Thomas Dunning a déclaré: "À 300 pour cent [de profit], il n'y a aucun crime qu'il [le capital] ne risquerait pas, même si ce n'est que sous peine de potence." Ces paroles, prononcées au XIXe siècle, sont toujours d'actualité. Les entreprises qui font des affaires sur Internet inventent des moyens toujours plus sophistiqués d'espionner les utilisateurs.
L'histoire des cookies a connu plusieurs scandales liés aux violations de la vie privée, le travail des navigateurs avec eux a progressivement changé et, semble-t-il, est finalement entré dans un canal civilisé. Nous avons appris à protéger nos données et il est devenu relativement sûr de manger des cookies.
Mais ensuite, les supercookies sont arrivés - une chose assez collante qui ne peut littéralement pas être contournée.
En fait, des supercookiespas une technologie spécifique, mais un nom général pour divers moyens de collecte et de stockage d'informations privées, qui fonctionnent secrètement en contournant les restrictions connues. Voyons ce que sont les supercookies, comment ils collectent exactement nos données et comment nous en protéger.
Comment la naïveté des développeurs a créé les bases de la collecte de données personnelles
L'idée de stocker les données du site localement est née à l'aube même d'Internet. Au départ, les technologies de cookies poursuivaient des objectifs extrêmement bons, mais, comme la plupart des protocoles et technologies, elles ont été créées par des idéalistes qui ne se soucient pas vraiment de la sécurité, qui ne peuvent tout simplement pas imaginer l'ampleur réelle du développement du réseau à l'avenir.
Ces problèmes ont commencé lorsque les ordinateurs étaient gros et que les programmeurs étaient quelque peu naïfs. Par exemple, l'une des vulnérabilités des réseaux cellulaires est née de la même raison de naïveté: la peur et la terreur de SS7 .
Aussi avec des cookies. L'idée de se souvenir des produits que l'utilisateur a ajoutés au panier, de ne pas l'obliger à entrer un mot de passe chaque fois qu'il visite la page, de se souvenir de l'apparence du site, etc., est excellente. Qu'est-ce qui pourrait mal se passer?
Les statistiques sont une friandise pour la publicité. Informations sur les utilisateurs, leur comportement sur les sites, leurs préférences dans le choix des produits, le temps passé sur la page. Les hommes d'affaires sont prêts à tout pour le plaisir, et la stratégie publicitaire est construite en fonction de cela.
La première alarme a été déclenchée en 1996. Quelques années seulement après l'introduction du cookie, le Financial Times a publié un article dans son journal sur la menace pour la vie privée:
Les enquêtes menées en 1996 et 1997 par la Federal Trade Commission des États-Unis ont abouti à une spécification de cookie. L'une de ses dispositions était que les cookies tiers devraient soit être complètement bloqués, soit du moins ne pas fonctionner par défaut.
Outre la possibilité de surveiller secrètement les actions des utilisateurs, les premières versions présentaient d'autres inconvénients. Par exemple, ils pourraient être interceptés et remplacés, puis utilisés pour entrer sur le site avec le mot de passe d'un autre utilisateur. Au cours de l'évolution du travail avec les cookies, plusieurs directives ont été émises qui renforcent la politique d'utilisation des cookies, par exemple: limiter la durée de leur fonctionnement.
Par la suite, les cookies ont été assimilés à des données personnelles et ont progressivement resserré les exigences de collecte d'informations sur les utilisateurs, jusqu'à la décision la plus ridicule et la plus ennuyeuse: une notification contextuelle indiquant que des cookies sont utilisés sur le site et une offre pour accepter ce fait. Cela a rendu tout le monde si mauvais que certains navigateurs ont inclus la possibilité de supprimer ces bannières dans leurs paramètres, et plusieurs extensions ont été écrites pour bloquer les avertissements ennuyeux.
Comment Flash-Supercookie a collecté les données personnelles
Les supercookies étaient initialement désagréables et potentiellement dangereux. Contrairement aux cookies classiques, leur source ne provenait pas d'une adresse de site spécifique, mais d'un domaine de niveau supérieur. Par exemple, au lieu de se lier au site habr.com, un fichier cookie a été attribué au nom de domaine com et pourrait contrôler le travail de l'utilisateur avec tous les sites de cette zone de domaine. Cette possibilité était si évidente qu'elle a été bloquée par les navigateurs dès le début. Mais, lorsqu'il y avait des moyens de stocker des informations privées par d'autres moyens, ce nom était mémorisé et il restait.
Pendant très longtemps, la capacité à fournir une interaction sophistiquée sur un site Internet (montrant des vidéos, des bannières animées et des jeux par navigateur) était presque exclusivement possible avec l'aide de la technologie Flash. Le notoire Adobe Flash Player a lourdement chargé le processeur, n'a pas permis de capturer correctement les erreurs qui se sont produites, ce qui a provoqué le crash et le ralentissement du navigateur. De plus, le moteur contenait de nombreuses vulnérabilités qui ont été exploitées sans merci par des attaquants de tous bords.
Les entreprises commerciales n'étant pas très différentes des scélérats dans le choix des moyens, elles n'ont pas hésité à utiliser les capacités du flash pour collecter des informations sur les utilisateurs. Pour cela, une technologie appelée " Local Shared Objects"(LSO, Objets partagés locaux). Il était à l'origine destiné, par exemple, à enregistrer la progression dans un jeu flash sur navigateur ou à régler le volume dans un lecteur audio. Les LSO sont disponibles à partir de différents navigateurs car ils font référence à un lecteur Flash. Avec leur aide, les cookies http ordinaires peuvent être restaurés si l'utilisateur les a supprimés, et à l'intérieur des LSO eux-mêmes, vous pouvez stocker de nombreuses informations collectées sur l'utilisateur de l'ordinateur.
Pendant longtemps, cette technologie n'a pas attiré l'attention des professionnels de la sécurité, mais en 2009, Jeremy Kirk a publié son étude sur les problèmes de confidentialité: Etude: les cookies Adobe Flash posent des questions de confidentialité épineuses... Peu à peu, des extensions tierces ont commencé à apparaître pour contrôler et supprimer les cookies Flash, mais les fabricants de navigateurs maladroits et Adobe n'étaient pas pressés de remarquer ce problème. Ce n'est qu'en 2011 que les navigateurs traditionnels ont appris à utiliser ces cookies de la même manière qu'ils le font avec les cookies classiques.
Mais à la fin, le lecteur Flash qui fuit et qui se déplace lentement a finalement attiré tout le monde, et HTML5 est devenu assez répandu, ce qui a permis de se débarrasser complètement de la technologie Flash. Ils l'ont tué pendant longtemps et douloureusement, la société de fabrication a très lentement abandonné son idée originale. En 2012, Adobe a promis de mettre fin au support de la technologie d'ici une dizaine d'années. En 2017, la date limite pour supprimer le lecteur flash du site a été annoncée - décembre 2020. Ces trois années, selon l'entreprise, ont été nécessaires pour que les développeurs adaptent leurs sites au HTML5. Il y a un mois, cette période a pris fin et des avertissements ennuyeux selon lesquels le plug-in, finalement et irrévocablement, est supprimé de partout, ont commencé à apparaître dans tous les navigateurs, bien que l'on ne sache pas pourquoi en informer les utilisateurs.qui ne sont pas particulièrement intéressés par les subtilités de la structure interne des sites.
À ce sujet, le sujet des cookies flash peut être considéré comme complètement épuisé.
Les super-cookies basés sur ETag , l'un des identifiants de l'en-tête HTTP qui répond à la demande, que la version actuelle de la ressource diffère de celle chargée, fonctionnaient à peu près de la même manière . Ces cookies ont été découverts à peu près au même moment que Flash-Supercookie et, après un procès en 2011, étaient relativement rares.
HTTP Supercookie: Comment Verizon et Access vendent des données en silence
Flash n'est pas le seul moyen d'espionner les utilisateurs grâce aux cookies.
Ces deux histoires de collecte de données et de commerce étaient possibles du fait que les utilisateurs ordinaires ne comprenaient pas vraiment les subtilités de la technologie. Les spécialistes de la sécurité ont sonné l'alarme avec diligence, mais ils n'ont pas été écoutés et pendant très longtemps, peu d'attention a été accordée à la confidentialité de la connexion HTTP.
Le protocole HTTP sans cryptage SSL existe depuis très longtemps: les certificats SSL étaient payés, parfois pas bon marché du tout (certaines entreprises les vendaient plus de 100 $). La deuxième raison est la complexité d'utilisation. C'est maintenant que le certificat est installé et mis à jour en exécutant un script, et avant que Mozilla ne lance son initiative Let's Encrypt, tous les administrateurs n'ont pas jugé nécessaire d'apprendre à installer SSL.
Mais entre-temps, les FAI exploitaient et vendaient la possibilité de suivre les utilisateurs via HTTP aux annonceurs.
Cela a fonctionné de manière assez sophistiquée. Lorsqu'un utilisateur visitait le site, son fournisseur insérait des informations spéciales dans l'en-tête HTTP: UIDH (Unique Identifier Headers), unique pour chaque utilisateur, qui permettait d'identifier de manière totalement unique l'ordinateur ou le smartphone à partir duquel la page était ouverte. Pour une telle opération, la technologie DPI sensationnelle a été utilisée .
Le problème était que l'utilisateur n'a pratiquement aucune influence sur ce processus, car tout se passe du côté du fournisseur d'accès Internet. L'ID est intégré après que la demande quitte le navigateur sur le chemin du site.
Les informations de ce super cookie ne sont pas stockées localement et ne peuvent donc pas être supprimées. Les bloqueurs de publicités ne peuvent rien faire non plus. En plus de l'adresse du site vers lequel se rend le navigateur et de l'heure de la demande, UIDH peut transmettre des informations sur le numéro de téléphone mobile à partir duquel l'utilisateur surfe sur Internet, l'heure de la demande et d'autres données.
Le scandale le plus célèbre impliquant cette méthode de suivi des utilisateurs concerne Verizon, un fournisseur de téléphonie mobile américain. Verizon a commencé à utiliser UIDH en 2012 pour diffuser des publicités personnalisées, échangeant activement les données personnelles de ses clients. Ce n'est qu'en 2014 que la société a admis publiquement ce fait, enterrant la mention en profondeur dans les questions-réponses sur son site Web. Néanmoins, cela a été remarqué, et une vague de critiques est tombée sur Verizon pour une attitude aussi impudique envers ses utilisateurs. En 2015, la société a été obligée d'ajouter un paramètre au compte personnel de l'utilisateur pour désactiver l'utilisation d'UIDH pour ses appareils, et en 2016, il a finalement été terminé. La FCC a condamné la société à une amende de 1,35 million de dollars.
Hélas, Verizon n'est pas seul.
La société Access a créé un site Web spécial Amibeingtracked.com (adresse actuelle: www.accessnow.org/aibt/ ) et a commencé à analyser les en-têtes HTTP des utilisateurs de téléphones mobiles qui ont accepté de tester. Il s'est avéré que 15,3% des demandes contenaient des super cookies. Des utilisateurs du monde entier ont participé à la participation. Il s'est avéré que presque tous les grands opérateurs mobiles ont suivi leurs utilisateurs de cette façon.
On soupçonne que Verizon a reculé uniquement parce que cette méthode a cessé d'être pertinente en raison de l'adoption généralisée de SSL, que j'ai mentionnée ci-dessus. Et le montant ne semble pas impressionnant par rapport aux récentes amendes antitrust, où la facture s'élève à des centaines de millions de dollars. Il est probable que Verizon ait fait beaucoup plus d'argent grâce aux ventes de PD.
En outre, il convient de noter que non seulement les sites fonctionnant sur le protocole HTTPS sont capables de se protéger contre une telle surveillance, mais aussi de surfer via un VPN. Dans ce cas, le fournisseur ne peut pas non plus remplacer UIDH. Les deux méthodes de protection sont pertinentes, et les verrous de tapis récents ont enseigné de nombreuses connaissances en informatique, et beaucoup de gens ont appris le VPN.
HSTS-Supercookie: Pourquoi SSL ne nous sauvera pas
Il semblerait que le cryptage devrait fournir une protection contre les écoutes clandestines, mais il s'est avéré que ce n'est pas une garantie de confidentialité. La méthode suivante est purement académique, peu pratique et est une démonstration de la sophistication de Sam Greenhalgh de Radical Research, qui a démontré ce mécanisme en 2015.
Il est basé sur le fait que pour chaque site dans le navigateur, il existe une variable booléenne spéciale qui stocke l'état de la façon dont l'utilisateur est entré sur le site: via HTTPS ou HTTP. Par exemple, la dernière fois qu'un utilisateur a visité le site habr.com via HTTPS, et le site flibusta.is - via HTTP (hélas, cela est désormais pertinent en raison de la lenteur des administrateurs de la bibliothèque). Le navigateur aura des données comme ceci:
habr.com: 1;
Et flibusta.is ne sera pas mentionné dans la base de données HSTS.
Ainsi, vous pouvez enregistrer plusieurs domaines de la forme: 00-hsts-supercookie.net, 01-hsts-supercookie.net, 02-hsts-supercookie.net, 03-hsts-supercookie.net.
Rédigez ensuite un script qui, lors de votre entrée sur votre site, générera des appels aux "cookies" selon un modèle unique pour chaque utilisateur, formant un tableau avec des valeurs du formulaire dans la base de données HSTS de son navigateur:
00-hsts-supercookie.net: 1; 02-hsts-supercookie.net: 1;
Et puis lire les données pour les "cookies", en remplaçant 0 pour les sites qui ne sont pas dans la base de données. Dans cet exemple sera formé le numéro 1010. Si vous enregistrez deux ou trois douzaines de sites, alors des identifiants uniques suffiront pour les fournir en général à tous les abonnés qui, théoriquement, peuvent accéder au site.
Pour être honnête, il convient de noter que les développeurs de navigateurs ont réagi à ces informations et que les cookies sont désormais effacés avec les données de ce tableau. Mais en plus de ce drapeau, les navigateurs modernes stockent beaucoup d'autres informations, qui seront discutées ci-dessous.
HTML5-Supercookie
Les progrès avancent, HTML5 a conquis Internet en toute confiance, Flash a été tué, les capacités de la nouvelle norme vous permettent de créer des miracles sur des pages auparavant inaccessibles. Mais Internet est-il devenu plus sûr? Malheureusement non.
Toutes ces technologies fournissent de nombreuses informations grâce auxquelles une "empreinte numérique" unique du navigateur peut être formée.
Si vous visitez des sites modernes, vous utilisez les capacités de HTML5, ce qui signifie que des informations sur: l'agent utilisateur, la taille du canevas, la résolution de l'écran et la profondeur de couleur, les polices système et bien plus encore, seront transmises au site afin de le rendre adéquatement. dans le navigateur ... De plus, la norme HTML5 vous permet d'enregistrer des données dans Localstorage, un stockage spécial qui n'est pas disponible pour l'utilisateur via le menu habituel pour effacer les cookies, l'historique des visites ou le cache du navigateur.
Vous pouvez voir tout ce que le navigateur envoie au site à l'adresse www.deviceinfo.me . Essayez d'entrer - la quantité d'informations est impressionnante!
Il existe également des sites qui comparent toutes les informations transmises et calculent à quel point votre appareil est unique parmi tant d'autres. Par exemple, je suis allé sur coveryourtracks.eff.org , le site promu par une organisation à but non lucratif de défense des droits de l'homme Foundation Electronic Frontier (Electronic Frontier Foundation, EFF) et j'ai constaté que:
Vos résultats L'
empreinte digitale de votre navigateur semble être unique parmi les 300 802 testés au cours des 45 derniers jours.
Actuellement, nous estimons que votre navigateur a une empreinte digitale qui transmet au moins 18,2 bits d'informations d'identification.
Les mesures que nous avons utilisées pour obtenir ce résultat sont énumérées ci-dessous. Vous pouvez en savoir plus sur notre méthodologie, nos résultats statistiques et certaines défenses contre les empreintes digitales ici.
En théorie, on pense que vous pouvez légèrement réduire l'unicité du navigateur en utilisant un proxy ou un VPN et un mode navigateur privé. Hélas, cela ne m'a pas beaucoup aidé, les résultats obtenus dans l'onglet privé via le VPN intégré à Opera, ont donné presque les mêmes résultats:
Vos résultats L'
empreinte digitale de votre navigateur semble être unique parmi les 300 854 testés au cours des 45 derniers jours.
Actuellement, nous estimons que votre navigateur a une empreinte digitale qui transmet au moins 18,2 bits d'informations d'identification.
Les mesures que nous avons utilisées pour obtenir ce résultat sont énumérées ci-dessous. Vous pouvez en savoir plus sur notre méthodologie, nos résultats statistiques et certaines défenses contre les empreintes digitales ici.
Bien qu'un appareil sur trois cent mille se trouve dans la mer, où flottent des centaines de millions de smartphones et d'ordinateurs de bureau, il y a un endroit où se cacher.
Cache-Supercookie: un moyen sophistiqué d'authentifier un utilisateur via un cache
Une autre façon d'espionner un utilisateur est l'utilisation sophistiquée des informations mises en cache. Certains sites utilisent les mêmes images sur leurs pages, les navigateurs économisent de l'espace disque et de la bande passante en mettant les données en cache. Une image ou une police est téléchargée une fois, puis elle est chargée à partir du stockage local. La technologie est aussi ancienne que l'Internet, mais même alors, il y avait un moyen de distinguer un utilisateur d'un autre.
Par exemple, un tracker encode un ID unique dans une image mise en cache à partir d'un seul site. L'autre utilise la même image et le traqueur extrait l'ID de l'image mise en cache lorsque l'utilisateur visite le deuxième site.
Vous pouvez lutter contre ces super-cookies en séparant les caches pour différents sites. Il y a une semaine, l'équipe Firefox rapportaitqu'ils ont inclus ce mécanisme dans la version 85 du navigateur. La quantité de données mises en cache augmente, mais il devient plus difficile de suivre l'utilisateur.
Quels types de cookies recevrons-nous à l'avenir?
Toute cette lutte semble être juste, la vie privée est quelque chose que dans le monde moderne, ils essaient de nous arracher par tous les moyens. Les caméras connectées aux services de reconnaissance de visage et de plaque d'immatriculation sont depuis longtemps une réalité, elles attrapent les criminels et émettent des contraventions pour excès de vitesse. Le DPI pour les opérateurs mobiles façonne le trafic des quelques clients torrent restants et réduit leur bande passante afin qu'ils n'interfèrent pas avec les autres qui regardent des vidéos YouTube. Sites "interdits" bloqués.
On m'a récemment raconté comment, dans une petite ville russe, avec l'aide de caméras de surveillance, ils ont attrapé un groupe de gopniks qui s'amusaient en battant des passants solitaires, puis les intimidaient pour qu'ils ne le disent pas à la police. Lorsque les patrouilleurs se sont rendus sur les lieux, les gopniks se sont tenus tranquillement, sans se soucier de leur sécurité, mais les policiers qui sont sortis des voitures n'ont même pas posé de questions, ils ont simplement déformé toutes les personnes impliquées. Parce que les caméras qui ont filmé les coups les ont tous reconnus à leur visage, et aucun témoignage supplémentaire n'était nécessaire.
Par conséquent, est-ce si effrayant pour les agences de publicité de suivre nos actions sur Internet?
Dur à dire. Il ne s'agit pas seulement de surveillance, mais de transactions «personnalisées» ennuyeuses. D'une part, dans ma mémoire, je n'ai utilisé qu'une seule fois une offre publicitaire à partir des résultats de recherche, qui portait la mention «Publicité». Au fil des ans, les gens ont développé un "aveuglement des bannières", et même sans bloqueur de publicité, cette méthode ne fonctionne plus très bien. D'autre part, une pertinence de recherche élevée sur Google, Amazon ou AliExpress fonctionne grâce à des trackers intelligents qui suivent notre activité.
Mais presque tout le monde peut se souvenir d'une histoire mystérieuse, lors d'une vraie conversation ou d'un chat Telegram, ils ont mentionné une catégorie de produits, et après quelques minutes, le smartphone a montré des sites avec des bannières des choses discutées. Et l'innovation la plus ennuyeuse est l'exploration des avertissements sur l'utilisation de cookies qui ne disparaissent pas tant que vous n'appuyez pas sur le bouton pour les accepter.
Est-ce bon ou mauvais? Probablement ni l'un ni l'autre. C'est devenu monnaie courante et la vie privée est une illusion.
