mercredi 23 mai 2018 - par Philippe Huysmans

Tu veux un cookie ?

À l'approche de la date de l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD 25.05.2018), la panique (quand ce n'est pas carrément le syndrome du larbin) saisit tous les éditeurs responsables et les webmasters.

On croirait à un concours de la pop-up la plus moche — la plus gênante, surtout — pour vous faire accepter les « conditions dans lesquelles le site collecte des informations par l'utilisation de cookies... ».

Panique aussi concernant les newsletters : « nous allons devoir redemander la permission à tous nos abonnés pour pouvoir continuer à leur envoyer notre newsletter ». Non, non, et non. Tout ça c'est juste du flan.

  • D'une part, le règlement en question ne stipule nulle part qu'une adresse e-mail serait automatiquement une donnée à caractère personnel.
  • D'autre part, si vos abonnés se sont inscrit en double optin (confirmation), un mini contrat existe entre eux et vous qui vous autorise à leur envoyer votre newsletter dans les conditions spécifiées lors de l'inscription, et ce, jusqu'à ce que l'utilisateur choisisse de se désabonner. Le RGPD n'a pas pour effet d'annuler tout ce qui préexistait !

Pour le reste, tout le monde se fiche des données que vous pourriez collecter via les cookies, vous allez comprendre que c'est de la roupie de sansonnet à côté de ce que vous transmettez comme données personnelles de navigation de vos visiteurs, directement aux GAFAM, et aux autres grands acteurs du marché. À l'insu de votre plein gré (ce ne sera bientôt plus une excuse en ce qui vous concerne, si vous êtes un collègue webmaster).

Prenons un exemple

Vous vous rendez sur le site de votre agence de voyage pour y commander votre séjour de rêve sur les plages de sable chaud. Dix minutes plus tard, vous ouvrez votre page Facebook et il vous propose, dans les pubs tout un tas de produits et services en rapport avec votre achat... Et les données collectées dans des cookies par l'agence en question ne sont nullement en cause, c'est un peu plus pervers que ça.

Lorsque vous vous inscrivez sur Facebook, celui-ci associe votre identité réelle à un identifiant numérique, disons 4859127884091837. Il place cet identifiant dans un cookie, qui sera stocké sur votre disque dur. Seul Facebook a le droit de lire ou de modifier ce cookie (l'utilisateur, quant à lui, peut l'effacer, mais en pareil cas, il devra à nouveau s'identifier lors de sa prochaine connexion).

Jusque-là, tout va bien, et l'on ne voit pas immédiatement comment Facebook se fait transférer automatiquement les données de navigation des utilisateurs lorsqu'ils naviguent sur le web...

L'astuce est simple : les GAFAM, avec Facebook et Google en tête, s'arrangent pour que les webmasters incluent un fichier situé sur leur domaine dans toutes les pages de leur site. Cela va du bouton « like » à la jolie fonte google, en passant par les petits snippets javascript pour faire ci ou ça.

Dès lors, au chargement de la page, le navigateur du client (votre visiteur) va faire une requête (GET) sur le serveur GAFAM, et ce faisant, lui donner libre accès au cookie associé, ainsi qu'au referrer, soit l'URL de la page demandée. Oui, je sais, c'est du chinois, alors voyons ça concrètement.

Pour les besoins de la cause, j'ai créé : 

  • Une page « register » sur www.levilainpetitcanard.be, qui créera un cookie « register » portant valeur « 9a6663f1bf0c56043bff6efc2b6a2599 »
  • Une page anodine, sur le site www.lvpc.tk, qui affiche un simple texte... mais fait « référence » à un petit script localisé sur le domaine www.levilainpetitcanard.be
  • Le petit script en question, qui se contente d'afficher, dans une fenêtre d'alerte, les données ainsi collectées.

1) on va sur la page« register.php » qui représente n'importe quelle inscription sur un GAFAM ou autre acteur du marché

2) On va sur la page « anodine.htm » qui contient le code suivant : 

La référence au « GAFAM » est située à la dernière ligne du bloc <HEAD>. Il s'agit d'un lien vers le code supposément javascript situé sur www.levilainpetitcanard.be. En pratique, il ne fait que régurgiter les données sur lesquelles il a pu mettre la main sous forme d'une fenêtre de message (alert) en Javascript.

3) On voit le résultat

Non seulement le « GAFAM » peut récupérer l'identifiant unique de l'internaute, et le relier ainsi à l'utilisateur (et ses données récupérées précédemment), mais en plus il obtient l'adresse IP, les informations sur le navigateur, et le plus important : le referrer.

Notez que dans ce cas-ci, le referrer portait en paramètres (GET) des informations sur l'activité du client, permettant au GAFAM de mieux cibler encore les centres d'intérêt de l'internaute. Si vous vous trouvez dans la partie « boutique », il le saura, si vous êtes sur la page « réclamation », il le saura aussi.

Faut-il préciser que ce sont des terrabytes d'informations concernant les habitudes de navigation de leurs utilisateurs que ces GAFAM reçoivent tous les mois ? Il ne reste plus qu'à passer ça à la moulinette de l'indexage et du collationnement des données pour constituer un portrait toujours plus fidèle du pigeon de service : l'utilisateur/consommateur.

Comment arrêter de transmettre les données de nos internautes ?

La solution la plus simple consiste à faire ce que j'ai fait sur Le Vilain Petit Canard : supprimer toute référence à des scripts/css/snippets/iframes en provenance d'une source externe. On rapatrie les polices Google qu'on veut utiliser et on les référence localement, on télécharge la version de JQuery qu'on souhaite utiliser et on fait de même, on vire les boutons « like » pour ne garder éventuellement qu'un bouton « partage » qui ne nécessite pas de référence à un code distant.

Après quoi, on peut installer un addon comme LightBeam dans firefox pour visualiser les éventuelles dépendances restantes. Pour moi, elles ont toutes été supprimées au moment où j'écris ceci à part une référence à Google (Recaptcha) qui ne sera présente que si vous souhaitez placer un commentaire sur mon site.

Conclusion

Les webmasters ont une responsabilité majeure dans la collecte par les GAFAM et autres géants du Big Data des données de leurs utilisateurs, il convient donc qu'ils prennent conscience de la portée du phénomène et tiennent mieux en compte le droit des utilisateurs à ne pas être traqués partout où ils passent.

 

 

Article original sur LeVilainPetitCanard


55 réactions


  • Cyrus (TRoll de DRame) חכם 23 mai 2018 17:17

    superbe article merci ... tout est demontré


    • Philippe Huysmans Philippe Huysmans 23 mai 2018 19:49

      @חכם

      Merci smiley


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:39

      @Personne

      Oui, cela veut dire que pour chacun de ces sites, les utilisateurs fournissent gracieusement leurs données de navigations relatives à Avox...

      Pour la protection, Mozilla a sorti un gestionnaire de containers qui permet de cloisonner les cookies en fonction du container dans lequel on se trouve. Pas encore testé, mais ça a l’air prometteur

      Privacy Badger, je l’utilise, mais n’oublie jamais que c’est un outil de EFF elle-même financée presque totalement par G. Soros :) Ce ne serait pas la première fois qu’ils essaieraient de nous la faire à l’envers.


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 15:03

      @Personne

      C’est joli, tout ça, mais si dans uBlock ou Badger j’interdis le module Ajax, bah y a pû grand-chose qui va fonctionner, eh ?

      Il est de la responsabilité du webmaster d’héberger sa propre version du code JS, sans aucune dépendance à ces monstres, comme ça, même pas besoin de se « protéger ». Si vous voulez vous en convaincre, vérifiez les dépendances (trackers) sur Le Vilain Petit Canard (mon site). Il n’y en a pas.

      Pareil pour les CSS, les images, les snippets, les IFRAME, etc.

      Signal, c’est juste de la mierda, pas pour rien que le projet a été forké pour essayer de garder un semblant de sécurité à l’appli. Bon après, faire de la sécurité sur un smartphone, c’est comme courir le 100m au fond de la piscine : c’est sportif mais on n’avance pas des masses.

      Dans tous les cas, le source des Addon est public, et stocké dans votre ordinateur : pas forcément documenté, mais bon, on a pas dit que c’était compréhensible pour les kékés non plus.

      Pour la sécurité des open source : c’est malheureusement naïf, revoyez l’histoire de Heartbleed, et comment c’est arrivé. Mon opinion ? Le mec a reçu une (très) grosse enveloppe pour laisser une boulette grosse comme une baraque dans le code, avec des conséquences qui pourraient bien avoir été dramatiques, mort d’homme et tout et tout.

      Tor : voyez les financements, principalement le gouvernement américain, divers ministères de la défense dans le monde, etc. Vous pensez sérieusement que c’est safe ? Repensez-y.


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 15:12

      @Personne

      C’est inexact, j’avais fait des recherches en son temps, notamment à cause des liens avec QN, la quadrature du Net, qui est le pendant français. Soi-disant financée par diverses sources européennes, mais quand on gratte, seules 3 organisations émanant de la faîtière OpenSociety foundations étaient mentionnées.

      Mais pour ça, faut se farcir les déclarations fiscales de l’Open Society, mais parfois aussi en détails pour des émanations de celle-ci -> c’est une myriade.


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 15:58

      @Personne

      Pour LQN, je sais, mais quand même on peut pas dire que d’être financé par Soros soit un gage d’indépendance. J’ai bcp d’admiration pour B. Bayart.

      Pour l’Empire, l’Europe, et la propagande, je sais c’est un peu la raison pour laquelle j’écris.

      Pour les citoyens lambda que nous sommes, les moins dangereux et les moins envahissants sont toujours les wannabe, pas les maîtres en place. Je ne me fais pas d’illusion sur la Russie ou sur la Chine, simplement ce sont des poucets face à la nouvelle Rome.

      Mais il faut comprendre aussi que le premier sens du combat de Soros, c’est de s’attaquer à tout ce qui peut faire barrage au néolibéralisme : toutes les structures, et ça va jusqu’à la famille. Je hais ce mec jusqu’au coeur de mes os.


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 16:45

      @Personne

      Oui je sais il existe même des anarchoïdes qui soutiennent la politique néocoloniale de Washington : les crétins existent en toutes tailles, toutes les couleurs.

      Je ne suis pas dogmatique, je constate seulement que Bourdieu, qui faisait le même constat que Marx dans son Manifeste, avait raison.


  • foufouille foufouille 23 mai 2018 17:52
    j’ai pas fessebouc et ne tient jamais compte des pubs de merde.


    • Philippe Huysmans Philippe Huysmans 23 mai 2018 19:48

      @foufouille

      Bawé ma foufouille, mais c’est vrai pour google, aussi, et si Facebook c’est un méchant petit diable, Google c’est Belzébuth himself.

      Du coup, bienvenue au club !


    • foufouille foufouille 23 mai 2018 20:01

      @Philippe Huysmans

      j’ai zéro pub d’affichée sur google. de toute façon, il est gratuit et le meilleur moteur de recherche.
      mes recherches sont trop larges pour être vraiment utile à la pub.
      j’ai pas encore vu de pub du style : acheter revolver six coups calibre 44 ..............


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:41

      @foufouille

      Faut relire (ou lire) l’article, Foufouille, l’enculade c’est pas dans ce sens-là !

      D’une façon générale, quand tu vas sur un site, tu refiles gracieusement à Facebook, Google, ShareThis, etc... TOUTES tes données précises de navigation sur ce site.

      Rien à voir avec le moteur de recherche ou Gmail ou autres apps performantes qui ne sont là que pour appâter le chaland, parce qu’on attrape pas les mouches avec du vinaigre.


    • foufouille foufouille 24 mai 2018 15:06

      @Philippe Huysmans

      j’ai firefox avec le blocage de pistage activé.


  • ZXSpect ZXSpect 23 mai 2018 18:15
    @ l’auteur

    merci pour cet article technique mais accessible à tous... la vulgarisation n’est pas chose si aisée mais, lorsque l’on est professionnel d’un domaine et désireux de partager, ça marche !

    une question :

    l’adresse MAC - Medium Access Control - de nos ordinateurs et autres équipements connectés est unique et fixe (sauf manip)

    peut-elle être récupérée par les sites commerciaux, ou autres... et nous identifier définitivement ?

    merci pour vos précisions et... continuez à nous sensibiliser sur ces sujets

    • Philippe Huysmans Philippe Huysmans 23 mai 2018 19:41

      @ZXSpect

      Merci pour votre gentil commentaire, j’ai en tout cas fait mon possible pour être le plus abordable possible, parce que la problématique est cruciale.

      Pour la MAC, tout d’abord, il y a belle lurette qu’elle n’est plus écrite « en dur » dans une rom de l’interface, vous pouvez donc la spoofer (modifier) via l’interface de controle.

      La MAC n’a de sens que dans un réseau local, elle n’est pas mappée, du coup, personne ne peut y accéder sur quelque serveur que ce soit.

      Mais vous aurez aussi compris que pour les GAFAM, une identification certaine se passe aisément de détails comme votre IP ou votre MAC qui ne dit pas grand-chose sauf peut-être qu’elle révèle le fabricant de l’interface (si pas forgée).


    • Ciriaco Ciriaco 23 mai 2018 20:42

      @ZXSpect
      L’intérêt de l’aspect tentaculaire n’est pas globalement d’identifier une personne ou une autre mais d’alimenter des modèles permettant d’avoir une segmentation extrêmement fine et précise des populations.


      C’est une mine d’or pour les marchés, qui se valorise de surcroît en temps réel, et je vois mal par ailleurs comment un pouvoir se priverait d’investir dans des modèles prédictifs. Les tendances fortes étant à la concentration des plateformes propriétaires et centralisées...

      Pour l’anecdote, je cherchais récemment un livre de sociologie contemporaine qui fasse état d’une segmentation au plus proche de la population, sur les larges critères connus en sociologie et selon des méthodes elle-mêmes contemporaines. Difficile d’avoir accès à une telle analyse ; elle n’est probablement pas dans le domaine public (en contrepartie des institutions professionnelles vendent ce service, à qui peut l’acheter).

    • Philippe Huysmans Philippe Huysmans 23 mai 2018 20:46

      @Ciriaco

      Le fait est, s’agissant de Google ou de Facebook qu’ils savent de manière presque certaine qui vous êtes, et ce ne sont pas les seuls.

      On peut penser qu’il s’agit de segmenter la population selon des critères à granularité très fine, mais on serait naïf, je pense, de croire qu’il ne s’agirait *que* de ça.

      Dans tous les cas, les webmasters qui n’ont pas intérêt à engraisser Moloch devraient prendre toutes les mesures en leur pouvoir pour protéger leurs visiteurs.


    • Ciriaco Ciriaco 23 mai 2018 21:04

      @Philippe Huysmans

      Que de ça... De nombreux marchés peuvent être ouverts à des moments précis parce que le taux de réussite sera connu ; c’est comme la bourse mais avec une fonction d’anticipation. Ces modèles permettent d’asseoir au-delà de leur espérance le pouvoir du réseaux des puissants.

      Cependant, je suis d’accord, il est certain que les modèles statistiques permettent de définir des groupes qui ne correspondent pas à ce qui est toléré. Pour savoir que les institutions américaines (très différentes jusqu’à il y a peu de temps des institutions françaises) ont des relations très naturelles avec le pouvoir régalien, il est évident que cela constitue aussi un enjeu de surveillance.

      Mais les photos de chat ne les intéressent de ce point de vue que si le groupe de ceux qui les vaccinent cherche un nouveau médicament ^^

    • Philippe Huysmans Philippe Huysmans 23 mai 2018 23:22

      @Ciriaco

      Du point de vue commercial, je comprends le point de vue, mais en une requête de rien du tout, cela leur permet de tirer la liste de tout qui aurait visité tel ou tel site politique de gauche (très bien vus là bas ...).


    • Cyrus (TRoll de DRame) k’go=חכם 23 mai 2018 23:36

      @Philippe Huysmans
      Pour la MAC, tout d’abord, il y a belle lurette qu’elle n’est plus écrite « en dur » dans une rom de l’interface, vous pouvez donc la spoofer (modifier) via l’interface de controle.


      Si vous me permettez , je souhaiterais que vous démontiez votre carte « réseaux » , il se pourrais que vous la trouviez écrite tout bêtement dans la typographie.... ou même dans le fichier de la compagnie qui vous as vendu un pc de marque auquel on accède par le S/N.Ce n’ est pas vrai pour l’ instant des PC assemblé « maison ».

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 08:57

      @k’go=חכם

      Typographie ? J’ai pas trop compris, mais disons que la MAC est stockée dans une mémoire réinscriptible. Les cartes réseaux des machines portent pratiquement toutes les mêmes chipsets, parce qu’il n’y a pas des masses de fabricants, au total.


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 10:00

      @Self con troll

      Pour les plages (préfixes) c’est toujours le cas, mais pour le reste, on fait ce qu’on veut ou à peu près. Dans la mesure où cette adresse ne franchit pas la barrière du NAT, et donc n’est pas transmise sur le WAN, cela n’a aucune espèce d’importance, tant qu’on parvient à éviter que deux machines du LAN aient la même MAC.

      Pour les bios, ce n’est pas tant une question de « pas fini » qu’un sérieux trou dans la sécurité.


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:12

      @Self con troll

      On a rajouté des interfaces au sens premier pour rendre les OS compatibles avec toutes sortes de machines. C’est un peu le principe de Java, aussi.

      Après, dans les systèmes ou la vitesse est critique et l’implémentation se fait sur des hardwares compatibles, on préférera les TOS ou les petites distributions de linux compilées spécialement pour.

      De nos jours, il n’y a strictement rien à paramétrer dans les bios à moins que vous ayez monté la machine vous-même... Pareil pour les cartes réseaux qui sont bien souvent maintenant des chipsets directement placés sur la carte-mère (à moins que vous en vouliez deux).


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:14

      @k’go=חכם

      Ah oui, d’accord : les routeurs aussi, les modems aussi, les switch managés aussi, etc.

      C’est une info, sans plus, cela ne veut pas dire qu’on ne peut pas en changer, tout comme l’IP par défaut.


    • Cyrus (TRoll de DRame) k’go=חכם 24 mai 2018 15:05

      @Philippe Huysmans

      Oui tout équipement connecté ayant un S/N et une garantie activée, permettras lors du recyclage ou sur un « cambriolage » de faire le lien entre son propriétaire et des « activité » numérique légal mais politique ou syndicale . (il faut pour cela bien sur que des backdoor dans le firmware , dans le driver ou dans l’ OS puisse dans certaines conditions être activé a distance ).

      Contrairement a vous je pense cela possible , je n’ ais cependant jamais pu le constaté , ni le démontré par l’ analyse de trame .Ca reste donc une hypothese .

      Merci encore pour l’ article .
       

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 15:29

      @k’go=חכם

      Étant donné l’état de la technique, on peut raisonnablement supposer que tous les matériels vendus aujourd’hui sont truffés de pans entiers de composants dans le schéma-bloc qui n’apparaissent pas dans la doc, et sont indétectables sauf s’ils sont instanciés via des combinaisons cryptographiques sur le bus des données.

      On a bien des comiques qui se sont amusés à mettre un linux dans un disque dur : je dis pas dessus, eh, je dis dedans -> dans la mémoire interne du contrôleur.

      Du coup, pour la sécurité informatique : faites un tour sur une brocante, achetez un vieux péçay des années 90, un bon petit dos 3.30 des familles, et hop, à vous l’obfuscation magique, le voile d’Athéna. Moyennant quelques petits bidouillages avec un centrino vous devriez pouvoir connecter ce truc à internet smiley

      Monde de m...


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 15:30

      @Philippe Huysmans

      Pas centrino, arduino, oups.


    • Cyrus (TRoll de DRame) k’go=חכם 24 mai 2018 15:56

      @Philippe Huysmans

      ... sans faire de parano non plus , La meilleur sécurité (pour les données confidentiel LEGALE) est encore de se diluer dans la masse , de garder les transmission d’ info pertinente de « visu a visu » , et de noyer le poisson sur internet avec des info contradictoire , neutre , et pseudo aléatoire .

      Je le dit sans fard , car je sais que le moindre « voyoux » connais déjà bien mieux toute ces techniques d’ offuscation que « l’internaute moyen ».

      Bonne journée

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 16:01

      @k’go=חכם

      Pour être « safe », une communication doit l’être de bout en bout : du moment où vous la créez jusqu’au moment où elle sera décryptée, or ceci, plus aucun matériel ne le garantit aujourd’hui, hélas.

      Vous avez plus de chances en envoyant un message écrit en clair au dos d’une carte postale qu’en l’encryptant avec les gadgets qu’on vous refile pour votre smartphone...


  • Panoramix Panoramix 24 mai 2018 11:07
    @l’auteur
    Puisque vous abordez ces questions, pouvez-vous nous donner quelques conseils ?
    Pour un usager de base (n’utilisant pas FB), sera-t-il moins « pisté » s’il utilise un autre moteur de recherche que « Google » ?
    Idem concernant le « navigateur », est-ce que Mozilla prélève et mémorise des données personnelles et l’historique de navigation (en plus de l’historique local) ?
    Si on coche systématiquement dans les paramètres des différents outils qui le proposent « ne pas pister », « ne pas envoyer de données », est-ce que cela protège réellement ?

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:03

      @Panoramix

      1) Autre moteur :

      Ca dépend surtout du moteur, mais pour la vie privée, ça ne peut faire que du bien d’utiliser un moteur alternatif qui a dans ses conditions générales stipulé qu’il n’archive pas les données de navigation et qu’il ne vend pas non plus d’espace publicitaire.

      2) Mozilla

      Non, le code est open, chacun peut voir ce qu’il y a dedans

      3) Do not track

      équivaut à se baser sur la bonne foi des sites web visités, le mieux c’est de parer à toute éventualité en ammont (utiliser le mode de navigation privée).


    • Panoramix Panoramix 27 mai 2018 12:07

      @Philippe Huysmans
      Merci pour ces conseils, j’en ai pris note pour les appliquer.


  • L'enfoiré L’enfoiré 24 mai 2018 12:26
    Salut Philippe,

     Si tu n’as pas entendu ce matin « ce qui change pour nous »

    • L'enfoiré L’enfoiré 24 mai 2018 12:51
      La référence à Facebook, c’est probablement comme toi, comme je n’y ajoute rien, ce n’est pas par cet intermédiaire que la pub m’arrive.
      Tout le reste n’est pas plus innocent.
      Agoravox par exemple...
      Si je me rends sur le site de mon agence de voyage pour y commander votre séjour de rêve sur les plages de sable chaud. Dix minutes plus tard, on me propose des « opportunités » dans la partie droite de la page.
      Comme tu dis, « c’est un peu plus pervers que ça ».
      L’internaute a toujours imaginé que tout était gratuit.
      C’est la pub qui en grande partie paye cet accès.
      Si on ne veut pas recevoir de mails de pub (sur Gmail par ex), il suffit de l’envoyer en spam pour qu’il ne se représente plus.
      Si cela ne suffit pas ; il y a des logiciels de blocage de la pub. Mais ce n’est pas très « genti »l car elle devrait sortir de ce ciblage et renvoyer leur pubs d’une autre manière plus généralisée.
      Récemment, on m’avait demandé de pouvoir introduire des pubs sur mon site considéré comme « intéressant » en échange de rétribution. Refus de ma part, parce que ce serait sortir du freeware que je lui ai donné en tant que journal personnel et que j’ai dû observer vis-à-vis de ceux qui m’ont accordé leur confiance pour ce que j’y introduis qui n’est pas signé par moi.

    • L'enfoiré L’enfoiré 24 mai 2018 18:47
      Heureusement que s’il n’y a plus de cookies, il y aura toujours les sondages pour chercher des prospects ou clients.
       smiley


  • UberAlice UberAlice 24 mai 2018 12:47

    Ben c’est un peu ce que je me dis quant j’installe des licence microsoft. 


    Aucun effort de paramétrage, de configuration ne permet d’obtenir la propriété, ni la location a un niveau de confidentialité acceptable. Entre les backdor obligatoire de maintenance m$, google, adobe, le fabriquant et compagnie, les centaines de logiciels communicants installés par défaut ou en parasite du moindre truc.

    J’ai des script, qui bloquent pleins de truc, mais la fréquence des mises a jour les rend obsolète tout les 3 mois. Il y a des tas de trucs qui dysfonction si tu leur empêché de communiquer, si tu les empêché de fouiner. Je suis incapable de fournir une machine windows digne de confiance a mes client.

    Et je n’arrive pas a leur fourguer d’alternative. Je suis donc rendu complice par ma dépendance a leur l’argent, par leur dépendance a des service inutilement compliqué, lourd, contraignant, asservissant :/

    Je vais me tirer de ce marché de monopole et de tout imposé.

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:07

      @UberAlice

      Je travaille également essentiellement avec windaube, même si j’essaie tant et plus d’échapper à l’emprise de cet écosystème méphitique. Le mieux c’est de passer à Linux, mais il faut encore que les clients/utilisateurs suivent !


    • UberAlice UberAlice 24 mai 2018 14:37

      Ben en fait,


      Il veulent suivrent, mais il ne peuvent pas.

      Principalement, par ce que le logiciel métier de l’entreprise (vielle saloperie de chez sage, exemple concret) confisque les données par des format propriétaire, et qu’il est impossible de récupérer ces données sans acheter la nouvelle saloperie de chez sage, même avec des sauvegarde nikel.

      Brise le monopole de sage, fait les condamner pour entrave délibéré au bon fonctionnement du systéme d’information, vente forcée de microsoft office et microsoft windows, avec des indemnité qui retombent pour les 500.000 pme victime de france, et je te vend 40/60% de libre l’année suivante.

      Sage n’est qu’un exemple....

      ++

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 14:51

      @UberAlice

      Oui ils essaient ce développer des écosystème captifs, et dans un système captif, il n’y a pas de clients, rien que des otages :)

      On peut toujours migrer des données d’un système à l’autre, c’est juste parfois un peu coton quand ce n’est pas documenté.

      En général, les fabricants de soft comptables ont une quinzaine d’années de retard sur les standards, beaucoup utilisent encore des formats Dbase IV, ou d’autres systèmes venus juste après (concurrents d’Access).

      Facile de réaliser un petit programme qui se connecte à la fois à ces bases et à un serveur MariaDb par exemple, pour exporter les données : les drivers sont plus ou moins publics.

      En fait les responsables informatiques devraient privilégier l’interopérabilité sur le long terme, mais parfois, ils cèdent à la facilité : oh oui, je sais bien qu’Oracle c’est de la merde propriétaire, mais y a des jolies optimisations à neuneu et des fonctions toutes faites qui m’aident bien -> du coup, on passe à Oracle plutôt que de le faire intelligemment avec MySql ou mieux, MariaDb. Pour ceux qui sont allergiques, il reste PostGre.

      Et on peut dire la même chose de MsSql Server.


  • popov 24 mai 2018 14:52

    @Philippe Huysmans

     
    Merci pour l’article.
     
    J’ai construit plusieurs sites jusque très récemment et je m’aperçois que j’ai suivi vos conseils avant de lire cet article.
     
    Jamais de références extérieures. Si j’ai besoin de libs spécilales, PHP, js ,ou CSS, je les copie sur le site en construction.

    Jamais de référence à des sites vampires comme FB.

    Pas de cookies : l’utilisateur s’identifie au début de chaque session et les données de la session sont stockées sur la base de donnés du site.

    Pas de fontes extérieures. S’il faut des caractères spéciaux, ils sont créés sous forme de fonte TT, puis convertis en format EOT grâce à l’application WEFT3 de Microsoft (mais les utilisateurs sont alors limités au navigateur IE.

    PS : le lien à l’article original que vous donnez au bas de l’article ne fonctionne pas. 

    • Philippe Huysmans Philippe Huysmans 24 mai 2018 15:21

      @popov

      That’s the spirit smiley

      Pour FB, on peut mettre un lien de partage, ça ne nécessite aucune référence extérieure, ou si l’on est vraiment obligé, charger le code nécessaire via ajax, et ce seulement si l’utilisateur veut mettre un like. Quoique le mieux, c’est encore d’éviter cette merde.

      Pour les cookies, vous pouvez bien stocker les vôtres, pour permettre un « remember me ». Le UserId, le Password en version hachée menu et roulez carosse. Veillez à n’autoriser que l’accès « http » à ces cookies, pour ne pas que des scripts puissent y avoir accès (faille XSS).

      Pour les fontes, vous pouvez faire votre marché sur Google Fonts, puis télécharger directement les fichiers, ne garder que les Woff2 et mettre les références dans le genre :

      @font-face
       font-family :’Fjalla One’ ;
       src : url(’fonts/Fjalla_One/FjallaOne-Regular.woff2’) format(’woff2’) ;

      Pareil pour Font Awesome si on veut les utiliser...


    • popov 24 mai 2018 16:39

      @Philippe Huysmans 

       
      Pour les fontes, il s’agit d’icons de son cru que le client voulait utiliser comme caractères dans le texte plutôt que d’utiliser des img. De cette façon, les icons prennent automatiquement la bonne dimension dans le corps du document ou dans les divers titres.
       
      Ce genre de fontes n’existe pas ; il a donc fallu les créer, et ceci avant le début de ce siècle. 

  • popov 24 mai 2018 15:04

    Pour ceux qui n’aiment pas être suivis à la trace, il y a l’oignon.


  • Philippe Huysmans Philippe Huysmans 24 mai 2018 16:03

    Pour info, ça pourrait intéresser tout le monde : dans about:config de firefox

    network.http.sendRefererHeader

      • controls whether or not to send a referrer regardless of origin
      • values :
        • 0 = never send the header
        • 1 = send the header only when clicking on links and similar elements
        • 2 = (default) send on all requests (e.g. images, links, etc.)

    Vous mettez 0 et du coup, problème réglé. J’ai pas encore testé, mais si la doc le dit...


    • Philippe Huysmans Philippe Huysmans 24 mai 2018 16:51

      @Philippe Huysmans

      Je confirme, ça fonctionne !


    • Philippe Huysmans Philippe Huysmans 25 mai 2018 10:36

      @Seudo

      En effet, mais à mon sens ils ont programmé ça comme des clettes : qu’est-ce qu’on s’en fout du referrer pour pouvoir taper une étoile !

      Pour moi le choix est vite fait -> ma vie privée d’abord smiley


    • Philippe Huysmans Philippe Huysmans 25 mai 2018 11:51

      @Seudo

      C’est vrai, il y en a même qui ne sont pas pensés du tout : je suis tombé sur un site qui fonctionnait il y a quelque jours et qui maintenant part en boucle de redirection : le pauvre ne sait plus comment il s’appelle ...

      Pas grave smiley


    • Panoramix Panoramix 27 mai 2018 12:14

      @Seudo

      je suppose concernant les « étoiles » qu’ils mémorisent des infos pour éviter qu’un même intervenant « note » plusieurs fois, par exemple en utilisant plusieurs pseudos mais avec la même IP.


    • Philippe Huysmans Philippe Huysmans 27 mai 2018 13:57

      @Panoramix

      Non, ça ne pourrait pas empêcher un intervenant de placer plusieurs étoiles... C’est plus simple que ça, pour mettre une étoile, faut être connecté.

      La seule raison que je vois pour que les étoiles n’apparraissent pas c’est que le programmeur s’y est pris comme un manche, d’ailleurs on avait déjà vu ça, pour chaque étoile, il y a une requête spécifique en Ajax sur le serveur smiley

      Du coup, si vous voulez vos petites nétoiles, vous pouvez toujours faire ceci :

      - remettre network.http.sendRefererHeader à la valeur 2
      - positionner network.http.referer.spoofSource sur TRUE

      Ce qui aura pour effet de toujours mettre le site cible comme referrer smiley

      Et vous pouvez également mettre network.http.referer.trimmingPolicy à 2 ce qui aura pour effet de limiter ce referrer à la partie domaine sans indiquer l’url complète.

      Bon dimanche !



  • pasglop 27 mai 2018 07:50
    Pour les navigateurs basés sur webkit (Chromium, Chrome, Opéra et d’autres...), il existe des extensions permettant de gérer les referer.
    Parmi trois ou quatre, j’ai choisi Referer Control sur Chromium pour sa souplesse.
    Permet de créer des listes blanches/noires, de gérer les entrées/sorties des fichiers, d’appliquer une gradation pour chaque site, dispose d’un log et permet même de bloquer les referer Javascript.
    Un peu moins radical que les réglages bas-niveau style about:config ou chrome ://flags, ça permet de ne pas pénaliser les sites ou webmasters qu’on aime bien suivre.
    Sinon, il existe le navigateur Brave, mais il est un peu pauvre en extensions pour l’instant...

    • Philippe Huysmans Philippe Huysmans 27 mai 2018 10:00

      @pasglop

      La solution que je donnais on peut l’appliquer aussi uniquement pour les références (le vrai danger) et non pour les liens qu’on clique.

      Du coup, pas besoin d’un addon javascript, sous Firefox en tout cas, parce que sous chrome je ne suis pas du tout sur qu’on puisse modifier les referrers à partir de Flags -> il faut quand même se souvenir que Chrome a été créé par celui qui profite le plus de ce vol de données smiley


    • pasglop 27 mai 2018 11:39

      @Philippe Huysmans

      Pour Chromium et consorts, je n’ai trouvé qu’une seule occurrence qui s’appelle « Reduce default referer header granularity ».
      Pas très clair et malgré quelques recherches, j’avoue atteindre mes limites de compréhension.
      Plus généralement et même si on peut le regretter, Chrome représente environ 60% du parc contre 5 % pour Firefox.
      Il me paraîtrait utile de disposer d’un outil efficace sur ce browser, ce qui aurait (peut-être) un impact supérieur sur le système de captation (ou qui le pousserait à sophistiquer encore plus ses pratiques).
      On peut toujours y croire... smiley

  • Philippe Huysmans Philippe Huysmans 27 mai 2018 12:06

    Rebonjour,

    Cela revient à n’envoyer que le domaine, pas le nom de la page ni les éventuels paramètres GET qui pourraient suivre.

    C’est largement en-dessous de ce qu’on peut faire sur Firefox... et pour cause !


Réagir