Les révélations successives autour des documents d’Edward Snowden sur l’ensemble des activités de surveillance aux États-Unis ont déjà largement échaudé les esprits. La NSA en particulier a vu nombre de ses méthodes révélées. On apprend désormais que l’agence de sécurité se sert de tous les outils en sa possession, même les plus basiques, tels que les cookies laissés par la navigation sur le web.
Crédits : Jef Pearlman, licence Creative Commons
Les méthodes classiques de suivi ne sont pas boudées
La NSA (National Security Agency) est la principale force de sécurité intérieure aux États-Unis. Si sa mission est avant tout la sécurité du pays, elle possède de nombreuses attributions dans la lutte contre le terrorisme, en particulier depuis les attentats du 11 septembre 2001. La NSA use de nombreuses méthodes pour obtenir des données, tissant de larges filets et récupérant des informations variées telles que les métadonnées des communications, des carnets d’adresses, des positions géographiques et ainsi de suite. Autant d’actions qui ont suscité l’indignation du grand public, des entreprises high-tech (en dépit d’un degré de participation inconnu) ou encore de la classe politique.
La NSA dispose de méthodes très élaborées pour obtenir les informations qu’elle vise. Cependant, à la faveur d’un nouvel article sur le Washington Post, on apprend que l’agence utilise également des techniques plus classiques, en l’occurrence les cookies. Les analystes se serviraient ainsi surtout de ceux laissés par Google dès qu’un internaute visite l’un des services de la firme : la recherche, Gmail, YouTube, etc.
Une phase de collecte, une phase d'action
Contrairement à d’autres moyens utilisés, faisant appel par exemple à un système de requêtes sur de grandes bases de données, la traque par les cookies ne serait mise en place qu’après qu’une cible a été clairement identifiée. Ces cookies, nommés « PREF », ne contiennent pas de données personnelles telles que des adresses email ou encore le nom de l’internaute. Cependant, ils rassemblent d’autres informations qui permettent de définir de manière quasiment unique une machine. Or, le suivi de la machine est parfois plus important que celui de son utilisateur.
Cette technique, utilisée aussi bien par la NSA que son équivalent anglais, le GCHQ (Government Communications Headquarters), a d’autres bénéfices. Ainsi, un ordinateur particulier peut être repéré avec efficacité dans l’immensité d’internet grâce à cette signature unique trouvée dans les cookies de Google. De plus, ce repérage sert d’étape préparatoire avant de passer à l’action : le piratage de la machine. Les documents consultés par le Washington Post montrent que les cookies sont utilisés activement pour « permettre des exploitations distantes » mais n’indiquent en revanche pas les mécaniques d’attaque elles-mêmes.
Les cookies encore une fois au centre d'une polémique
Interrogée par le journal, Google n’a pas souhaité commenter ces informations. Cependant, certains documents dérobés par Edward Snowden suggèrent que la NSA doit impérativement réclamer un mandat, comme le stipule la loi FISA (Foreign Intelligence Surveillance Act). Pour le Post, de fait, la relation est simple : si un mandat est obligatoire pour accéder aux cookies, l’entreprise impliquée est nécessairement au courant, et tenue légalement d’aider la NSA dans son travail si nécessaire. Cela n’a pas empêché d’ailleurs Google de rejoindre récemment une initiative de plusieurs grosses entreprises pour dénoncer les pratiques du gouvernement et du monde du renseignement, en appelant notamment à plus de transparence.
Les informations révélées par le Washington Post sont d’autant plus intéressantes qu’elles concernent les cookies. Ces petits fichiers ont déjà été au centre de plusieurs polémiques, mais un sujet en particulier a grandi ces dernières années : le tracking. Il s’agit du suivi d’une session de navigation qui peut être fait par certains sites pour connaître les habitudes des internautes. Dans le monde de la publicité, cela permet aux annonceurs d’afficher des contenus plus précis, comme une promotion sur un hôtel à Séville si vous avez surfé pour préparer un voyage en Espagne.
De petits fichiers décidément trop bavards
Or, il s’agit ici précisément de la même chose : suivre à la trace les actions accomplies par un navigateur donné sur une machine précise. Une technique utilisée par la division Special Source Operations, en charge de faire le lien avec les entreprises impliquées dans les enquêtes, quand leur concours est requis. Les informations trouvées par la SSO sont transmises à une autre division, nommée Tailored Access Operations, qui s’occupera alors de la mise en place des actions de piratage des machines visées. Notez que ces informations sont également envoyées au GCHQ anglais.
On remarque donc une réelle proximité dans les méthodes utilisées par les agences de sécurité et celles de publicité. Après tout, des techniques utilisées par des entreprises privées sont nécessairement accessibles aux analystes de la NSA. Un lien souligné par le professeur Ed Felten de l’université de Princeton : « Cela montre un lien entre le type de suivi réalisé par les sites web à des fins analytiques et publicitaires et les activités d’exploitation de la NSA. En rendant eux-mêmes possibles le suivi analytique et publicitaire, certains utilisateurs se rendent plus vulnérables à l’exploitation ».
Il n'y a qu'à tendre la main
En outre, la NSA peut profiter indirectement d’autres données rassemblées par des entreprises tierces. C’est le cas en particulier, via un programme nommé Happyfoot, des informations de géolocalisation utilisées par les applications de messagerie. Les positions sont relevées parfois à des fins publicitaires et, là encore, l’agence peut récupérer ces informations pour obtenir une carte des emplacements des appareils mobiles. Une information qui recoupe des articles récents sur la capacité de la NSA à rassembler plus de cinq milliards de positions géographiques par jour.
L’article du Washington Post vient à la fois alimenter les débats autour des activités du renseignement américain et du suivi publicitaire. Ce dernier a grandi au fil des ans, notamment à travers les discussions autour de la fonction Do Not Track qui permet, au sein des navigateurs, de désactiver ledit suivi. Cependant, les négociations se passent mal, surtout au W3C où un standard est en difficile gestation. Et pour cause : les publicités ciblées rapportent davantage que les génériques.
Les cookies pourraient être largement révisés
Quelles solutions apporter à ce fameux tracking publicitaire ? Le professeur Felten note essentiellement quelques idées « simples ». D’une part, les données stockées dans les cookies pourraient subir une nouvelle couche d’anonymisation, pour supprimer notamment toute référence unique capable de permettre un suivi trop précis de la machine. D’autre part, la communication des informations aux sites à des fins analytiques pourrait se faire de manière chiffrée. Notez à ce sujet que le chiffrement des données est plus que jamais à l’ordre du jour, surtout après les annonces de Google, Yahoo et Microsoft dans ce domaine. Enfin, il recommande aux éditeurs de navigateurs d’opérer des modifications afin que la génération des cookies se fasse sur une base plus saine.
Globalement, ces nouvelles révélations renvoient surtout à l’exploitation de données générées par la volonté d’entreprises privées. Un phénomène qui a pris de l’ampleur avec l’explosion des services « gratuits » où les habitudes de l’utilisateur deviennent une source précieuse d’informations pour vendre de la publicité.
Commentaires (54)
#1
Je pensais que les navigateurs limitaient l’accès aux cookies au domaine qui les a créés ?
Du coup comment la NSA fait pour les lire ?
#2
Elle demande à Google …
#3
ça me fait penser à la ville “déconnectée” et sans robot du film “Clone”. Ils font tellement chier à tout surveiller qu’il va falloir se planquer dans le Larzac pour vivre peinard…
#4
Sinon pour ceux qui ne l’aurait pas déjà vu : NSA Cloud Backup
#5
#6
#7
Mais du coup PCImpact incognito ça sert à rien ?! " />
( " /> )
#8
#9
#10
#11
j’ai vu un bout de reportage sur les techno du futur… ben ça ne donne pas envie…tu regardes à la TV une série, pouf un petit encart en bas à droite, tu cliques sur OK et te voilà l’heureux possesseur du coffret de la série.
Tu lis un magazine, avec tes lunettes (type google glass), on te propose d’acheter le dernier DVD/CD de la chanteuse en couverture. Et comme ça à la pelle : en gros : à chaque respiration une proposition de consommation. Vous avez vu Wall-E? Ce sera bientôt réalité (les gens dans le vaisseau spatial).
Au secours!!!!!
#12
#13
#14
#15
#16
#17
#18
Ca me fait un peu marrer la posture de vierge effarouchée des boîtes US : genre ce n’est pas comme si elles ne filaient pas tout au NSA et qu’elles n’y trouvaient pas leur compte hein… car la NSA espionne pour lutter contre le terrorisme, mais aussi à des fins de défense de leur économie… et si ça ce n’est pour faire plaisir aux boites US …
Donc le coup du “ho mes clients, voyons, faut pas les espionner… enfin ça dépend, si ça me permet de leur refourguer plus de matos… je ne dis pas non, mais chut hein, on fait comme si ça me dérangeait, ok?
#19
#20
#21
#22
#23
Si ça se trouve c’est une boutade, c’est-à-dire que le mode : “Indiquez aux sites web que je ne souhaite pas être pisté” fait l’inverse en fin de compte !
" />
" />
#24
#25
#26
#27
bon les mecs, Mar_lard a appelé, elle est vénèr là " />
#28
#29
#30
#31
#32
#33
#34
#35
" /> Shocking! Les outils d’espionnage à bus commerciaux servent aussi à l’espionnage-tout-court?
Les gentilles entreprises m’auraient mentis ? Elles ne violeraient pas juste ma vie privée sans mon consentement pour faire de l’argent (ce qui est tout à fait honorable, comme l’Oncle Sam me l’a appris)…. mais pour espionner-ma-vie-privée-tout-court?
Et moi qui me moquait des gens qui utilisent no$cript / adBlock / etc " />
#36
#37
Étrange discussion sous une news NSA…
Surement un langage codé pour mieux brouiller les pistes. " />
#38
#39
#40
Un coup de fil de la maison et c’est parti pour des heures de tracking…
" />
#41
#42
Installez cookiemonster sous Firefox enpprenant soin de le configurer pour qu’il refuse les cookies par défaut
#43
Et quelle différence avec le blocage de cookie natif à Firefox??
#44
Enfin, il recommande aux éditeurs de navigateurs d’opérer des modifications afin que la génération des cookies se fasse sur une base plus saine.
Firefox prend acte, mais MS et Google sifflotent en regardant le plafond.
#45
#46
#47
sympa " />
#48
#49
#50
" /> Faut arrêter avec la diabolisation des cookies.. Tout ceci n’a rien à voir.. Ce qui est important c’est ce qui est sur les serveurs.. Je suis encore bien heureux de pouvoir supprimer mes cookies quand je le veux..
Si demain ils n’ont plus les cookies pour nous identifier (comme c’est déjà le cas in-app sur mobile), le fingerprint ou d’autres techniques d’identification unique prendrons le relais..
La différence ? Ces données là, on ne peut pas les supprimer d’un simple clic..
Donc quand on dit “boouh la NSA utilise le tracking publicitaire blabla” tout ce qu’elle fait c’est demander à Google.. qu’ils utilisent des cookies ou non n’est pas le souci..
#51
#52
#53
#54
(1) album n° 31 et 32 de la série bd “les petits hommes” de Séron : “Tchakakhan” (1995) , “Melting-pot” (1996 ).