Bulletin n°26 Octobre

Octobre 2014
Bulletin Numéro 26
Les cookies « bon ou pas bon »
Introduction
Articles de ce
bulletin
d’informations
Introduction
Cookies en
détail
Vie privée
Contre-attaque et
cibles
Petit rappel sur
l’espionnage
sur le web
Web-bug et
dérivés
Pour conclure
De. FGH Informatique
Définition : En informatique, un cookie (ou témoin
de connexion, est défini
par le protocole de
communication
HTTP
(client – serveur) comme
étant une suite d'informations envoyée par un
serveur HTTP à un client
HTTP, que ce dernier
retourne lors de chaque
interrogation du même
serveur
HTTP
sous
certaines conditions.
Pour être plus précis, Il
est envoyé en tant qu'entête HTTP par le serveur
web au navigateur web
qui le renvoie inchangé à
chaque fois qu'il accède
au même serveur.
Les cookies peuvent être
utilisés pour maintenir les
données
relatives
à
l'utilisateur
durant
sa
navigation, mais aussi à
travers plusieurs visites.
Les cookies ont été
introduits également pour
la gestion des paniers
d'achat électronique, un
dispositif
virtuel
dans
lequel l'utilisateur peut
accumuler les articles qu'il
veut acheter durant sa
navigation sur le site.
Comment ça marche ?
Le serveur web envoie un
cookie contenant un identifiant de session unique.
Le navigateur web renvoie
alors cet identifiant de
session à chaque requête
suivante et les articles du
panier sont enregistrés et
associés avec ce même
identifiant
unique
de
session.
De nos jours, les applications comme les paniers d'achat enregistrent
plutôt la liste des articles
dans une base de données sur un serveur, ce
qui est préférable; que de
les enregistrer dans le
cookie lui-même.
Une utilisation fréquente
des cookies est utile pour
la connexion à un site à
l'aide d'identifiants. En
bref, le serveur web envoie en premier un cookie
contenant un identifiant
unique de session. Ensuite les utilisateurs fournissent leurs identifiants
(généralement un nom
d'utilisateur et un mot de
passe). L'application web
authentifie alors la session
et permet à l'utilisateur
d'accéder au service.
Voici en résumé le profil et
l’utilité des cookies. Dans
les prochaines pages,
vous allez faire connaissance avec les avantages
et les inconvénients liés à
la présence des cookies
sur votre ordinateur. Nous
allons également vous
montrer comment éliminer
les mauvais et garder les
bons. Après étude, nous
préférons garder ceux au
chocolat et vous ?
Bonne Lecture…
Les mots techniques soulignés en bleu comportent un lien hypertexte. Pour les ouvrir, il vous suffit
de mettre votre souris sur le mot, d’appuyer sur la touche CTRL et de cliquer en même temps.
Page 2 sur 7
Cookies et autres
Cookies en détail
Pistage
Les cookies de pistage
sont utilisés pour suivre
les habitudes de navigation
des
utilisateurs
d'internet. Cela peut être
fait aussi en partie en
utilisant l'adresse IP, mais
les cookies permettent
une plus grande précision.
Cela peut être fait comme
dans cet exemple. Vous,
utilisateur faites appel à
une page d'un site. Hors,
comme c’est votre première visite sur ce site, Il n’y a
pas de cookie présent sur
votre ordinateur en liaison
avec ce site. Le serveur
que vous contactez présume et il a raison que c'est
la première page que
vous visitez de ce site. Il
crée alors une chaîne
aléatoire sous forme de
cookie et l'envoie au
navigateur
en
même
temps que la page
demandée. Désormais, le
cookie sera automatiquement envoyé par le
navigateur à chaque fois
qu'une nouvelle page du
site sera appelée. Le serveur enverra la page comme d'habitude, mais enregistrera aussi l'URL (lien)
de la page appelée, la
date, l'heure de votre requête et le cookie dans un
fichier de journalisation.
En regardant le fichier de
journalisation, il est alors
possible de voir pour une
personne qualifiée quelles
pages vous avez visité et
dans quel ordre. Par
exemple, si le fichier
contient quelques requêtes faites utilisant le
cookie id=abc, cela peut
établir que toutes ces
requêtes proviennent du
même utilisateur. L'URL
demandée, la date et
l'heure associées aux
requêtes permettent de
suivre la navigation de
l'utilisateur à la trace.
Tierce partie
Ou pixel espion aussi
appelé balise web et pixel
invisible se trouve sous la
forme d’une très petite
image numérique transparente utilisée par certains
sites web pour collecter
des informations sur l'activité des utilisateurs. Ce
nom provient de leur dimension réduite, généralement un seul pixel pour
minimiser les temps de
chargement puisque l'image en elle-même n'apporte aucune information.
Un pixel espion permet à
un service de statistiques
ou de mesure d'audience
de pister la navigation
d'utilisateurs à travers
différents
sites
web.
L'image en question est
incluse dans les pages
des
différents
sites
utilisant le service mais
elle est mise en ligne sur
les serveurs du service.
Le mécanisme de certains
pixels espion permet en
plus le pistage à travers
différents sites.
Le pistage dans un seul
site est généralement
utilisé pour un usage
statistique.
Par contre, le pistage
dans différents sites à
l'aide des cookies « tierce
partie » est généralement
utilisé par les entreprises
de publicités pour produire
des profils d'utilisateurs
anonymes (qui sont alors
utilisés pour déterminer
quelles
publicités
devraient être montrées à
l'utilisateur ainsi que pour
lui envoyer des mails
correspondant
à
ces
publicités (SPAM).
Les cookies de pistage
sont un risque d’atteinte à
la vie privée de l'utilisateur
mais ils peuvent être
supprimés facilement.
Inconvénients
En plus des problèmes
d'atteinte à la vie privée,
les cookies ont aussi
quelques
inconvénients
techniques. En particulier,
ils n'identifient pas toujours
exactement
les
utilisateurs, ils peuvent
être utilisés pour des
attaques de sécurité.
Identification imprécise
Si plus d'un navigateur est
utilisé sur un ordinateur,
dans chacun d'eux il y a
toujours une unité de
stockage séparé pour les
cookies. Par conséquent
les cookies n'identifient
pas une personne, mais
une
combinaison
de
compte d'utilisateur, un
ordinateur, et un navigateur Web. Ainsi, n'importe
qui peut utiliser ces
comptes, les ordinateurs,
ou les navigateurs qui ont
la panoplie des cookies.
De même, les cookies ne
font pas la différence
entre les multiples utilisateurs qui partagent le
même compte d'utilisateur, l'ordinateur, et le
navigateur.
Page 3 sur 7
Cookies et autres
Vie privée
Les cookies ont des
implications importantes
dans la vie privée et
l'anonymat des utilisateurs
du web. Bien que les
cookies soient seulement
renvoyés au serveur les
ayant mis en place ou à
un serveur appartenant au
même domaine Internet,
une page web peut
cependant contenir des
images ou d'autres composants stockés sur des
serveurs appartenant à
d'autres domaines.
Cela inclut les cookies
provenant des fenêtres
pop-up indésirables.
La connaissance des
pages visitées par l'utilisateur permet aux entreprises de publicité de
cibler vos préférences
publicitaires.
La possibilité de construire un profil d'utilisateur
est considérée par certains et nous sommes
d’accord avec ce qui suit
comme une intrusion dans
la vie privée, particulièrement quand le pistage
est fait à travers différents
domaines utilisant les
cookies « tierce partie ».
Pour cette raison, certains
pays ont une législation
sur les cookies.
Le gouvernement des
États-Unis a mis en place
des règles strictes sur la
mise en place des cookies
en 2000, après qu'il fut
révélé que le bureau des
politiques antidrogues de
la Maison Blanche utilisait
les cookies pour suivre les
ordinateurs des utilisateurs regardant en ligne
les publicités antidrogues.
choisir s'ils veulent laisser
des traces ou pas de leur
passage sur internet. Ils
peuvent ainsi être à l'abri
du ciblage publicitaire.
En Angleterre, la Cookie
law , entrée en vigueur le
25 mai 2012, oblige les
sites à déclarer leurs
intentions,
permettant
ainsi aux utilisateurs de
La
nouvelle
directive
renforce donc les obligations préalables au placement de cookies sur l'ordinateur de l'internaute.
Dans les considérations
Au niveau européen, dans
une directive de 2002, il
est exigé que le stockage
des données (comme les
cookies) dans l'ordinateur
de
l'utilisateur
puisse
seulement être fait si
l'utilisateur est informé de
la façon dont les données
sont utilisées.
Il est donné à l'utilisateur
la possibilité de refuser
cette opération de stockage. Cependant, cet article
statue aussi que le
stockage de données pour
raisons techniques est
exempté de cette loi.
Devant être mise en
application
à
partir
d'octobre 2003, la directive n'a cependant été que
très imparfaitement mise
en pratique selon un rapport de décembre 2004.
Une directive de 2009
actualise la façon de
stocker les informations
en indiquant que le
stockage d’informations,
ou l’obtention de l’accès à
des informations déjà
stockées, dans l’équipement
terminal
d’un
abonné ou d’un utilisateur
n’est permis qu’à condition que l’abonné ou
l’utilisateur ait donné son
accord, après avoir reçu,
dans le respect de la
directive, une information
claire et complète, entre
autres sur les finalités du
traitement.
préalables de la directive
le législateur européen
précise toutefois, que
lorsque cela est techniquement
possible
et
effectif,
conformément
aux dispositions pertinentes
de
la
directive
95/46/CE, l’accord de
l’utilisateur en ce qui
concerne le traitement
peut être exprimé par
l’utilisation des paramètres
appropriés
d’un
navigateur ou d’une autre
application.
Cette nouvelle directive a
été transposée par les
députés belges en juillet
2012. Une étude de 2014
montre que même les
députés
peinent
à
appliquer les contraintes
de la directive.
Expiration
Les cookies expirent, et
ne sont alors pas envoyés
par le navigateur au
serveur, sous certaines
conditions que voici :
À la fin de la session de
l'utilisateur
(c'est-à-dire
quand le navigateur est
fermé) si le cookie n'est
pas persistant.
Une date d'expiration a
été définie, et a été
atteinte.
Le navigateur supprime le
cookie à la demande de
l'utilisateur.
Notons qu'il est possible
avec le navigateur internet Google Chrome de
connaître la date d'expiration d'un cookie en particulier en accédant aux
paramètres du contenu.
Un cookie enregistré sur
un ordinateur peut très
bien y rester pendant
plusieurs dizaines d'années si aucune procédure
n'est faite pour l'effacer.
Page 4 sur 7
Cookies et autres
Contre-attaque et cibles
Les cookies ne peuvent
pas
effacer
ou
lire
l'information provenant de
l'ordinateur de l'utilisateur.
Selon une étude, un grand
pourcentage d'utilisateurs
d'Internet ne savent pas
comment supprimer les
cookies. L'une des raisons
pour lesquelles les gens
ne font pas confiance aux
cookies est que certains
sites ont abusé de l'aspect
de l'identification personnelle des cookies et ont
partagé ces informations
avec d'autres sources. Un
grand pourcentage de la
publicité ciblée provient de
l'information glanée par
les cookies de pistage.
Paramétrer son
navigateur
La plupart des navigateurs
supportent les cookies et
permettent à l'utilisateur
de les désactiver.
Des options sont présentent afin d’activer ou de
désactiver les cookies
complètement, afin qu'ils
soient acceptés ou bloqués. Elles vous permettent de voir les cookies qui
sont actifs dans une page
donnée. Certains navigateurs
incorporent
un
gestionnaire de cookies
qui peut voir et supprimer
de façon sélective les
cookies
actuellement
stockés par le navigateur.
La plupart des navigateurs
récents
incluent
une
option pour supprimer
automatiquement
les
cookies persistants à la
fermeture de l'application.
Dans certains, le cookie
est facilement modifiable,
un simple éditeur de texte
comme le bloc-notes suffit
à changer ses valeurs
manuellement. Ils sont
enregistrés différemment
selon les navigateurs.
Internet Explorer enregistre chaque cookie dans
un fichier différent.
Mozilla Firefox enregistre
tous ses cookies dans un
seul fichier.
Opera
quand
à
lui
enregistre tous ses cookies dans un seul fichier et
le chiffre (impossible de
les modifier sauf dans les
options du logiciel).
Safari enregistre tous ses
cookies dans un seul
fichier d'extension .plist.
La
modification
est
possible mais très peu
aisée, à moins de passer
par les options du logiciel.
Cible
Votre adresse e-mail est
une cible. Si vous semez
votre adresse e-mail à
tout vent, vous vous
exposez aux risques du
spam et de la réception de
programmes malveillants.
Pour ce qui est du mot de
passe, un mot d'un
dictionnaire ou de 7
caractères est deviné
rapidement par un logiciel
spécialisé. Enregistrer un
mot de passe sur son
ordinateur évite de le
retaper à chaque fois. Un
navigateur
enregistre
votre mot de passe dans
un fichier crypté. Si un
pirate réussit à voler votre
fichier de mots de passe,
il aura tout son temps
pour les deviner grâce à
un logiciel de décryptage.
Il pourra par exemple se
connecter sur Internet
avec
votre
compte
d'accès.
Pour votre connexion,
plus vous restez connecté
longtemps, plus le risque
d'être la cible d'une
intrusion augmente.
Utiliser un logiciel de P2P
(téléchargements illégaux)
pendant
des
heures
augmente le risque.
Confort contre Sécurité
Sans contrainte la sécurité
est nulle, alors acceptez
d'abandonner un peu de
confort.
Passez à l'antivirus tous
les nouveaux fichiers
avant de les ouvrir.
Ne double-cliquez pas les
fichiers multimédias pour
les ouvrir (les programmes
malveillants
se
déguisent).
Evitez les animations
multimédias par email de
source
anonyme
ou
inconnue.
L'absence de sensibilisation
du
public
aux
problèmes de sécurité est
un facteur aggravant les
risques. Et la confiance
aveugle
envers
les
logiciels Internet et de
sécurité déresponsabilise
l'utilisateur.
Votre sécurité et votre
confidentialité en dépendent.
Page 5 sur 7
Cookies et autres
Petit rappel sur l’espionnage sur le web
On vous en avait parlé
lors
d’un
précédent
bulletin (N°2 avril 2011).
Voici les espions les plus
répandus
que
vous
pouvez rencontrer.
Le champion de l'espionnage, le spyware (logiciel
espion ou espiogiciel)
envoie à votre insu vos
informations personnelles
à un serveur distant, le
plus souvent à des fins
marketing ( sites visités,
liste de vos logiciels, vos
centres d'intérêts, etc ... ).
Un spyware est installé en
même temps qu'un autre
programme. L'ajout d'un
spyware dans un logiciel
est
interdit
par
un
amendement du Parlement
Européen
sans
l'accord préalable de la
personne
concernée,
l'installation d'un logiciel
doit explicitement signalé
la présence d'un espiogiciel et vous demander
votre accord.
Les adware
Cousins des spyware, les
adwares
sont
aussi
installés
avec
un
programme mais sont
inoffensifs. Réservés à
l'affichage de publicité, ils
permettent de financer
des programmes gratuits.
Malheureusement
des
accouplements
consanguins engendrent des
« spadware » qui remplissent les deux fonctions.
Le Social engineering
Il est très prisé par tout
pirate
informatique.
Il
consiste
à
usurper
l'identité d'une personne
de confiance pour obtenir
vos informations confidentielles (mot de passe,
numéro de carte bancaire)
ou vous faire installer un
programme malveillant sur
votre ordinateur.
Exemples : Un email
provenant soi-disant d'un
service auquel vous êtes
abonné, vous demande
de saisir vos pseudonyme
et mots de passe sous un
prétexte quelconque. Ou
un email de votre banque
vous demande de ressaisir votre numéro de carte
bancaire pour une raison
bidon en vous redirigeant
sur un site Web factice.
Autre, un soi-disant administrateur vous prévient
par e-mail que tel fichier
est
un
programme
malveillant à supprimer.
Quelques temps plus tard
vous recevez un second
e-mail vous expliquant
que le premier était un
canular, et vous joint un
fichier remplaçant qui lui,
est
un
programme
malveillant.
Les mouchards
Il existe un certain nombre
de mouchards dans votre
système d'exploitation et
certains logiciels Internet.
Ils peuvent être passifs :
les fichiers effacés ne le
sont pas réellement, ils
subsistent physiquement
sur votre disque dur pendant une durée variable,
voire indéfiniment.
Les mouchards actifs
enregistrent votre activité
(fichiers,
dossiers
et
applications
ouverts
depuis x temps, historique
des sites visités, etc ...).
Les keylogger
Installé par un troyen
(cheval de troie), un
logiciel keylogger enregistre vos frappes au clavier,
en particulier vos pseudonyme et mot de passe,
pour les envoyer ensuite à
un pirate.
« L'anonymat sur Internet
et les traces laissées par
des logiciels bavards »
Votre identité sur Internet
est votre adresse IP
(Internet Protocol). La
plupart
de
vos
interlocuteurs sur Internet
(site Web, correspondant
par email, ...) peuvent
obtenir facilement votre
adresse IP, et ainsi votre
FAI, votre pays, et votre
adresse postale partielle.
Vos navigateurs, programmes de messagerie et
autres lecteurs de news
laissent des traces : ils
divulguent automatiquement leur nom, leur
version et ceux de votre
système d'exploitation, et
parfois davantage suivant
le contexte. Ces informations techniques sont
utiles à un pirate pour
réussir une intrusion, une
déconnexion
ou
un
empoisonnement
par
email lourd à digérer,
pimenté au virus ou farci
au cheval (de Troie).
Page 6 sur 7
Cookies et autres
Web-bug et dérivés
Qui vous espionnent !
Des sociétés vous espionnent afin de constituer un
fichier de millions de prospects dans le but de démarcher par spam.
La technique !
Le tracking (traçage) par
web-bug. La pub agressive utilise le tracking ou
les cookies pour vous
profiler à votre insu.
La pub agressive sur
Internet (web-bug)
Elle se manifeste par email ou
affichage de
messages directs. Des
sites Web font appel à des
sociétés de pub pour
financer leur frais de
publication. Cette pub
agressive, provient d'autres sites que celui que
vous visitez. Pour faire
simple, quand vous allez
sur le site www.machin.fr,
des bandeaux de pub sont
affichés sur ses pages.
Ces
bandeaux
sont
affichés à partir du site
www.pubtruc.com (et pas
www.machin.fr).
Pop-up ou Pop-under
Les pop-up sont des
fenêtres qui s'ouvrent automatiquement dans votre
navigateur, au-dessus de
la page que vous demandez. Cette page contient
un programme qui déclenche l'affichage du pop-up.
Même en le fermant, il
peut réapparaître sur la
même page au bout de
quelques secondes ou en
changeant de page sur le
même site. C'est la forme
d'affichage de pub la plus
agressive.
Une forme par exemple
rectangulaire s'ouvre en
dessous de la page que
vous consultez : le popunder apparaîtra quand
vous fermerez la fenêtre
de votre navigateur.
Le but du tracking sur le
Web est de cerner un
profil-type de consommateur en fonction des sites
visités ou des informations
saisies dans des formulaires (centres d'intérêt) à
partir duquel des sociétés
vont pouvoir cibler de la
pub personnalisée dans
les bandeaux, les pop-up
ou pop-under.
Le spam
Un spam est une pub par
e-mail non sollicitée. Les
victimes du spam reçoivent des dizaines de pubs
par jour.
Après la collecte des
adresses e-mail, le spammer doit vérifier que
chaque adresse est encore utilisée. Les adresses
validées seront spammées en priorité.
La société de tracking sait
que votre adresse est
valide même si vous ne
cliquez nulle part, grâce à
un web-bug (alias trackbug), solution basée sur
l'envoi d'un spam personnalisé. C'est le premier
niveau de spamming, le
plus répandu.
Pub ciblée
Il est possible de cibler la
pub sur le Web ou par email en fonction de votre
profil en associant le
numéro vous identifiant
sur le Web (stocké dans
un cookie) et votre
adresse e-mail, saisie par
vous dans un formulaire
de n’importe quel site et
récupérée par la société
de tracking. C'est plus
intéressant
pour
elle
puisque le profil Web est
associé à une personne
physique et une adresse
e-mail. Elle va pouvoir
vous envoyer des spams
personnalisés. Du coup,
son fichier de prospects
prend
davantage
de
valeur. Si en plus elle
obtient vos coordonnées,
elle va pouvoir faire appel
à toutes les autres
techniques de démarchage commercial ou revendre son fichier à prix d'or.
La pub par affichage de
messages directs
Elle concerne les systèmes d'exploitation Windows NT/2000/XP dans
lesquels un "Service Affichage des messages"
(Messenger Service) est
installé par défaut, pour
recevoir des messages
d'un autre ordinateur,
affichés dans une fenêtre
pop-up. Ainsi une société
commerciale peut envoyer
directement une pub sur
votre ordinateur.
Pub Internet
supportable
La pub en bandeau est
très supportable à l'usage
et est utile aux webmestres amateurs pour financer leur frais de publication et une partie du
temps qu'ils passent pour
vous fournir gratuitement
une information à jour.
Animation vidéo en
flash
Les animations vidéo en
flash dans les pages Web
ne servent pas à l'espionnage mais peuvent sérieusement ralentir des ordinateurs pas très récents
avec très peu de mémoire
(mais pas très anciens
non plus). Nous avons
déjà vu des ordinateurs
quasiment bloqués par
une ou deux animations
flash,
essentiellement
sous
Windows
XP,
système d’exploitation qui
désormais n’est plus mis à
jour par Microsoft.
Cookies et autres
Page 7 sur 7
Pour conclure ce 26ème bulletin.
FGH Informatique
Gilles HUVET
2, rue Coutié
57070 Metz
Téléphone :
09 81 69 27 22
Mobile :
06 50 57 19 68
Adresse électronique :
[email protected]
Nous sommes sur le
web
Retrouvez-nous, à l'adresse :
C’est un fait. Il faut absolument être
protégé en permanence sur le net pour
éviter d'être infecté. Il est conseillé
d’utiliser un antivirus qui contient une
protection résidente, c'est à dire
permanente et un pare-feu. C'est la
base de la protection. Un PC sans
antivirus ni pare-feu tient en moyenne
12 minutes avant d'être infecté.
En revanche, il est inutile de devenir
parano pour autant : il ne faut jamais
installer plus d'un antivirus par PC
sinon risques de conflits.
Du côté navigateur, Mozilla Firefox
représente une bonne alternative à la
place d’Internet Explorer pas toujours
performant. Ce navigateur est plus
rapide, plus sécurisé et plus facile
d'utilisation. A noter que l'utilisation de
Firefox ne doit en aucun cas signifier la
désinstallation d'Internet Explorer qui
est nécessaire pour les scans en ligne
(antivirus, anti-trojan, etc...) et pour
certains sites particuliers (windows
update par exemple pour XP).
Coté mise à jour, il est fondamental
de mettre à jour régulièrement tous les
logiciels de protection que vous
possédez, notamment avant d'effectuer
un scan de votre PC. Ainsi, les
dernières menaces seront intégrées
dans vos logiciels afin de faciliter
l'éradication de nouveaux virus, trojans
et autres malwares.
Laissez votre ordinateur mettre à jour
Windows afin de corriger les dernières
failles qui ont été découvertes. Sinon,
vous encourez de gros risques
d'infection sur Internet. De plus, si vous
possédez encore Windows XP, nous
vous incitons très fortement à installer
le Service Pack 3 (SP3) si ce n'est
pas déjà fait. Sachez par contre que
Microsoft a abandonné l’assistance et
le suivi de ce système. En cas de
faille de sécurité, aucune correction
ne pourra être apportée afin de pallier
au problème.
Si vous avez le moindre doute,
n’hésitez pas à nous en parler.
En cas d’infection, nous pouvons
intervenir rapidement afin d’éliminer
toutes
traces
d’intrusion.
Bien
souvent,
quand
les
fichiers
malveillants sont présents en grand
nombre dans votre ordinateur, leur
suppression par logiciel de contreattaque ne suffit plus. Votre système
devient instable et trop pollué. La
base de registre (base de données
utilisée afin de faire fonctionner votre
système d’exploitation) peut être
endommagée. Seule la réinstallation
de ce système résoudra vos
problèmes.
Gardez un comportement prudent sur
le Web. C'est l'élément le plus
important : vous devez être prudent et
très attentif sur Internet. En effet,
Internet étant devenu un moyen de
communication mondial et très
important. De nombreuses personnes
malveillantes ont vu en Internet un
moyen cruel de piéger les gens...Ne
leur donnez pas ce plaisir et soyez
prudents. Ne consultez pas de sites
louches.
Vous êtes la protection majeure de
votre PC, de vous dépendra
énormément l'infection de votre
ordinateur, donc soyez vigilant !
www.fghinformatique.fr
Rendez-vous prochainement pour un nouveau
bulletin d’informations