“Par dessus votre épaule…” Petit test d’un outil pour observer les indiscrets du Web

Les données personnelles seront le nerf de la guerre économico-numérique du 21ème siècle. Il est donc important de profiter des différents outils qui permettent de garder, si ce n’est le contrôle, au moins un œil sur la façon dont ces données circulent. L’un des derniers en date nous est suggéré par le site ZDNet : il s’agit d’un add-on de Mozilla Firefox, qui s’intitule “Collusion”

Et ce petit dernier porte bien son nom puisque, bien qu’encore en phase de test, il permet de créer un graphique représentant les différents interactions entre les sites que vous visitez. En gros, les cookies qu’ils s’échangent dans votre dos pour mieux vous épiez par dessus votre épaule virtuelle…

Je l’ai donc tout de suite testé, et les résultats se sont révélés assez intéressants. Voici ce que donne mon graphique :

Graphique 1 : Vue de mon graphique au début de l'expérience

Les sites indiquées évoluent au fur et à mesure que vous naviguez ; il suffit donc de redémarrer le graphique pour le mettre à jour. Un ensemble d’association apparait alors. Pour évitez d’avoir à empilez de fastidieuses captures d’écrans je vais vous les énumérez :

-Tout d’abord, partons de là où tout a commencé, ZDNet. Celui-ci se relie à Google, qui se prolonge par Firefox. Et là, surprise, ce dernier nous renvoie vers webtrendslive.com, un site d’analyse dédié au web marketing. Ça commence bien.

Capture d'image de la page d’accueil de Webtrends

Capture d'image de la page d'acceuil de Xiti

-Mais ce n’est pas tout : ZDNet renvoie aussi vers xiti, qui est une solution de mesure d’audience de sites internet. En m’en rendant, j’ai pu constater qu’une nouvelle interaction apparaissant entre ce dernier et… Google.

-Et on continue… Là ou ma curiosité a vraiment été piqué au vif, c’est lorsque j’ai vu des nouvelles petites bulles faire leurs entrées alors même que je ne me suis pas rendu sur les sites correspondant : on peut voir ici que ZDNet “collusione” avec Linkdenin et Twitter sans que j’y sois pour autant connecté. Comme l’explique la petite note accompagnant le graph, il s’agit de cookies qui sont transférés du site ou vous vous trouvez à d’autres sites pour les “informer” de votre passage. N’étant présents ni sur Twitter ni sur Linkedin, ils ne serviront probablement à rien, mais nul doute qu’ils trouveront leur utilité pour d’autres utilisateurs, ou même pour moi si je m’y connecte un jour…

Graphique 2 : Extrait de mon graphique concernant la collusion ZDNet, Linkedin, Twitter

Je pourrais certainement continuer comme cela à l’infini, au fur et à mesure que j’ouvre de nouveaux sites, et en voici quelque exemples : imrwolrdwide, “Internet media and market research company”, estat médiametrie (qui semble proposer le même type de service que xiti), markosweb (encore un site d’analyse de données et de mots-clés), ou encore scorecardresearch, un service d’étude de marchés et d’analyse des tendances et comportements sur le web ; je vous en recommande d’ailleurs la visite  car vous pourrez y trouver des informations claires et intéressantes sur ses fonctions et objectifs. Et sur ce j’en passe et des meilleurs…

Graphique 3 : Illustration de la collusion ZDNet, Imrworldwide ( qui se relie également ici avec Photobucket)

Cela  fait donc beaucoup de monde. On s’est ému des libertés que prenait Google avec sa nouvelle politique de confidentialité, mais en réalité quel site sur le web  peut maintenant se targuer d’échapper à toutes les mesures destinées à la collecte de données à des fins commerciales? En ont-ils vraiment envie, tant ce marché parait juteux, ou bien pour certains en ont ils seulement la possibilité, ne pouvant se permettre de snober une telle rentrée d’argent potentielle?

Graphique 4 : État de mon graphique à la fin de l'expérience

Comme vous pourrez le constater dans ce très bon article paru sur InternetActu, Il ne faut  jamais oublier que “quand vous ne voyez pas le service, c’est que vous êtes le produit”. Il est bon de savoir que certaines personnes travaillent à la mise en lumière de cette “cuisine interne” des services web qui ont beau jeu ensuite de se réclamer de maxime tel que “dont be evil” (suivez mon regard). Je ne saurais que trop vous conseiller de faire ce test par vous même pour mieux vous rendre compte de tout ce qu’implique en terme de mesures, de collectes et de transferts d’informations le simple fait de naviguer sur internet. Et si la révolution des données n’est pas pour tout de suite, gageons tout de même qu’un internaute averti en vaut deux.

PS : pour les utilisateurs de Firefox vous pourrez trouver l’outil ici, et rendons hommage à son créateur, Jono X.

6 Reponses à “ “Par dessus votre épaule…” Petit test d’un outil pour observer les indiscrets du Web ”

  1. Maurice Pancake le 3 mars 2012 à 13:33

    Bonjour,

    intéressant petit add-on, mais qui montre seulement.
    Je l’ai essayé et j’ai eu beaucoup moins de collusions.
    Comme je ne comprends pas grand chose aux cookies, je ne peux pas affirmer que mes mesures de protections sont efficaces, mais de toute façon, je ne pourrais me passer d’Adblock plus. En plus de bloquer les publicités, on peut ajouter une liste de filtres qui bloque les scripts de mesure de fréquentation (GoogleAnalytics, Xiti et autres) et les boutons Facebook et autres réseaux sociaux implémentés sur la majorité des sites.
    Cette liste est ‘Antisocial’ et on peut l’installer à partir de cette page :
    http://adblockplus.org/en/subscriptions (elle est tout en bas).

    A ssavoir que, par exemple, le script de Piwik est bloqué sur cette page.

  2. Collusion ne fonctionne pas sur Chrome. Mais j’ai rapidement trouvé Ghostery, qui semble rendre le même service (les graphiques en moins), avec la possibilité supplémentaire de bloquer ces échanges d’information. (en tout cas : “privacy” dans le moteur de recherche de Chrome store donne de nombreux résultats)

  3. @Maurice : moi non plus je ne pourrais plus vivre sans Adblock :-) Merci pour la liste (même si bon, en bloquant mon piwik, ça me fait un lecteur de moins dans mes statistiques XD) En tout cas il est bon de rester vigilant sur toutes ces nouvelles mesures, mais à la longue cela devient fastidieux, et n’est ps très adapté à la consommation du grand public… au moins ce genre d’outil permet de rendre visible et un peu plus concrète toutes ces mesures très obscures…

    @Kart : Oui c’est un add-on firefox exclusivement. Merci pour cette info pour les utilisateurs de Chrome! Je ne pourrais pas faire de test étant donné que je ne l’utilise pas, mais peut-être que je devrais? En tout cas je n’ose pas imaginer ce qu’on peut trouver pour Internet Explorer :-)

  4. Comme le sit Kart, Ghostery fait la même chose, de façon moins graphique. Je l’utilise aussi sur Firefox, pour son aspect bloquant. Il empêche les collusions de se faire, et en avertit avec une petite notification violette qui montre tous les sites dont il a empêché l’espionnage, dès que l’on charge une page:
    http://cjoint.com/?BCesSuulHaz

    C’est assez édifiant.
    Mais c’est encore mieux quand on ouvre les préférences de ghostery, une fois l’extension installée dans son navigateur; en une journée de surf, on voit les centaines de mouchards (cookies, de liens publicitaires, de widgets, etc.), installés par les sites à notre insu (et inutile de dire que j’ai déjà installé, depuis belle lurette, AdBlock sur mes navigateurs et activé la récente option “Do not track” – que Google vient tout juste d’accepter d’implémenter). Juste pour donner une indication:
    http://cjoint.com/12ma/BCes3m48Due.htm

    Utiliser Chrome n’est pas mal non plus: il oblige, à l’installation, à lier à son compte Google ou à en créer un… ce qui autorise Google à se servir dans les données à des fins de ciblage publicitaire; idem pour Chromium, la version open-source de Chrome; le seul qui ne nous lie pas à Google est SRWare Iron, Chrome open-source débarrassé de ses liens avec les outils de tracking de Google.

    Enfin, il y a un moyen radical de ne pas être traçé, c’est Tor: The Onion Router (http://fr.wikipedia.org/wiki/Tor_%28r%C3%A9seau%29), le projet open source d’anonymisation. Mais alors, on voit que le web est le plus efficace des outils de traçage: la navigation avec Tor est tellement lente qu’elle paraît quasiment impossible.

  5. Pierre Alexis Vial
    Comme vous pourrez le constater dans ce très bon article paru sur InternetActu, Il ne faut jamais oublier que “quand vous ne voyez pas le service, c’est que vous êtes le produit”.

    J’ajouterais: “si le service est gratuit, c’est que vous êtes le produit”.
    Don’t be evil, comme disait l’autre.

  6. Bonjour,

    permettez-moi de clarifier le fonctionnement des cookies: ceux-ci représentent une petite information, normalement un identifiant unique, éventuellement générée par le site web que vous visitez et stocké par votre navigateur. Lorsqu’un navigateur doit honorer la requête d’un utilisateur, celui-ci cherche les cookies générés par le site web sous le même nom de domaine que la requête et attache les cookies correspondant aux requêtes vers ce même nom de domaine. Il n’y a donc pas “d’échanges” de cookies entre les sites.

    La technique de traçage utilisée est très simple: il s’agit généralement d’une iframe (une page web inclue dans une autre), qui peut être visible ou pas. Comme les images d’une page web, les iframes sont traitées en tant que requêtes HTTP à part entière. L’URL de l’iframe est générée par le site web principal qui peut y inclure une référence de la page visitée (ou le navigateur se charge d’inclure un “referer” dans l’en-tête), permettant ainsi aux sites indiscrets de vous suivre. Puis selon le navigateur (dont les politiques de gestions des cookies varient), si un cookie ayant été délivré par le site générant l’iframe existe, il sera inclu dans la requête vers l’iframe sans que vous puissier (directement) intervenir.

    C’est notamment le cas avec le bouton “I like” de Facebook: du moment que le bouton s’affiche, la requête a déjà été envoyée à Facebook, et pour peu que le navigateur contienne un cookie pour ce site et qu’il autorise son transfert, facebook sait exactement qui à visité quelle page, et quand. Il n’est pas nécessaire d’appuyer sur le bouton pour être tracé. Si facebook ne reçoit pas de cookie, il est quand même en mesure de connaître le quoi et le quand, la question du qui se résumant à la résolution d’une adresse IP (qui permet souvent d’inférer un pays, une région, voire une identité si votre FAI vous fourni une adresse IP fixe).

Adresser une réponse