Traces

Traces internes - Traces externes - Vos traces - Espionnage

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
Anti-traces
MRUs
 
 
Le problème
Notre activité laisse des traces dont n'importe qui, localement ou à distance, peut prendre connaissance. Des actions aussi simples qu'écrire une lettre ou déplacer un fichier laissent plusieurs traces or une majorité de nos activités est, désormais, assistée par un ordinateur. Ces traces peuvent être plus ou moins anodines à vos yeux, voire même apparaître comme des éléments de confort :
  • Chaque application maintient la liste des derniers documents manipulés ce qui vous évite d'avoir à les rechercher la fois suivante, vous permet une ouverture plus rapide et un gain de temps.

  • Windows garde des statistiques d'utilisation de chaque programme ce qui est censé l'aider à mieux réorganiser vos disques en optimisant l'emplacement de certains programmes plus sollicités que d'autres lors du votre prochaine réorganisation de votre disque dur (défragmentation).

  • Windows construit des index de notre activité lui permettant une recherche et un accès rapide aux archives de notre activité, les fameux et fumeux fichiers index.dat

  • Etc. ...
Ces traces sont, malheureusement, utilisables et utilisées facilement par n'importe qui ayant accès à votre ordinateur.
  • quelqu'un devant votre ordinateur. Installez-vous devant l'ordinateur de quelqu'un d'autre et allumez-le : vous n'avez aucune difficulté à savoir sur quoi il vient de travailler. Windows affiche, carrément, la liste des derniers documents manipulés.

  • quelqu'un à distance sur un réseau Intranet ou Internet en utilisant divers outils comme les spywares etc. ...
Elles permettent de savoir exactement qui a fait quoi à quel moment. Elle permettent également d'établir votre profil... en deux mots : vous espionner. Ces traces constituent un potentiel d'intrusion majeure dans notre vie privée, que cela se passe au domicile ou sur le lieu de travail, aux yeux d'un employeur, d'un conjoint, d'un ascendant ou d'un descendant, d'un client, d'un confrère et néanmoins concurrent, d'un publiciste, d'un e-commerçant etc. ...

Votre manière de surfer permet de connaître vos centres d'intérêt, vos activités, hobbies, vos besoins et projets ainsi que vos penchants (sexualité, religion, politique etc. ...). Lorsque ces traces concernent vos inscriptions à divers services en remplissant des formulaires avec forces détails personnels, numéros de comptes, mots de passe, adresse, curriculum vitae etc. ... ce n'est plus du simple profilage que vous devez craindre mais une atteinte à l'intégrité de votre patrimoine, de votre famille et de votre personne : une atteinte à votre vie privée.

Au travail, il est du plus mauvais goût de permettre à votre employeur de voir quels sites vous avez visité. Imaginez qu'il tombe sur vos dernières promenades :
  • http://escroquer.son.employeur.com
  • http://declancher.une.greve.org
  • http://fabrication.de.bombes.com
  • http://dormir.au.travail.com
  • http://sexe.au.bureau.com
  • http://plein.de.divx.a.telecharger.com
  • etc. ...

Il est donc nécessaires d'établir un inventaire de ces traces et une politique de gestion (conservation, rejet, interdiction, quotité, droit d'accès...) sachant qu'il existe des utilitaires permettant d'injecter ces traces dans des bases de données et d'autres pour les analyser.

Trois types de traces
Il y a 3 types de traces numériques (électroniques) exploitables par des indiscrets :
  1. Traces internes
    Ce sont celles laissées par votre activité sur votre ordinateur dans des fichiers de logs (des journaux d'activité), dans la base de registre, dans des fichiers temporaires, dans des antémémoire (caches) etc. ..., quoi que vous fassiez, que vous soyez connecté ou non.

  2. Traces externes
    Ce sont celles laissées entre autres chez les FAI (Fournisseurs d'Accès Internet), dans d'autres logs, durant votre navigation, vos émissions et réceptions de courriers, vos séances de chat etc. ... (celles aussi permettant de géolocaliser les détenteurs d'un téléphone ou d'un PDA communicant). Contre ces dernières, on se tournera vers l'anonymisation de la connexion, la cryptographie etc. ... (voir Europol Surveillance).

  3. Bavardages techniques
    Ce sont les informations techniques que les navigateurs donnent à tous les serveurs sur lesquels vous vous branchez et que n'importe quel webmaster peut récupérer. Généralement, les webmasters ne récupèrent pas eux-mêmes ces données mais ils truffent leurs sites de tags de statistiques sous traitées à des sociétés spécialisées qui s'en délectent au point d'offrir ces statistiques, gratuitement, aux Webmasters, afin d'espionner tous leurs visiteurs. Ces tags sont généralement invisibles (ce sont des web-bug) et dotés de scripts. Quelques fois ils sont visibles. En voici plusieurs qui aspirent (c'est un jeu de mot) à mieux vous connaître - il en existe des centaines - chaque fois que vous voyez un "tag" comme ceux-là, vous venez d'être traqué :



    Les pages suivantes sont de bons exemples de ce qu'il est possible de récupérer à cause de ces simples bavardages techniques, sans l'implantation de quoi que ce soit (pas besoin de spyware).
    1. Qui êtes-vous - Votre connexion
    2. Qui êtes-vous - Vos types MIME
    3. Qui êtes-vous - Vos plug-ins
    4. Qui êtes-vous - Votre disque dur
    5. Qui êtes-vous - Votre serveur PHP
    6. Qui êtes-vous - Vos traces à la CNIL
Exemples de traces internes
Windows, votre explorateur de Windows, votre navigateur Internet (quel qu'il soit et quelle que soit sa version) et chacun des logiciels que vous utilisez, aussi infime et anodin soit-il, conservent des traces de votre activité. Les traces les plus connues sont :
  • les "journaux" (fichiers dits "logs" annotant votre activité et les évènements survenus)
  • les fichiers de travail temporaire dont chaque application se sert pour ses besoins (les .tmp) dont ceux stockés dans une bibliothèque temporaire c:\windows\temp\
  • les fichiers de copie intermédiaire (les .bak)
  • toutes les listes de saisie dites "rapides" (autocomplete - remplissage automatique) qui se "souviennent" de vos frappes au clavier
  • toutes les listes des derniers fichiers ouverts dans chaque application (fichiers récemment manipulés)
  • les historiques de votre activité comme, par exemple, toutes les dernières adresses des pages web consultées (historique de votre navigation conservée jusqu'à 999 jours soit presque 3 ans)
  • les cookies et leurs contenus
  • les inscriptions dans la base de registre de Windows
  • Les fichiers du cache de votre navigateur, inutiles et qui prennent beaucoup d'espace disque.
  • Les fameux fichiers index.dat, hyper protégés par Windows. Eux font l'objet de 2 pages : index.dat et anti-index.dat
  • La liste de vos favoris
  • La liste des documents recherchés
  • La liste des ordinateurs recherchés
  • Tous les fichiers contenant vos divers mots de passe
  • Tous les fichiers et répertoires des "caches" de tous les navigateurs
  • Tous les cookies sous tous les navigateurs
  • Les mots de passe sous Internet Explorer de Microsoft
  • Le cache du navigateur Netscape
  • L'historique du navigateur Netscape
  • Les cookies du navigateur Netscape
  • Les informations des newsgroups du navigateur Netscape
  • Le cache du navigateur Opera de Opera Software
  • Toutes les fenêtres du navigateur Opera de Opera Software (Opera est multifenêtres)
  • Les cookies du navigateur Opera de Opera Software
  • Les adresses visitées avec le navigateur Opera de Opera Software
  • L'historique d'ICQ.
  • Les favoris de Windows qui sont également ceux d'Internet Explorer. Lire vos favoris constitue un moyen essentiel pour vous profiler.
  • Les carnets d'adresses (Outlook etc. ...)
  • Les derniers documents de votre traitement de texte, de votre tableur etc. ...
  • Les derniers raccourcis utilisés
  • La directory Applog qui contient les noms de toutes les applications utilisées, de leurs overlays (.dll etc. ...) ainsi que les statistiques d'utilisations de ces applications.
  • La surface magnétique de vos disques et supports magnétiques car, lorsque vous croyez effacer un fichier, réel ou temporaire, vous ne faites que modifier le 1er caractère de son nom dans les tables d'allocations (les tables des matières) du support pour le signaler "effacé" et votre explorateur ne le liste plus mais, en réalité, des utilitaires non standard peuvent parfaitement lire ces fichiers (la preuve : les fonction "récupération" (un-erase) des utilitaires comme Norton etc. ... et même la gestion de la "poubelle" de Windows).
  • La base de registre contient plusieurs traces (de vos historiques de navigation etc. ...)

  • etc. ...

Formes physiques que prennent ces traces internes
  • Fichiers journaux (les "logs") dont on peut plus ou moins maîtriser la taille (donc limiter la quantité de données contenues). Ces journaux peuvent être dédiés aux traces d'activité des utilisateurs ou aux traces d'activités techniques dédiées aux administrateurs.

  • Fichiers temporaires (qui ne le sont pas du tout). très nombreux. Mémorisés par les applications dans des sous-répertoires du compte utilisateur (comptes justement appelés, par une ironie du sort, "profile").

  • Fichier de mémoire virtuelle de Windows (le swappfile) comportant la trace de tous les programmes et de tous les documents ouverts, raison pour laquelle nous recommandons avec insistance de ne jamais utiliser les "Error Reporting Tools" (Rapports d'erreurs) qui envoient aux éditeurs de logiciels une copie de cette mémoire virtuelle.

  • Fichier ou répertoires de cookies (selon le navigateur utilisé).

  • Les fichiers index.dat qui, malgré l'effacement des traces, continuent à inventorier l'intégralité des traces effacées avec des informations complémentaires, en plus !

  • La base de registre qui contient d'invraisemblables collections d'informations dont toutes celles de configuration qui étaient, jadis (un bien grand mot au regard de l'ancienneté de l'informatique), stockées dans les fichiers .ini

  • Les historiques de chaque application, destinés à vous faciliter la vie : la liste des derniers documents manipulés par chaque application : les MRUs (derniers utilisés - Most Recently Used). Ce sont, physiquement, d'interminables listes de clés dans la base de registre ou des séries de liens dans des répertoires spécialisés. Chaque application propose, dans ses options, la possibilité de rappeler automatiquement un nombre, généralement paramétrable entre 0 et n, de noms de documents dernièrement utilisés.

  • Une trace souvent oubliée : le presse-papiers (clipboard) qu'il faut vider.

  • Une autre trace souvent oubliée : la corbeille. Rien ne sert de mettre des documents de traces à la poubelle si celle-ci n'est pas vidée et que ce qui s'y trouve peut en être retiré, intact.

  • Une autre trace, plus subtile et qui ne peut être révélée qu'avec des moyens hors de portée du premier venu : la rémanence magnétique des disques qui, même après effacement d'un fichier, nettoyage de la corbeille et défragmentation, permet encore à des outils très spécialisés de reconstituer les données. Seuls des effaceurs dit "de sécurité" peuvent rendre définitivement irrécupérable des données sensibles.

  • Ah ! Oui ! Vous avez fait des sauvegardes de vos fichiers sensibles sur un cd-rom ou dans une zone de sauvegarde en ligne... Bien entendu tout ceci est crypté, protégé par un mot de passe dur et le cd-rom est enfermé à clé quelque part.

Si vous avez envie d'aveugler les (trop) curieux (dont votre employeur, votre conjoint etc. ...), si vous pensez que votre vie privée doit le rester, suivez les traces de l'anti-traces.

N'oubliez pas que l'espion n'est pas forcément un programme ( un spyware ) qui va transmettre les informations recueillies lors de votre prochaine connexion. Ce peut être la personne qui va utiliser votre ordinateur, après-vous.

Effacements et effacements de sécurité
Si vous êtes vraiment une cible qui en vaut le coup (quelques dizaines de personnes sur la planète mais, bien sûr, vous en faite partie), il ne suffit pas d'effacer certains fichiers et en vider d'autres car des fonctions de recouvrement permettent de récupérer des données prétendument effacées. Il faut :
  • Vider la poubelle de Windows

  • Compléter ces effacements "de base" par un véritable brouillage de la surface magnétique des supports. Même après avoir effacé un fichier il est possible de le retrouver (pensez aux simples fonctions dites "unerase" (dé-effacer) accessibles à tous les particuliers avec des produits comme Norton. Plus technique, il est possible de relire la couche magnétique d'un disque (ou autre support) car les particules magnétiques gardent une mémoire de leurs orientations Nord/Sud Sud/Nord (rémanence). Des outils permettent de récupérer des données accidentellement perdues (crash d'un disque dur par exemple). Ces mêmes outils permettent de relire un disque dur même après un formatage et re-partitionnement. La technique consiste à écrire plusieurs fois de suite des valeurs binaires (suites de 0 binaires, puis suites de 1 binaires) de manière à complètement réorienter la magnétisation des surfaces, rendant toute tentative de recouvrement d'anciennes orientations vaine. Nous ne sommes pas, là, en plein roman d'espionnage. Des sociétés comme OnTrack sont spécialisées dans la récupérations de données perdues.

    Ontrack - à la recherche de données perdues - http://www.ontrack.fr/.

Voici, en quelques minutes de travail, les fichiers et clés contenant des centaines de traces de tout ce que je viens de faire, relevés par SpyBot Search and Destroy (qui propose de nettoyer tout ça).

Félicitations!: Aucun mouchard n'a été trouvé. ()

Common Dialogs: History ( (29 files)) (Clé du registre, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\OpenSaveMRU

Internet Explorer: Temporary internet files ( (5 entries)) (Vider le cache, nothing done)

Log: Install: setupapi.log (Sauver le fichier, nothing done)
C:\WINDOWS\setupapi.log

Log: Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, nothing done)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, nothing done)
C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, nothing done)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Mozilla: browser cache ( (default)) (Répertoire, nothing done)
C:\Documents and Settings\Admin\Application Data\Mozilla\Profiles\default\datj8mw1.slt\Cache

Mozilla: Browser history ( (default)) (Fichier, nothing done)
C:\Documents and Settings\Admin\Application Data\Mozilla\Profiles\
default\datj8mw1.slt\history.dat

Mozilla: Cookies ( (default)) (Changer le fichier, nothing done)
C:\Documents and Settings\Admin\Application Data\Mozilla\Profiles\
default\datj8mw1.slt\cookies.txt

Mozilla: Download history ( (default)) (Fichier, nothing done)
C:\Documents and Settings\Admin\Application Data\Mozilla\Profiles\
default\datj8mw1.slt\downloads.rdf

MS Direct3D: Most recent application (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name=

MS DirectDraw: Most recent application (Modification du registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name=

MS DirectInput: Most recent application (Modification du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\DirectInput\MostRecentApplication\Name=

MS DirectInput: Most recent application ID (Modification du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\DirectInput\MostRecentApplication\Id=

MS Office 9.0 (PowerPoint): Recent file list ( (1 files)) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Office\9.0\PowerPoint\Recent File List

MS Office 9.0 (Word): Recently used file list (Valeur du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Office\9.0\Word\Data\Settings

MS Office 9.0: Recently used files ( (6 files)) (Répertoire, nothing done)
C:\Documents and Settings\Admin\Application Data\Microsoft\Office\Récents\

Windows Explorer: Last visited history ( (4 files)) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Explorer: Recently opened files ( (54 links)) (Répertoire, nothing done)
C:\Documents and Settings\Admin\Recent

Windows Explorer: Stream history ( (75 files)) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: User Assistant history files ( (56 files)) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: User Assistant history IE ( (4 files)) (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-1708537768-630328440-725345543-1003\
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Traces externes
C'est, par exemple, la fameuse trace appelée "Referer" (référant). Pour un Webmaster le référant est le site qui envoie un internaute sur son site. En gros, c'est "Qui pointe sur moi ?". Pour les marketeurs et autres organismes traquant les internautes (dont toutes les sociétés de statistiques pour Webmasters), la collection de vos référants constitue votre histoire, votre vie sur Internet. Vos millions d'URL visitées sont conservées afin d'établir votre profil comme un psychologue ou un policier le ferait :

"Dis moi qui tu fréquentes et je te dirais qui tu es".


Traces de bavardages techniques
Il y a des traces que nous ne pouvons effacer facilement et, pour certaines, que nous ne pouvons pas effacer du tout. Le b-a-ba de l'apprentissage du langage PHP, par exemple, explique comment récupérer ces d'informations sur le serveur d'un site : voir Qui êtes-vous ?

Vous, internautes qui êtes en train de regarder mon site, sachez qu'il est facile de collecter certaines informations sur vous, informations dont vous ignorez même l'existence. Ces informations ne proviennent pas du pillage d'informations secrètes, pas du tout ! Elles sont envoyées volontairement par votre navigateur (par votre Internet Explorer, Netscape, Opera, Mozilla etc. ...) au serveur du site que vous visitez actuellement (free.fr en ce qui concerne le site Assiste.com). On les appelle les "variables d'environnement"

Beaucoup de ces informations ne sont pas utiles au bon fonctionnement technique d'Internet mais continuent d'être transmises, "historiquement", car elles étaient là depuis le début... depuis la mise au point d'Internet. Par exemple, savoir quel navigateur vous utilisez n'est pas réellement utile tandis que transmettre cette information dévoile une partie de votre installation. On le justifie afin de permettre d'exécuter telle ou telle action en fonction des capacités de tel ou tel navigateur. En effet, chaque navigateur en fait un peu à sa tête en matière de mise en page ou d'interprétation du langage des pages Internet (html) et du langage d'animation et de dynamisation de ces pages (JavaScript). Un bon webmaster va donc écrire plusieurs fois certains évènements (certaines actions) de son site et tester quel navigateur vous utilisez afin de lui soumettre la version de l'action à exécuter que votre navigateur reconnait ou respecte le mieux. C'est une des raisons pour lesquelles les webmasters, face à cette anarchie de "standards" exotiques, sont de gros consommateurs d'aspirine. En réalité, la bonne démarche des webmasters serait de se cantonner strictement aux standards "standards" et ne jamais utiliser les fonctions exotiques. De leur côté, les internautes empêcheront la transmission d'informations sur leur navigateur et autres informations de cette nature.

Mais certaines informations, comme, par exemple, la page d'où vous venez avant d'être arrivé sur celle-là, permettent de suivre votre navigation et de vous profiler. Ces informations sont monnayables etc. ...

On peut, parfois, modifier ces informations (comme les variables d'environnement du navigateur...) pour fournir des faux aux voleurs ou inhiber les outils nécessaires à ces investigations (comme l'interpréteur de langage JavaScript) mais on court le risque que plus rien ne fonctionne sur certains sites s'ils sont privés de JavaScript. ActiveX, lui, le "machin" de Microsoft, peut être totalement inhibé car il est très peu utilisé et très dangereux.

Quelques preuves de traces :

Qui êtes-vous ?

Allez à cette adresse : http://www.cnil.fr/traces/index.htm : c'est sans danger. C'est le site de la CNIL (Commission Nationale de l'Informatique et des Libertés) qui vous prouve que l'on peut, sans effort et bien avant d'implanter un spyware quelconque, savoir beaucoup de choses sur vous. La partie "Démonstration" va exploiter cinq techniques élémentaires qui permettent d'obtenir des informations. Jugez-vous mêmes !

Allez à cette adresse : http://privacy.net/analyze/ et regardez.




Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
Historique
 
   
Rédigé en écoutant :
Music