CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés

CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés

Un feu d'artifices !

Avatar de l'auteur
David Legrand

Publié dans

Internet

28/01/2020 4 minutes
34

CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés

En cette journée mondiale pour la protection des données, attardons-nous sur un projet de la CNIL qui vient d'être mis à jour : CookieViz. Celui-ci permet de visualiser simplement les très nombreux services qui sont susceptibles de vous pister à travers les sites que vous visitez. 

Il y a quelques années, la CNIL mettait en ligne un outil permettant d'analyser quels services déposaient des cookies lors de la navigation des internautes sur un site. Le constat était alors sans appel : ils étaient parfois des dizaines, des centaines, même si aucun consentement n'avait été donné.

Depuis, de nombreuses extensions ont pris le relais dans les navigateurs. Kimetrak pour analyser les requêtes effectuées depuis un site bien entendu, mais également Ghostery (Mozilla/Hubert Burda Media) ou Privacy Badger (EFF). Et malgré l'entrée en vigueur du RGPD, les sites n'ont pas vraiment revu leur politique en profondeur. 

Les méthodes de pistage alternatives aux cookies se sont multipliées, allant du calcul d'une empreinte (fingerprinting) à des solutions parfois plus poussées, notamment pour cacher certains scripts. Éternel jeu du chat et de la souris

Une nouvelle version de CookieViz

La CNIL le sait, et semble se préparer à sa nouvelle salve de contrôle. Son laboratoire d'innovation numérique (LINC) a ainsi développé une nouvelle version de CookieViz. Cette v2 est actuellement en bêta, toujours open source, le code étant disponible sous licence GPLv3 via GitHub

Elle n'avait pas été remaniée en profondeur depuis 2016, les changements ont donc été nombreux. Elle est notamment bien plus simple à installer et à utiliser. Terminé le besoin d'installer des serveurs et autres outils d'analyse de trafic. Désormais, vous téléchargez un fichier compressé, vous le décompactez, vous lancez l'exécutable et c'est tout !

La promesse de CookieViz est la suivante : obtenir une « analyse des interactions entre un navigateur et des sites et serveurs distants. Vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations ». Concrètement, il affichera un petit graphique permettant de visualiser les requêtes effectuées depuis les sites que vous visitez et d'autres acteurs tiers, avec ou sans dépôt de cookie. Il passe pour cela par un navigateur embarqué.

Toujours des dizaines de cookies et de requêtes par site

Nous avons effectué un simple test en nous rendant sur trois grands sites de presse nationale français : Le Monde, Le Figaro puis Libération. Dès la première visite, on peut voir des dizaines d'acteurs graviter autour du logo du site alors que nous n'avons fait que naviguer sur sa première page sans donner le moindre consentement explicite.

  • CookieViz 2.0 - Dès la première visite
  • CookieViz 2.0 - Après trois sites seulement
  • CookieViz 2.0 - Zoom sur un acteur et détail des cookies

Même chose pour les deux autres sites qui étoffent encore un peu plus le maillage, certains acteurs étant présents de manière récurrente. Ainsi, ils pourront savoir que nous sommes passés d'un site à l'autre pour reconstituer une partie de notre navigation. C'est tout le principe des scripts de boutons sociaux qui sont parfois intégrés aux pages.

On peut décider d'un clic droit de se focaliser sur un acteur, de voir les cookies qui lui sont lié et leurs contenus. N'hésitez pas à faire vos propres tests et à partager vos découvertes au sein de nos commentaires.

Car CookieViz v2 permet désormais plus simplement de constater, si vous n'en étiez pas déjà convaincus, que la plupart des sites qui se disent « soucieux de votre vie privée » et n'hésitent parfois pas à critiquer les pratiques des grandes plateformes vous prennent pour des jambons sur le sujet. Graphique et données à l'appui.

Espérons que la CNIL, qui a laissé faire de nombreux sites pendant bien trop d'années déjà, s'en saisira rapidement. Ses nouvelles recommandations sont attendues sous peu. Les outils semblent prêts pour les enquêtes... avant les sanctions ?

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une nouvelle version de CookieViz

Toujours des dizaines de cookies et de requêtes par site

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (34)


Je viens de tester sur le monde.fr c’est toujours du bonheur à l’état pur ! Et dans une moindre mesure Ouest-France. A côté nextinpact fait figure de parent pauvre.


C’est flippant quand même <img data-src=" />


J’ai pas bien compris comment Kimetrak et CookieViz se complétait ou se marchaient sur les pieds.


Kimetrak regarde les nom de domaine des requêtes pour afficher le site. CookieViz regarde led cookie mis sur le navigateur.

Donc pas la même méthode de ciblage.


Et malgré tous ces éléments envoyés à droite et à gauche, la publicité (ciblée) que je reçois est toujours aussi archi basique, ne me rappelant que ce que je viens de voir sur des sites marchands.


Quand je pense que je peux passer quasiment 1 journée entière sur les sites que je crée pour installer des bandeaux et gestionnaires de cookies pour accepter/refuser 3 pauvres cookies et trackers, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent, je me dis que je suis bien c*n…&nbsp;<img data-src=" />



Sal*perie d’éthique que je me trimbale&nbsp;<img data-src=" />


Bon, je suis actuellement sous Lubuntu et le mode d’emploi ne me semble pas évident pour installer le bouzin. Un petit effort pédagogique ans vos articles SVP. Cela ne nuirait pas à votre réputation…


Cest quand même pas compliqué : https://github.com/LINCnil/CookieViz



“Assurez-vous d’avoir la plateforme logicielle node.js et git installés sur votre système”







Je suis un peu dans le même cas que toi ; est-ce que je peux te demander ce que tu mets comme texte d’acceptation des cookies quand il n’y en a pas…? Style “ce site n’utilise aucun cookie mais faut vous demander quand même ?” 😊

De toutes façons, ce genre de sites est très rares (à part les miens et ceux que j’ai produits, et encore…)








PtiDidi a écrit :



Cest quand même pas compliqué





Mme Michu n’est pas d’accord avec toi.



Je viens de me rendre compte que je n’avais pas utilisé la voie de la facilité <img data-src=" />


Et il y a encore plus simple,





  • télécharger le zip (en dépliant Assets)

  • extraire l’archive

  • lancer CookieViz via le terminal ( ./CookieViz si tu es dans le repertoire extrait)








Firefox, pour commencer.

Plugin NoScript ensuite. Chiant au début, mais ça vaut le coup. Par exemple, je ne savais pas qu’il y avait des pub partout sur Boing Boing. C’est en envoyant un lien à un collègue que je l’ai appris : il m’a engueulé !

Et pour parfaire le tout : PiHole. Au début, sur un Raspberry Pi (mais la µSD m’a lâché), puis dans une VM sur mon FW Debian. Super efficace pour tous les trucs connecté à la maison. Beaucoup de pub YouTube deviennent littéralement transparentes (celle dans les pavés en bas, a milieu). Dans certaines applis Android, on sent la recherche de pub, et puis, et puis … Rien ! Cool !



Par contre, cette histoire de CookieViz, hum … OK j’ai pas lu 100 % de l’article. Mais j’ai vu dans un commentaire plus haut : npm. Hein ? npm ? Du NodeJS ? Pour moi, ça schlingue …


npm, c’est uniquement si tu veux lancer depuis les sources, si tu utilises le package compilé, tu n’en as pas besoin



En fait, ca lance un navigateur et ca graph les interactions de ce navidateur. Je ne sais pas s’il aurait été possible d’écrire un plugin pour FF, j’aurais trouvé ca plus pertinent en tous cas.


Je suis pas un expert donc demande confirmation mais s’il n’y a pas de cookie, tu n’as pas besoin de mettre de bandeau.

De même, si le cookie ne sert qu’à la connexion/session de l’utilisateur, le bandeau n’est pas nécessaire.


Sous Firefox j’utilise µBlock Origin en permanence, sans vraiment savoir ce qu’il fait.

Or l’appli CookieViz utilise son propre navigateur sans aucun dispositif de filtrage.

Est-il possible de voir par cette appli ou une autre ce que µBlock laisse passer?


Comme dit dans l’article quoi ;)


, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent…



…et ça le restera, TANT qu’il n’y aura pas d’amendes (bien salées) ‘pour-non-respect du RGPD’ ! <img data-src=" />


Tiens j’en profite pour jeter une bouteille à la mer.



Y’a t’il un bon plugin wordpress pour faire de l’acceptation de cookie ?


Je le comprends comme PtiDidi, si ce sont les cookies strictement nécessaires au site (e.g., connexion au compte) ou si le site n’a carrément pas de cookies, pas besoin de bandeaux

(cf. https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi)


Bonjour à tous,

&nbsp;

Savez-vous à quoi correspondent les services reliés au site principal par un trait gris “Requête sans cookie” ?&nbsp;



Merci beaucoup


ça doit être le chargement d’une ressource externe, comme une image ou autre








AncalagonTotof a écrit :



[…]Et pour parfaire le tout : PiHole. Au début, sur un Raspberry Pi […] puis dans une VM […]





WoW ça m’intéresse bien ce que tu dis, c’est facile d’installer PiHole sur autre chose qu’un RPI ? Je l’utilise à la maison, mais pour le boulot ça me tenterai bien !









vizir67 a écrit :



, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent…



…et ça le restera, TANT qu’il n’y aura pas d’amendes (bien salées) ‘pour-non-respect du RGPD’ ! <img data-src=" />



Perso, je milite pour le rétablissement du bagne de Cayenne plutôt que des amendes.

Et si les responsables en ressortent, ça les dissuadera surement de recommencer.




Pour faire simple, j’utilise Privacy Badger ET Ghostery, en supplément de uBlock Origin & Behind the Overlay.

&nbsp;En supplément, j’utilise les containers de Firefox pour isoler les compte FB, Google, etc


Merci. J’avais vu, mais sur Github, pas dans l’article.

&nbsp;Sinon, mon Lubuntu est 32 bits, donc cela ne sera sur cet ordinateur, si je n’ai pas lu trop vite.


J’utilise également Privacy Badger, le pire que j’ai trouvé c’est le Gorafi, 45 traceurs signalés par Privacy Badger.


Cela n’empêchera rien. Le prix des brouilleurs 4G les réservent à la métropole. Le reste est parti en fumée… euh fusée. <img data-src=" />


On pourrait ainsi mettre en place un système bio-compatible : le condamné est expédié dans l’espace puis recyclé par le CNRS qui organisera des soirées Gravity Loft my way avec Igor et Grichka. Les télégrammes seront facturés un pognon de dingue et sans l’accord de la CNIL.

Ainsi le Bagne 5.0 sera né. <img data-src=" />




mon Lubuntu est 32 bits, donc cela ne sera sur cet ordinateur





Ça fonctionne aussi sur ta version 32 bits. Pour ça, il faut télécharger CookieViz.2.0.0b.linux.x86.zip


Igor et Grichka ?

Ptain, c’est le bagne, rien que de les voir <img data-src=" />


Bravo NextInpact ! <img data-src=" />

&nbsp;Sur votre site on a l’impression que CookieViz ne marche pas tellement vous respectez vos lecteurs


<img data-src=" />