Je me rends compte avec effroi que, en dépit des promesses de mon premier post, je ne vous ai pas encore infligé d’article sur l’informatique. Or, il s’avère que nos amis d’outre-Rhin viennent de s’en prendre à Facebook, donnant lieu à des articles notamment dans Le Monde et Libération qui, s’ils ont le mérite d’exister et de mettre en évidence les problèmes liés à cet outil, n’entrent pas vraiment dans les détails. Ce qui ce conçoit tout à fait dans la mesure où ce n’est pas vraiment leur rôle. Notons d’ailleurs que les polices des pays nordiques demandent elles aussi des explications à la firme en question, notamment en ce qui concerne ce qu’il convient d’appeler « le bouton du délit». Sans plus attendre, regardons un peu ce qui coince.
Le problème du bouton « j’aime »
Je n’aime pas le bouton « j’aime » [1]. D’ailleurs, je ne suis pas le seul. Comme expliqué dans un article du site écrans.fr, le principal problème posé par ce bouton n’est pas d’ordre philosophique [2] mais bien technique : en effet, à partir du moment où un bouton j’aime est présent, facebook peut savoir un paquet de choses sans même que vous cliquiez. Nous étudierons le comment plus loin, regardons tout d’abord ce à quoi l’entreprise de M. Zuckerberg peut accéder. Vous me direz peut-être : « moi je m’en fous, je n’ai pas de compte chez toi donc tu ne risques pas de savoir grand chose ». Bien que vous ayez raison de ne pas me faire confiance [4], j’ai quand même accès à pas mal d’info : je sais que la personne qui a telle adresse IP aime ceci ou cela puisqu’elle fréquente ce site ou celui-la. Si cette adresse ne change pas, je peux accumuler pas mal d’info.
Les informations accessibles
Où que vous alliez sur internet, vous laissez des traces. Un paquet de traces, à moins de vous ingénier à ne pas le faire, mais ceci est une autre question. À titre d’exemple, j’utilise une extension de wordpress, statsurfer, pour connaître des statistiques diverses, comme le nombre de connexions sur ce blog. Or, sans faire quoi que ce soit de particulier, simplement en enregistrant les informations transitant normalement entre un site internet et votre ordinateur, ce plugin me permet de savoir :
- Votre adresse IP.
- Le pays duquel vous vous êtes connectés et même la ville (même si ce n’est pas très précis)
- La page qui vous a mené à ce site et, du coup, le cas échéant les mots clefs que vous avez entrés dans votre moteur de recherche préféré et qui vous ont menés ici [3].
- La ou les pages vues ici
- Votre navigateur web (Firefox, Chrome, Opéra, Safari, Explorer (pas bien), Midori et j’en passe)
- Votre système d’exploitation
- L’heure de votre connexion ici
En ce qui me concerne, je peux vous assurer que ces données ne seront jamais divulguées et, si cela peut vous rassurer, que je ne m’intéresse qu’aux données dites « agrégées », c’est à dire pas à chaque visiteur mais à leur ensemble.
Un exemple d’entrée dans le tableau récapitulant qui est venu sur ce site. Alors que vous lisez, une autre s’est ajoutée vous correspondant. Dites vous bien que c’est pareil pour tous les sites — même si les logs apache sont moins jolis, certes).
Mettons que je sois facebook
Je vous propose maintenant une petite expérience de pensée. Imaginons un instant que je sois une célèbre entreprise américaine spécialisée dans le recueil d’informations personnelles des internautes. En usant d’artifices un tantinet fourbes, j’ai réussi à convaincre les administrateurs d’un nombre colossal de sites internet d’insérer un morceau de code à moi dans leur page. Celui-ci contient un bouton « Je suis actuellement connecté sur ce site et je souhaite le dire au monde entier » qui me permet de connaître plus finement les centres d’intérêts de mes usagers. Eh oui, puisqu’ils doivent être inscrits chez moi pour pouvoir l’utiliser, je sais exactement qui a cliqué dessus, quand, mais aussi quelle est son adresse IP, son pays, la page visitée précédemment, le navigateur web, etc. Surtout, en cliquant sur ce bouton, il a admis l’intérêt qu’il porte à ce contenu. C’est toujours ça d’information supplémentaire.
Qu’est-ce que je fais de cette masse de données ? Parce que vous croyez que je vais vous le dire ? Faites moi confiance, c’est pas comme si mon site était plein de failles de sécurité ou si je pratiquais une liberté d’expression à deux vitesses qui laisse tranquille les groupes ouvertement racistes mais ferme ceux qui déplaisent à de grandes enseignes du sous-vêtement.
Comment facebook collecte des infos
Comme dit précédemment, ce bouton permet à facebook de savoir qui est présent sur quel site, et ce sans même qu’il soit nécessaire d’avoir un compte. En effet, quand un site contient un tel bouton, il contient un réalité un code qui fait appel aux sites… facebook.net et fbcdn.net. Du coup, une requête [4] contenant toutes les infos précisées ci-dessus (navigateur, OS, IP, etc.) est envoyée aux serveurs de FB à chaque fois que vous connectez sur cette page, et ce même si vous n’y avez pas de compte.
Mais ce n’est pas tout : si vous y avez un compte et pour peu qu’un onglet facebook soit ouvert quelque part dans votre navigateur, ou bien si vous avez (à tort) choisi de rester connecté en permanence, un cookie est présent sur votre ordinateur. En gros, c’est un fichier qui est envoyé dans notre cas à facebook à chaque fois que vous vous y connectez et qui permet de vérifier votre identité. Jusque là tout va bien. Par contre, du coup, FB sait à quel site vous (car il sait qui vous êtes dans ce cas) vous connectez sans que vous ne cliquiez sur le bouton, et c’est bien là qu’est tout le problème.
La meilleure protection contre ce genre de pratique reste l’extension NoScript de Firefox. D’un usage un peu lourd au début, on s’y habitue très vite. De plus, les pubs sont également bloquées, ce qui est je trouve des plus agréables.
Cette partie peut être est un peu compliquée si l’on n’a aucune connaissance en réseau, n’hésitez pas à poser des questions dans les commentaires 😉
Conclusion
J’espère que les problèmes posés par ce bouton sont maintenant clairs et que vous vous accorderez par conséquents à penser que c’est effectivement un fléau. Le lecteur intéressé par les questions de vie privée pourra consulter avec profit [5] les ressources suivants :
- Le site de la CNIL
- Un article pratique du Monde
- L’Express a une section entièrement dédiée à cette problématique. Les articles ne parlent pas de technique et sont donc très faciles d’accès.
HS : maintenant je comprends ce que ressentent les filles quand elles lisent des magazines féminins les prenant pour des demeurées puisqu’en faisant des recherches pour cet article, je suis tombé sur ça : un « article » à destination des « jeunes » qui consiste en une information et, surtout, en placement de produit… Et je ne parle pas du niveau de la langue et de l’étalage de clichés de rigueurs. C’est pas glorieux.
Pas de flash, pas de javascript, un fichier hosts respectable, et voilà !
Certes, mais je te laisse rédiger le tuto multi-plateforme de circonstance 😛
Bah ce n’est pas compliqué.
Ne pas installer flash, c’est multiplateforme.
Désactiver Javascript, c’est multiplateforme.
Le fichier host, c’est multiplateforme (Cf. https://secure.wikimedia.org/wikipedia/fr/wiki/Hosts).
Je plussoie le fichier hosts, et le tuto franchement, pour celui-là, c’est juste super-simple. 😛
Super post, et +1 sur NoScript.
Bin tiens d’ailleurs, tu pourrais te mettre à jour avec l’apparition des boutons +1 pour Google+ qui ne doivent être guère mieux…
Effectivement, mais je ne connais pas bien google+, donc je ne me sens pas de faire des commentaires dessus. Disons que c’est encore plus flippant dans la mesure où ils sont du coup théoriquement capable de dire qui (quelle identité civile et non simplement quelle ip) fait quelle recherche, ce qui est encore un cran au-dessus en terme de big brother.