Web-Bug (Web Bug, WebBug, Web Beacon)
Web-Bug (Web Bug, WebBug, Web Beacon) - Le pixel invisible
|
||||
| |
Lire la liste du Top 100 des Web-Bug [1] : les 100 plus importants utilisateurs de la technique des Web Bug.
Web-Bug : mouchard caché en micro-image invisible dans une page web ou un e-mail, servant à déclancher l'exécution d'un script depuis un site extérieur.
Le Web Bug est une astuce d'utilisation d'une forme publicitaire, la bannière ou la pop-up, dans le but exclusif de traquer (tracking), tracer ou espionner (spyware).
Mis en lumière par l'expert en sécurité Richard Smith, consultant pour la Privacy Foundation, une association influente de défense de la vie privée du Colorado aux USA, l'usage de Web Bugs permet à des individus peu scrupuleux de cacher des mouchards à l'intérieur d'une page Web ou d'un e-mail. Ces Web Bug répètent à un destinataire, pas toujours identifiable, des informations nous concernant. Il s'agit "officiellement" de traquer et mesurer l'audience des publicités et de tracer et profiler l'internaute. Ils se présentent sous la forme d'un tag html dont le plus couramment utilisé [1] est le tag <img> avec de pseudo images d'un pixel de côté, donc invisibles à l'écran mais qui activent un site espion extérieur.
08/10/2001 Le débat sur l'usage de web-bugs fait rage dans l'ensemble de l'industrie. Le Network Advertising Initiative, groupe qui réunit les poids lourds de l'industrie publicitaire en ligne américaine, a lancé un programme en début d'année pour développer un standard d'utilisation des web-bugs. Il attend un retour des régulateurs de la Federal Trade Commission (FTC).
La justification du Web Bug rejoint les justifications habituelles [2] : maintenir un Web gratuit, insignifiance des informations collectées et anonymat de ces mêmes informations.
Dans la pratique, les Web Bugs sont des outils de traçage (tracking) [3] et de gestion de profils (profiling) [4] sous couverts de statistiques, adossés à un cookie [5] Les bénéficiaires des Web Bug sont des sociétés extérieures, la plupart du temps régies publicitaires et / ou sociétés de mesures d'audience. Elles vont demander aux Webmasters, en échange d'un service (accéder gratuitement aux statistiques des mesures d'audience) ou d'une rémunération, d'insérer, dans chaque page, un pointeur (un tag) vers leurs serveurs.
J'ai trouvé le texte suivant, écrit en gros sur une page d'un site : "le web bug est obligatoire pour notre régie publicitaire. Notre régie nous paie au visiteur unique. Pour cela le robot payeur doit savoir si vous venez plusieurs fois. Il se base sur votre IP. Le web bug ne sert qu'à cela. Maintenant, c'est quand il veut pour payer, le robot_:)".
Nota Assiste.com : c'est deux fois faux - le visiteur unique ne peut pas être déduit de l'adresse IP mais d'un Guid dans un cookie et, d'autre part, le Web Bug est un outil de traquage et de traçage.
Il n'y a pas d'alibis :
La société "bénéficiaire" du Web Bug va en profiter pour collecter bien des informations à votre insu et contre votre gré, afin de vous profiler et:
Mais diantre, vous devriez les remercier d'alléger votre bombardement en pub et de le rendre intelligent ! La masturbation intellectuelle des informaticiens et des publicistes est sans limites. Il faut faire mieux que la publicité directe. La pub ciblée c'est :
donc :
Il faut que l'internaute reçoive une publicité ciblée, qui le concerne personnellement. "La bonne publicité, au bon moment pour la bonne personne". Alors, "à l'insu de votre plein gré", le maximum de données accessibles aux scripts [9] (ainsi qu'aux contrôles ActiveX [10] malheureusement moins protectionnistes que JavaScript [11] ainsi qu'aux spywares [12] qui font pire encore) est fouillé et le tout est envoyé pour y être analysé. Ces fichiers de profils, ils les revendent à prix d'or.
Techniquement, c'est simple :
Si j'écrit, dans une page de mon site, le code HTML (le langage du Web) suivant :
<img src="http://assiste.com/m/gif/1pglob21.gif" alt="" height="60" width="60" border="0">
voilà ce que cela donne ici :
L'ordre img (une abréviation pour "image") que je donne consiste à afficher une image à l'endroit où se trouve cet ordre dans la page. Le fichier qui contient cette image, désigné par src (une abréviation pour "fichier source"), porte le nom http://assiste.com/m/gif/1pglob21.gif.
Si on décompose ce tag, voici ce qu'il faut lire:
Les Web-Bug font la même chose. Le truc est simple et n'apporte aucune novation. Il utilise une fonction standard du langage html et de sa composante dynamique Javascript : les actions attachées aux images. Par exemple, la régie publicitaire ou la société de mesures d'audience à laquelle je m'adresse va me demander d'insérer un truc dans le genre
<img src="http://195.25.89.18/free_stats/1pglob21.gif?assiste.com " width="1" height="1" border="0">.
Si on décompose ce tag, voici ce qu'il faut lire:
Pourquoi le Web Bug est dangereux :
Tout d'abord parce qu'il permet à un domaine totalement étranger à votre relation entre vous-même et e site que vous visitez, de vous suivre à la trace en récupérant, au minimum, les informations techniques de navigation (voir Qui êtes-vous - Vos traces).
Ensuite, il se trouve que l'on peut attacher des actions à des tag d'images <img>. Lorsque vous cliquez sur un bouton, à l'écran, en fait vous cliquez sur une image et déclenchez une action qui lui est attachée. Ces actions sont :
Le reste est plus abscons mais, en cherchant un peu, grâce aux requêtes dites "Whois" [15] (qui est-ce?) que chaque registrar est obligé de maintenir, par exemple Ripe Whois, on apprend que l'adresse IP 195.25.89.18 est celle de la bien connue société de mesures d'audience :
Le Web-Bug peut lire les cookies hors la plupart des cookies codent un identifiant unique. Donc, même si votre adresse IP change à chaque connexion, plus vous surfez, jour après jour, plus on sait quels sont vos centres d'intérêts et donc quelles sont les pubs que vous devez voir et quelles sont celles à ne pas vous envoyer car elles ne vous intéressent pas et ce serait du temps (donc de l'argent) perdu : la pub efficace. On calcule aussi le temps que vous avez passé sur une page... Tous ces calculs, qui servent réellement à établir la rémunération du site, sont un alibi pour nous violer et nous flicquer.
Même si des buts comme "la bonne pub au bon momment" sont anodins, profiler les internautes pourrait conduire (conduit déjà ?) à des détournement : la lutte contre la pédophilie, le nazisme, le terrorisme, le racisme etc. ... sont des plus hautement estimables, mais on peut aussi dans le profil d'un internaute, déduire une déviance, un religiosité, un marquage politique, un milieu social, un trouble comportemental ou de santé et tous autres discriminants etc. ... et ces gigantesques bases de données sont entre les mains de sociétés purement mercantiles et de sectes dont les moyens sont illimités et l'impunité assurée.
Même si les informations collectées sont, a priori, peu signifiantes, le fait est qu'elles le sont à notre insu ce qui est un viol. Les Web-Bugs ont moins de latitude de mouvements qu'un véritable programme (spyware) mais n'en demeurent pas moins des outils d'écoute illégaux rapportant une partie de nos faits et gestes pour profiler notre comportement au bénéfice (commercial et financier) de sociétés de marketing et autres annonceurs (et peut être à d'autres que nous ne soupçonnons pas).
A eux seuls, les Web-Bug sont incapables de puiser dans le carnet d'adresses, d'envoyer des copies de vos emails ou de votre base de registre, de scanner les fichiers de vos disques durs. Pour réaliser ce genre d'exploit, il faut recourir à de véritables programmes exécutables (les spywares) ou encore des composants ActiveX. Mais l'espionnage n'est pas le fait d'un seul outil ou d'une seule technique : c'est la convergence de tous ces moyens mis en oeuvre simultanément pour nous cerner.
Web Bug et e-mail
Pour ce qui est des e-mail, il faut qu'ils utilisent autre chose que du texte pur afin de pouvoir transporter un Web Bug, c'est-à-dire qu'ils soient de "beaux e-mail" avec de belles polices de caractères et du graphisme. Ces e-mail sont alors écrits comme des pages Web, en Html et / ou un langage de Script.
Html est LE langage des pages Web. Sans HTML, pas de Web sur Internet.
Les langages de script sont des langages de programmation très répandu. Disons que sans Java et Javascript, aucun site ne fonctionne. ActiveX, le langage de script que Microsoft s'est cru obligé de développer pour contrer Java, est extrêmement dangereux et doit être désactivé dans les paramètres de votre navigateur. Peu de sites l'utilise et ceux qui l'utilisent sont souvent malveillants.
Les versions récentes de Netscape Messenger et de Microsoft Outlook sont concernées et il est donc conseillé de n'accepter que les messages en texte pur. La messagerie Eudora serait apparemment épargnée. On notera que, dans les messages, le Web Bug est têtu et adopte l'un des comportement des virus : la réplication. En effet, même si un utilisateur désactive les langages de script dans ses logiciels de messagerie, ce qui le met lui personnellement à l'abrit, s'il fait suivre un message piégé de web-bugs à un autre correspondant, le mouchard sera opérationnel dès qu'il sera reçu par l'autre utilisateur qui n'aura pas désactivé les langages de script. La Privacy Foundation fait campagne pour que tous les logiciels de messagerie soit vendus avec l'option "langages de Script désactivée" par défaut. Par ailleurs, l'association estime que cette faille pourrait banaliser l'espionnage des correspondances.
Ressources
[1] Top 100 des Web-Bug
Liste de Web bug sur http://assiste.com
[2] justifications habituelles de l'espionnage des internautes
Spyware - jutification sur http://assiste.com
[3] Traçage ou tracking
Traces sur http://assiste.com
[4] Profiler ou profiling
Profiler ou profiling sur http://assiste.com
[5] Cookie
Cookie sur http://assiste.com
[6] Informations volées - qui êtes-vous ?
Qui êtes-vous ? Je sais qui vous êtes... sur http://assiste.com
[7] Guid
Guid_identificateur sur http://assiste.com
[8] Passport
Passport sur http://assiste.com
[9] Scripts
Script sur http://assiste.com
[10] ActiveX
Activex sur http://assiste.com
[11] JavaScript
Javascript sur http://assiste.com
[12] Spywares
Spywares sur http://assiste.com
[13] SpyBlocker
Spyblocker sur http://assiste.com
[14] WebWasher
Webwasher sur http://assiste.com
[15] Whois
On_line_whois sur http://assiste.com
Web-Bug : mouchard caché en micro-image invisible dans une page web ou un e-mail, servant à déclancher l'exécution d'un script depuis un site extérieur.
Le Web Bug est une astuce d'utilisation d'une forme publicitaire, la bannière ou la pop-up, dans le but exclusif de traquer (tracking), tracer ou espionner (spyware).
Mis en lumière par l'expert en sécurité Richard Smith, consultant pour la Privacy Foundation, une association influente de défense de la vie privée du Colorado aux USA, l'usage de Web Bugs permet à des individus peu scrupuleux de cacher des mouchards à l'intérieur d'une page Web ou d'un e-mail. Ces Web Bug répètent à un destinataire, pas toujours identifiable, des informations nous concernant. Il s'agit "officiellement" de traquer et mesurer l'audience des publicités et de tracer et profiler l'internaute. Ils se présentent sous la forme d'un tag html dont le plus couramment utilisé [1] est le tag <img> avec de pseudo images d'un pixel de côté, donc invisibles à l'écran mais qui activent un site espion extérieur.
08/10/2001 Le débat sur l'usage de web-bugs fait rage dans l'ensemble de l'industrie. Le Network Advertising Initiative, groupe qui réunit les poids lourds de l'industrie publicitaire en ligne américaine, a lancé un programme en début d'année pour développer un standard d'utilisation des web-bugs. Il attend un retour des régulateurs de la Federal Trade Commission (FTC).
La justification du Web Bug rejoint les justifications habituelles [2] : maintenir un Web gratuit, insignifiance des informations collectées et anonymat de ces mêmes informations.
Dans la pratique, les Web Bugs sont des outils de traçage (tracking) [3] et de gestion de profils (profiling) [4] sous couverts de statistiques, adossés à un cookie [5] Les bénéficiaires des Web Bug sont des sociétés extérieures, la plupart du temps régies publicitaires et / ou sociétés de mesures d'audience. Elles vont demander aux Webmasters, en échange d'un service (accéder gratuitement aux statistiques des mesures d'audience) ou d'une rémunération, d'insérer, dans chaque page, un pointeur (un tag) vers leurs serveurs.
J'ai trouvé le texte suivant, écrit en gros sur une page d'un site : "le web bug est obligatoire pour notre régie publicitaire. Notre régie nous paie au visiteur unique. Pour cela le robot payeur doit savoir si vous venez plusieurs fois. Il se base sur votre IP. Le web bug ne sert qu'à cela. Maintenant, c'est quand il veut pour payer, le robot_:)".
Nota Assiste.com : c'est deux fois faux - le visiteur unique ne peut pas être déduit de l'adresse IP mais d'un Guid dans un cookie et, d'autre part, le Web Bug est un outil de traquage et de traçage.
Il n'y a pas d'alibis :
La société "bénéficiaire" du Web Bug va en profiter pour collecter bien des informations à votre insu et contre votre gré, afin de vous profiler et:
- s'il s'agit d'une régie publicitaire, ne vous envoyer que des pubs vous concernant au lieu d'envoyer tout en vrac
- s'il s'agit d'une société de mesure d'audience, vendre ces informations (à des régies publicitaires, par exemple)
Mais diantre, vous devriez les remercier d'alléger votre bombardement en pub et de le rendre intelligent ! La masturbation intellectuelle des informaticiens et des publicistes est sans limites. Il faut faire mieux que la publicité directe. La pub ciblée c'est :
- moins d'effet de saturation
- plus d'impact
donc :
- ça sert à vendre mieux des produits ou services
- ça se vend mieux (plus chers) auprès des annonceurs
Il faut que l'internaute reçoive une publicité ciblée, qui le concerne personnellement. "La bonne publicité, au bon moment pour la bonne personne". Alors, "à l'insu de votre plein gré", le maximum de données accessibles aux scripts [9] (ainsi qu'aux contrôles ActiveX [10] malheureusement moins protectionnistes que JavaScript [11] ainsi qu'aux spywares [12] qui font pire encore) est fouillé et le tout est envoyé pour y être analysé. Ces fichiers de profils, ils les revendent à prix d'or.
Techniquement, c'est simple :
Si j'écrit, dans une page de mon site, le code HTML (le langage du Web) suivant :
<img src="http://assiste.com/m/gif/1pglob21.gif" alt="" height="60" width="60" border="0">
voilà ce que cela donne ici :
L'ordre img (une abréviation pour "image") que je donne consiste à afficher une image à l'endroit où se trouve cet ordre dans la page. Le fichier qui contient cette image, désigné par src (une abréviation pour "fichier source"), porte le nom http://assiste.com/m/gif/1pglob21.gif.
Si on décompose ce tag, voici ce qu'il faut lire:
- Ordre : img
- fichier : 1pglob21.gif
- emplacement : http://assiste.com/m/gif/
- hauteur : 60 pixels
- largeur : 60 pixels
- bordure : pas de bordure de l'image (épaisseur de la bordure fixée à 0 pixel)
Les Web-Bug font la même chose. Le truc est simple et n'apporte aucune novation. Il utilise une fonction standard du langage html et de sa composante dynamique Javascript : les actions attachées aux images. Par exemple, la régie publicitaire ou la société de mesures d'audience à laquelle je m'adresse va me demander d'insérer un truc dans le genre
<img src="http://195.25.89.18/free_stats/1pglob21.gif?assiste.com " width="1" height="1" border="0">.
Si on décompose ce tag, voici ce qu'il faut lire:
- Ordre : img
- fichier : 1pglob21.gif
- emplacement : http://195.25.89.18/free_stats/
- hauteur : 1 pixel
- largeur : 1 pixel
- bordure : pas de bordure de l'image (épaisseur de la bordire fr 0 pixel)
- argument : assiste.com
- la pseudo image, même si on ne lit pas l'anglais, on la compris, aura une hauteur et une largeur de 1 pixel, autrement dit elle sera invisible (en sus si, graphiquement parlant, ce pixel est transparent, on ne verra même pas le micro point que cela représente).
- on va chercher la pseudo image sur le site http://195.25.89.18/. Il s'agit donc d'un site externe puisque l'emplacement n'est pas le même que celui du site lui_même.
- le site est adressé directement sous son adresse IP et non pas sous son nom (c'est plus rapide mais il faut chercher pour savoir qui est-ce ce qui est une forme de camouflage)
- le nom de l'image en lui-même n'a pas d'importance et sert à identifier le site Assiste.com dont l'identification est passée en argument (caractères suivants le "?").
Pourquoi le Web Bug est dangereux :
Tout d'abord parce qu'il permet à un domaine totalement étranger à votre relation entre vous-même et e site que vous visitez, de vous suivre à la trace en récupérant, au minimum, les informations techniques de navigation (voir Qui êtes-vous - Vos traces).
Ensuite, il se trouve que l'on peut attacher des actions à des tag d'images <img>. Lorsque vous cliquez sur un bouton, à l'écran, en fait vous cliquez sur une image et déclenchez une action qui lui est attachée. Ces actions sont :
- volontaires de votre part
- sur une image visible
- légitimes
- sans danger pour votre privée
- sans risque de compromission de vos données
- détection du pointeur de la souris entrant sur l'image et la survolant (on l'utilise, typiquement, dans les effets dits de "roll over" lorsque vous passez sur un bouton et qu'il change de couleur ou s'enfonce etc. ...)
- détection du pointeur de la souris sortant de l'image (le complément du précédent)
- clic gauche sur l'image
- double clic gauche sur l'image
- clic droit sur l'image
- double clic droit sur l'image
- appui sur touche gauche de la souris et maintien appuyé (par exemple pour saisir un objet et le déplacer)
- relâchement de la touche gauche de la souris (complément de la précédente)
- etc. ...
Le reste est plus abscons mais, en cherchant un peu, grâce aux requêtes dites "Whois" [15] (qui est-ce?) que chaque registrar est obligé de maintenir, par exemple Ripe Whois, on apprend que l'adresse IP 195.25.89.18 est celle de la bien connue société de mesures d'audience :
- FR-MEDIAMETRIE
MEDIAMETRIE
55/63, rue Anatole France
92532 Levallois Perret
- Adresse IP de votre ordinateur (ce n'est pas franchement un identifiant car votre adresse IP change chaque fois que vous vous connectez au Net : elle vous est attribuée de manière dynamique et temporaire pour le temps de votre surf). Mais ceci va permettre au mesureur de dire à l'annonceur combien d'adresses IP différentes (donc d'internautes différents) ont vu sa pub car il est très différent d'avoir un internaute qui se balade sur 200 pages d'un site ou 200 internautes qui se baladent sur 1 page d'un site. Pour corriger ce risque d'erreur de mesure, il est installé un cookie sur votre ordinateur contenant un identifiant unique.
- Votre navigateur (Opera, Netscape, Microsoft Internet Explorer, etc. ...)
- Votre système d'exploitation et sa version (Linux, Windows, Système Apple etc. ...)
- Votre résolution d'écran
- Le nom de la page visitée dont on extrait les Mots-clés ce qui vous profile
- La date de la visite
- L'heure de la visite
- Et, surtout, lire le contenu du cookie du site (il ne peut pas lire les cookies des autres sites contrairement aux spywares qui eux peuvent tout faire). Les informations contenues dans un cookie peuvent être anodines comme les choix de préférences (je veux lire les pages de ce site dans sa version anglaise etc. ...). Mais elles peuvent être plus personnelles si vous avez complété, par exemple, un formulaire avec vos noms, adresse, numéro de téléphone, numéro de comptes, mots de passe, centre d'intérêts etc. ...
- etc. ...
Le Web-Bug peut lire les cookies hors la plupart des cookies codent un identifiant unique. Donc, même si votre adresse IP change à chaque connexion, plus vous surfez, jour après jour, plus on sait quels sont vos centres d'intérêts et donc quelles sont les pubs que vous devez voir et quelles sont celles à ne pas vous envoyer car elles ne vous intéressent pas et ce serait du temps (donc de l'argent) perdu : la pub efficace. On calcule aussi le temps que vous avez passé sur une page... Tous ces calculs, qui servent réellement à établir la rémunération du site, sont un alibi pour nous violer et nous flicquer.
Même si des buts comme "la bonne pub au bon momment" sont anodins, profiler les internautes pourrait conduire (conduit déjà ?) à des détournement : la lutte contre la pédophilie, le nazisme, le terrorisme, le racisme etc. ... sont des plus hautement estimables, mais on peut aussi dans le profil d'un internaute, déduire une déviance, un religiosité, un marquage politique, un milieu social, un trouble comportemental ou de santé et tous autres discriminants etc. ... et ces gigantesques bases de données sont entre les mains de sociétés purement mercantiles et de sectes dont les moyens sont illimités et l'impunité assurée.
Même si les informations collectées sont, a priori, peu signifiantes, le fait est qu'elles le sont à notre insu ce qui est un viol. Les Web-Bugs ont moins de latitude de mouvements qu'un véritable programme (spyware) mais n'en demeurent pas moins des outils d'écoute illégaux rapportant une partie de nos faits et gestes pour profiler notre comportement au bénéfice (commercial et financier) de sociétés de marketing et autres annonceurs (et peut être à d'autres que nous ne soupçonnons pas).
A eux seuls, les Web-Bug sont incapables de puiser dans le carnet d'adresses, d'envoyer des copies de vos emails ou de votre base de registre, de scanner les fichiers de vos disques durs. Pour réaliser ce genre d'exploit, il faut recourir à de véritables programmes exécutables (les spywares) ou encore des composants ActiveX. Mais l'espionnage n'est pas le fait d'un seul outil ou d'une seule technique : c'est la convergence de tous ces moyens mis en oeuvre simultanément pour nous cerner.
Web Bug et e-mail
Pour ce qui est des e-mail, il faut qu'ils utilisent autre chose que du texte pur afin de pouvoir transporter un Web Bug, c'est-à-dire qu'ils soient de "beaux e-mail" avec de belles polices de caractères et du graphisme. Ces e-mail sont alors écrits comme des pages Web, en Html et / ou un langage de Script.
Html est LE langage des pages Web. Sans HTML, pas de Web sur Internet.
Les langages de script sont des langages de programmation très répandu. Disons que sans Java et Javascript, aucun site ne fonctionne. ActiveX, le langage de script que Microsoft s'est cru obligé de développer pour contrer Java, est extrêmement dangereux et doit être désactivé dans les paramètres de votre navigateur. Peu de sites l'utilise et ceux qui l'utilisent sont souvent malveillants.
Les versions récentes de Netscape Messenger et de Microsoft Outlook sont concernées et il est donc conseillé de n'accepter que les messages en texte pur. La messagerie Eudora serait apparemment épargnée. On notera que, dans les messages, le Web Bug est têtu et adopte l'un des comportement des virus : la réplication. En effet, même si un utilisateur désactive les langages de script dans ses logiciels de messagerie, ce qui le met lui personnellement à l'abrit, s'il fait suivre un message piégé de web-bugs à un autre correspondant, le mouchard sera opérationnel dès qu'il sera reçu par l'autre utilisateur qui n'aura pas désactivé les langages de script. La Privacy Foundation fait campagne pour que tous les logiciels de messagerie soit vendus avec l'option "langages de Script désactivée" par défaut. Par ailleurs, l'association estime que cette faille pourrait banaliser l'espionnage des correspondances.
Ressources
[1] Top 100 des Web-Bug
Liste de Web bug sur http://assiste.com
[2] justifications habituelles de l'espionnage des internautes
Spyware - jutification sur http://assiste.com
[3] Traçage ou tracking
Traces sur http://assiste.com
[4] Profiler ou profiling
Profiler ou profiling sur http://assiste.com
[5] Cookie
Cookie sur http://assiste.com
[6] Informations volées - qui êtes-vous ?
Qui êtes-vous ? Je sais qui vous êtes... sur http://assiste.com
[7] Guid
Guid_identificateur sur http://assiste.com
[8] Passport
Passport sur http://assiste.com
[9] Scripts
Script sur http://assiste.com
[10] ActiveX
Activex sur http://assiste.com
[11] JavaScript
Javascript sur http://assiste.com
[12] Spywares
Spywares sur http://assiste.com
[13] SpyBlocker
Spyblocker sur http://assiste.com
[14] WebWasher
Webwasher sur http://assiste.com
[15] Whois
On_line_whois sur http://assiste.com
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music