|
|||||||||||
|
|
Web-Bug (Web Bug, WebBug, Web Beacon)Web-Bug (Web Bug, WebBug, Web Beacon) - Le pixel invisible
Lire la liste du Top 100 des Web-Bug [1] : les 100 plus importants utilisateurs de la technique des Web Bug.
Web-Bug : mouchard caché en micro-image invisible dans une page web ou un e-mail, servant à déclancher l'exécution d'un script depuis un site extérieur. Le Web Bug est une astuce d'utilisation d'une forme publicitaire, la bannière ou la pop-up, dans le but exclusif de traquer (tracking), tracer ou espionner (spyware). Mis en lumière par l'expert en sécurité Richard Smith, consultant pour la Privacy Foundation, une association influente de défense de la vie privée du Colorado aux USA, l'usage de Web Bugs permet à des individus peu scrupuleux de cacher des mouchards à l'intérieur d'une page Web ou d'un e-mail. Ces Web Bug répètent à un destinataire, pas toujours identifiable, des informations nous concernant. Il s'agit "officiellement" de traquer et mesurer l'audience des publicités et de tracer et profiler l'internaute. Ils se présentent sous la forme d'un tag html dont le plus couramment utilisé [1] est le tag <img> avec de pseudo images d'un pixel de côté, donc invisibles à l'écran mais qui activent un site espion extérieur. 08/10/2001 Le débat sur l'usage de web-bugs fait rage dans l'ensemble de l'industrie. Le Network Advertising Initiative, groupe qui réunit les poids lourds de l'industrie publicitaire en ligne américaine, a lancé un programme en début d'année pour développer un standard d'utilisation des web-bugs. Il attend un retour des régulateurs de la Federal Trade Commission (FTC). La justification du Web Bug rejoint les justifications habituelles [2] : maintenir un Web gratuit, insignifiance des informations collectées et anonymat de ces mêmes informations. Dans la pratique, les Web Bugs sont des outils de traçage (tracking) [3] et de gestion de profils (profiling) [4] sous couverts de statistiques, adossés à un cookie [5] Les bénéficiaires des Web Bug sont des sociétés extérieures, la plupart du temps régies publicitaires et / ou sociétés de mesures d'audience. Elles vont demander aux Webmasters, en échange d'un service (accéder gratuitement aux statistiques des mesures d'audience) ou d'une rémunération, d'insérer, dans chaque page, un pointeur (un tag) vers leurs serveurs. J'ai trouvé le texte suivant, écrit en gros sur une page d'un site : "le web bug est obligatoire pour notre régie publicitaire. Notre régie nous paie au visiteur unique. Pour cela le robot payeur doit savoir si vous venez plusieurs fois. Il se base sur votre IP. Le web bug ne sert qu'à cela. Maintenant, c'est quand il veut pour payer, le robot_:)". Nota Assiste.com : c'est deux fois faux - le visiteur unique ne peut pas être déduit de l'adresse IP mais d'un Guid dans un cookie et, d'autre part, le Web Bug est un outil de traquage et de traçage. Il n'y a pas d'alibis : La société "bénéficiaire" du Web Bug va en profiter pour collecter bien des informations à votre insu et contre votre gré, afin de vous profiler et:
Mais diantre, vous devriez les remercier d'alléger votre bombardement en pub et de le rendre intelligent ! La masturbation intellectuelle des informaticiens et des publicistes est sans limites. Il faut faire mieux que la publicité directe. La pub ciblée c'est :
donc :
Il faut que l'internaute reçoive une publicité ciblée, qui le concerne personnellement. "La bonne publicité, au bon moment pour la bonne personne". Alors, "à l'insu de votre plein gré", le maximum de données accessibles aux scripts [9] (ainsi qu'aux contrôles ActiveX [10] malheureusement moins protectionnistes que JavaScript [11] ainsi qu'aux spywares [12] qui font pire encore) est fouillé et le tout est envoyé pour y être analysé. Ces fichiers de profils, ils les revendent à prix d'or. Techniquement, c'est simple : Si j'écrit, dans une page de mon site, le code HTML (le langage du Web) suivant : <img src="http://assiste.com/m/gif/1pglob21.gif" alt="" height="60" width="60" border="0"> voilà ce que cela donne ici : L'ordre img (une abréviation pour "image") que je donne consiste à afficher une image à l'endroit où se trouve cet ordre dans la page. Le fichier qui contient cette image, désigné par src (une abréviation pour "fichier source"), porte le nom http://assiste.com/m/gif/1pglob21.gif. Si on décompose ce tag, voici ce qu'il faut lire:
Les Web-Bug font la même chose. Le truc est simple et n'apporte aucune novation. Il utilise une fonction standard du langage html et de sa composante dynamique Javascript : les actions attachées aux images. Par exemple, la régie publicitaire ou la société de mesures d'audience à laquelle je m'adresse va me demander d'insérer un truc dans le genre <img src="http://195.25.89.18/free_stats/1pglob21.gif?assiste.com " width="1" height="1" border="0">. Si on décompose ce tag, voici ce qu'il faut lire:
Pourquoi le Web Bug est dangereux : Tout d'abord parce qu'il permet à un domaine totalement étranger à votre relation entre vous-même et e site que vous visitez, de vous suivre à la trace en récupérant, au minimum, les informations techniques de navigation (voir Qui êtes-vous - Vos traces). Ensuite, il se trouve que l'on peut attacher des actions à des tag d'images <img>. Lorsque vous cliquez sur un bouton, à l'écran, en fait vous cliquez sur une image et déclenchez une action qui lui est attachée. Ces actions sont :
Le reste est plus abscons mais, en cherchant un peu, grâce aux requêtes dites "Whois" [15] (qui est-ce?) que chaque registrar est obligé de maintenir, par exemple Ripe Whois, on apprend que l'adresse IP 195.25.89.18 est celle de la bien connue société de mesures d'audience :
Le Web-Bug peut lire les cookies hors la plupart des cookies codent un identifiant unique. Donc, même si votre adresse IP change à chaque connexion, plus vous surfez, jour après jour, plus on sait quels sont vos centres d'intérêts et donc quelles sont les pubs que vous devez voir et quelles sont celles à ne pas vous envoyer car elles ne vous intéressent pas et ce serait du temps (donc de l'argent) perdu : la pub efficace. On calcule aussi le temps que vous avez passé sur une page... Tous ces calculs, qui servent réellement à établir la rémunération du site, sont un alibi pour nous violer et nous flicquer. Même si des buts comme "la bonne pub au bon momment" sont anodins, profiler les internautes pourrait conduire (conduit déjà ?) à des détournement : la lutte contre la pédophilie, le nazisme, le terrorisme, le racisme etc. ... sont des plus hautement estimables, mais on peut aussi dans le profil d'un internaute, déduire une déviance, un religiosité, un marquage politique, un milieu social, un trouble comportemental ou de santé et tous autres discriminants etc. ... et ces gigantesques bases de données sont entre les mains de sociétés purement mercantiles et de sectes dont les moyens sont illimités et l'impunité assurée. Même si les informations collectées sont, a priori, peu signifiantes, le fait est qu'elles le sont à notre insu ce qui est un viol. Les Web-Bugs ont moins de latitude de mouvements qu'un véritable programme (spyware) mais n'en demeurent pas moins des outils d'écoute illégaux rapportant une partie de nos faits et gestes pour profiler notre comportement au bénéfice (commercial et financier) de sociétés de marketing et autres annonceurs (et peut être à d'autres que nous ne soupçonnons pas). A eux seuls, les Web-Bug sont incapables de puiser dans le carnet d'adresses, d'envoyer des copies de vos emails ou de votre base de registre, de scanner les fichiers de vos disques durs. Pour réaliser ce genre d'exploit, il faut recourir à de véritables programmes exécutables (les spywares) ou encore des composants ActiveX. Mais l'espionnage n'est pas le fait d'un seul outil ou d'une seule technique : c'est la convergence de tous ces moyens mis en oeuvre simultanément pour nous cerner. Web Bug et e-mail Pour ce qui est des e-mail, il faut qu'ils utilisent autre chose que du texte pur afin de pouvoir transporter un Web Bug, c'est-à-dire qu'ils soient de "beaux e-mail" avec de belles polices de caractères et du graphisme. Ces e-mail sont alors écrits comme des pages Web, en Html et / ou un langage de Script. Html est LE langage des pages Web. Sans HTML, pas de Web sur Internet. Les langages de script sont des langages de programmation très répandu. Disons que sans Java et Javascript, aucun site ne fonctionne. ActiveX, le langage de script que Microsoft s'est cru obligé de développer pour contrer Java, est extrêmement dangereux et doit être désactivé dans les paramètres de votre navigateur. Peu de sites l'utilise et ceux qui l'utilisent sont souvent malveillants. Les versions récentes de Netscape Messenger et de Microsoft Outlook sont concernées et il est donc conseillé de n'accepter que les messages en texte pur. La messagerie Eudora serait apparemment épargnée. On notera que, dans les messages, le Web Bug est têtu et adopte l'un des comportement des virus : la réplication. En effet, même si un utilisateur désactive les langages de script dans ses logiciels de messagerie, ce qui le met lui personnellement à l'abrit, s'il fait suivre un message piégé de web-bugs à un autre correspondant, le mouchard sera opérationnel dès qu'il sera reçu par l'autre utilisateur qui n'aura pas désactivé les langages de script. La Privacy Foundation fait campagne pour que tous les logiciels de messagerie soit vendus avec l'option "langages de Script désactivée" par défaut. Par ailleurs, l'association estime que cette faille pourrait banaliser l'espionnage des correspondances. Ressources [1] Top 100 des Web-Bug Liste de Web bug sur http://assiste.com [2] justifications habituelles de l'espionnage des internautes Spyware - jutification sur http://assiste.com [3] Traçage ou tracking Traces sur http://assiste.com [4] Profiler ou profiling Profiler ou profiling sur http://assiste.com [5] Cookie Cookie sur http://assiste.com [6] Informations volées - qui êtes-vous ? Qui êtes-vous ? Je sais qui vous êtes... sur http://assiste.com [7] Guid Guid_identificateur sur http://assiste.com [8] Passport Passport sur http://assiste.com [9] Scripts Script sur http://assiste.com [10] ActiveX Activex sur http://assiste.com [11] JavaScript Javascript sur http://assiste.com [12] Spywares Spywares sur http://assiste.com [13] SpyBlocker Spyblocker sur http://assiste.com [14] WebWasher Webwasher sur http://assiste.com [15] Whois On_line_whois sur http://assiste.com |
|
|
|||||||
|
|||||||||||
|
|||||||||||
Rédigé en écoutant :
Music |
|||||||||||