée d'un navigateur tu utilises), écrire des choses à ton nom, inférer tes comptes / mots de passe sur d'autres sites, lire tes éventuels messages perso sur la messagerie interne du site, faire de toi un délinquant hadopiesque, etc.
ça ne coûte rien d'être en HTTPS pour linuxfr.org, et ça habitue à ne pas faire n'importe quoi en wifi et en général.
[^] # Re: Forcer le mode HTTPS
Posté par khivapia . Évalué à 1.
Parce que bon, si mon voisin
regarde par ma fenêtre et espionne mes allées et venues entre mon PC, ma pizza et mes bières...
Sans rire, tu ne mets pas de rideaux à tes fenêtres ?
# virtualisation
Posté par emabc . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.