La cybercriminalité

L'espionnage sur Internet (IV)

Ainsi que nous l'avons expliqué dans le cadre du réseau Echelon et du scandale PRISM, Internet est également le terrain favori de l'espionnage informatique et parfois industriel. En 1996, le journaliste français Jean Guisnel, spécialiste des questions de défense au journal "Libération" publia "Guerres dans le cyberespace", un ouvrage qui fut mis à jour en 2013.

En quelque 372 pages (contre 250 pages en 1996) Guisnel nous rappelle la petite histoire de l'espionnage informatique et notamment sur Internet et les diverses tentatives, principalement anglo-saxonnes, d'infiltration de la NSA et du FBI dans la vie des citoyens et des entreprises.

Le livre de Guisnel mérite votre attention car il insiste plus que jamais sur les enjeux des "autoroutes de l'information", sur la relation étroite entre les services de renseignements, la cryptographie et le pouvoir politique, tout en insistant à travers des exemples édifiants sur l'illusion de la démocratie sur Internet, sur la puissance et sur quelques idées reçues concernant cet outil.

Mais l'espionnage informatique peut se déguiser sous des masques très subtils, et notamment sous la forme des fameux "cookies" ou des requêtes que vous effectuez sur les moteurs de recherche. Si ce n'est généralement pas de l'espionnage malveillant avec des préjudices moraux ou financiers pour l'internaute, ces méthodes peuvent porter atteinte à la vie privée où nous tromper sur les prestations réelles d'une société.

L'IP tracking

Imaginez que vous surfiez sur le site d'un voyagiste ou d'une société de transport en quête d'un tarif avantageux. Vous consultez les prix plusieurs fois mais vous constatez que plus vous attendez plus les prix augmentent.

A une autre occasion, alors que vous tchatez comme d'habitude sur un réseau social, et Facebook ne déroge pas à cette règle, des publicités en rapport avec les sujets dont vous avez discutez en privé il y a quelques jours s'affichent sur la droite de votre page.

Enfin, alors que vous consultez une fois de plus les articles d'un webmarchand, quelques semaines plus tard vous recevez par email des publicités pour des articles similaires, parfois même provenant de ce même site marchand.

Vous vous demandez alors par quelle coincidence ces publicités correspondent-elles aux sujets dont vous venez de discuter ou comment ce site marchand sait-il que ces produits peuvent vous intéresser ?

La technologie qui se cache derrière ces méthodes s'appelle l'IP tracking; elle consiste à pister l'adresse IP de l'internaute. Cette pratique est légale tant que le fournisseur ne trompe pas le client. Or dans ces trois exemples, il y a tromperie. Explications.

A lire : Pourquoi les prix des trains et des avions varient d’une minute à l’autre

suite et fin, sur le blog SOS Conso, 2013

Le rôle des cookies

La méthode de l'IP tracking est utilisée depuis des décennies par les fabricants de programmes, sur les forums, y compris les réseaux sociaux, et dans le e-commerce. Sa fonction et ses objectifs varient donc selon l'usage et sont multiples :

- sauvegarder vos préférences lorsque vous surfez régulièrement sur un même site (langue, mise en page, etc)

- sauvegarder les paramètres de vos applications et des plug-ins associés (version, etc)

- sauvergarder les paramètres des pages web consultées (feuilles de style, javascripts, date de connexion, sécurité en place, etc)

- sauvegarder les paramètres sur votre localisation (adresse IP publique, pays d'origine, ville, etc)

- sauvegarder votre pseudonyme (login) et/ou votre mot de passe, etc

A chaque connexion que vous faites sur un site, s'il n'y a aucune restriction définie dans votre programme ou votre navigateur, le site concerné pourra lire et mettre à jour ces cookies. Cela permet notamment :

- lors d'une connexion sur un site sur lequel vous vous êtes déjà connecté, d'ouvrir votre session automatiquement sans devoir encoder votre pseudonyme ni votre mot de passe et en tenant compte de vos préférences

- tant qu'une connexion à Internet est établie et sans devoir vous connecter sur aucun site, de vous informer en tout temps de la disponibilité d'une nouvelle version (mise à jour) d'un logiciel que vous avez installé

- de vous envoyez des notifications lorsque l'application est mise en veille dans la barre des tâches (par exemples les nouveaux messages sur Messenger)

- le vendeur du site consulté peut affiner votre profil d'internaute afin de dresser votre profil d'achat et vous proposer des publicités ciblées et géolocalisées pendant que vous surfer sur son site.

etc.

Bien entendu cette technique à des points faibles qu'exploitent certaines entreprises peu scrupuleuses et notamment le réseau social Facebook et des sites de e-commerce comme Amazon à des fins publicitaires. En effet, un internaute qui visite une page sur Facebook ou Amazon parmi d'autres sites télécharge plusieurs cookies sur son ordinateur sans en être préalablement informé par l'entreprise.

Cette manière de recueillir des informations voire de pister l'internaute est souvent activée par défaut dans les navigateurs Internet (IExplorer, FireFox, Chrome, Safari, etc.) au moment de la connexion. Ces données sont sauvegardées localement sur votre ordinateur dans plusieurs fichiers, les fameux "cookies" (des "biscuits" pour les développeurs et les vendeurs !) ou témoins de connexions et d'activités qui sont différents pour chaque site et mis à jour à chaque connexion sur ledit site.

Ces cookies sont sauvegardés dans un répertoire dit de cache dont le rôle est également d'accélérer le chargement des images et autres fichiers affichés sur les pages des sites sur lesquels vous vous connectez régulièrement.

Par défaut ce répertoire est caché car il fait partie du système. Pour Internet Explorer de Microsoft par exemple, vous trouverez le cache et les cookies dans : C:\Users\ [Nom de l'utilisateur] \ AppData \ Local \ Microsoft \ Windows \ Temporary Internet Files\.

Pour Google Chrome, ils se trouvent dans : \ Documents and Settings \ [Nom de l'utilisateur] \ Local Settings \ Application Data \ Google \ Chrome \ User Data \ Default \ Cache\ ) auquel l'outil ChromeCacheView permet facilement d'accéder.

Des outils permettent d'examiner ces cookies en détails : IECookiesView pour Internet Explorer, MozillaCookiesView pour FireFox, ChromeCookiesView pour Chrome.

A lire : Windows Vista: 20 services espions et 47 cookies (sur le blog, 2007)

A télécharger : CookieViz, LaboCNIL

Identifiez les cookies installés sur votre PC

Le contenu de ces cookies est parfois lisible (fichier txt) mais ils contiennent tellement de paramètres que souvent ils ne sont compréhensibles que par des développeurs. D'autres sont binaires et donc illisibles, notamment ceux relatifs à la sécurité de votre connexion.

Mais ainsi qu'on le constate en consultant les cookies affichés ci-dessus à gauche, ces petits fichiers contiennent parfois des données relatives au nombre de connexions que vous avez faites sur un site ou des données que vous jugez personnelles et qui n'auraient pas dû être sauvegardées (le type de produit que vous avez consulté sur le site ou les mots-clés que vous avez recherché notamment). Ce sont ces données relatives à votre activité sur Internet et vos intérêts personnels qui posent problème dans la cadre de la protection de la vie privée.

Ainsi, depuis quelques années diverses associations de protection des consommateurs se plaignent au nom des internautes d'être victimes de l'IP tracking et d'une démarche marketing abusive voire trompeuse de certains webmarchands. En effet, si on détourne l'objectif de cette pratique la méthode permet par exemple à une agence de voyage de vous identifier et d'augmenter les prix en temps réel afin de vous forcer à acheter (le prix augmente par exemple de 10 € ou de 10% à chaque connexion). D'autres feront en sorte que vous payerez plus cher si vous habitez loin d'un revendeur, ou si vous chaussez ou vous habillez dans les grandes tailles, etc.

Cette manière de vous pousser à l'achat le plus rapidement possible ou d'augmenter les prix "à la tête du client" est illégale.

Pour l'heure les majeurs du secteur visé, la SNCF, Air France et Amazon notamment, ont démenti user de cette pratique. Mais des témoignages de clients confirment que cette méthode est pratiquée par des voyagistes low cost sans scrupules.

En 2013, la CNIL a été saisie par la députée européenne socialiste Françoise Castex et examina le dossier en collaboration avec la DGCCRF, la Répression des fraudes, qui a l'autorité pour intervenir en cas de délit. La sanction dépend de l'ampleur du délit et va de l'amende à la prison ferme. Voilà une bonne leçon que retiendront ces entreprises.

Même situation en Belgique où l'eurodéputé socialiste Marc Tarabella a interpellé la Commission européenne afin qu'elle ouvre une enquête sur ces pratiques abusives et souvent malhonnêtes.

Google, un espion moderne ?

La société Google dont le siège se situe à Mountain View, sous le Soleil de Californie, pourrait bientôt avoir pour slogan "pourquoi nous n'en savons pas assez sur vous" et de ce fait voir bientôt quelques nuages noirs envahir son ciel bleu et son image de bisounours naïf et bienfaisant qui nous veut du bien.

A l'époque où cet article fut publié (2007), lorsque votre dévoué évoquait sur les forums le fait que Google récoltait nos données privées à des fins lucratives et de ce fait faisait de l'espionnage à notre insu, malgré les preuves apportées à travers les cookies, quelques internautes n'y ont pas cru, me prenant pour un farfelu.

Non seulement en 2010 Google avoua qu'il espionnait les liaisons Wi-Fi dans le cadre du projet "Street View", mais ses employés stockent les informations privées récoltées sur votre ordinateur et les communiquent le cas échéant à la justice. Si Microsoft et Facebook font de même ainsi que la plupart des opérateurs afin d'écarter leur responsabilité dans les affaires de cybercriminalité, cela signifie aussi que ces sites ont les moyens de récolter des informations privées et donc pas uniquement celles qui sont publiques.

Les GAFAM ne s'en cachent pas et Ben Zuckerberg l'avoua lors de son audition devant le Congrès américain en avril 2018 (cf. la vidéo sur YouTube) suite au scandale de Cambridge Analytica (en mars 2018, voir la revue d'Europe1 sur YouTube). Mais il a également précisé que son entreprise ne récoltait pas toutes les informations, ne lisait pas la correspondance privée et ne voulait certainement pas violer la vie privée des utilisateurs, d'autant moins que Facebook investit 7.3 millions de dollars en 2017 pour renforcer la sécurité de ses systèmes (bien sûr les mauvaises langues se demanderont si c'est la sécurité des serveurs ou la protection des données personnelles qui fut renforcée).

De nos jours, les cookies que nous avons décrits ci-dessus sont utilisés par la plupart sinon tous les sites Internet. Google utilise également l'IP tracking pour extraire, conserver et analyser les centres d'intérêts des internautes. A chacun de vos clics sur son moteur de recherche, sans votre consentement, Google trace votre activité tout en affinant votre profil. Il suffit d'utiliser l'un des utilitaires listé ci-dessus (les CookiesView) pour le constater.

L'utilisation abusive de l'IP tracking peut conduire des sociétés privées, voire les gouvernements, à commettre des actes qui sont en violation avec la protection de la vie privée. Ainsi, suite à l'application des lois sur la cybercriminalité et la responsabilité des hébergeurs notamment, Google stockait durant 24 mois toutes les données qu'ont pu leur rapporter les cookies, en commençant par l'adresse IP de votre ordinateur, et donc votre pays et votre ville d'origine, les mots-clés que vous avez tapés et les pages que vous avez consultées. Passé ce délai, Google prétend qu'il ne conserve que les mots-clés et supprime toute référence à l'ordinateur.

L'outil de recherche de Google (ici la version 2022 sous Chrome) est plus qu'un moteur de recherche. Lorsque vous recherchez un sujet et cliquez sur la petite flèche grise figurant à droite du lien, il y a l'option "En cache". C'est la copie du contenu de l'hyperlien et de ses éventuels répertoires et donc du site Internet concerné sauvegardée par défaut et à l'insu de l'auteur sur l'un des serveurs de Google. Comme le site Internet Archive Wayback Machine, Google maintient une copie de vos données sur ses serveurs installés aux Etats-Unis. Mais à l'inverse d'Internet Archive qui le fait à des fins non lucratives et pour les générations futures, Google fait de nos données à tous son core business.

Pourtant le business même de Google démontre que ses activités commerciales visent bien à cerner le profil des internautes. Ainsi, en mars 2007, Google faisait l'acquisition de Clear Channel, la plus gros société de radiodiffusion afin de diffuser ses messages publicitaires par la voie des ondes. Un mois plus tard, il achetait DoubleClick spécialisée dans les annonces digitales pour 3 milliards de dollars, et en juillet il rachetait Postini, spécialisé dans la sécurisation des e-mails. D'aucun ont considéré que Google se lançe à présent dans une campagne d'intrusion et de data mining à grande échelle. Et la suite des évènemenbts prouva qu'on ne s'était pas trompé.

Car à travers les cookies et DoubleClick, le but avoué de Google est d'envoyer aux utilisateurs des offres commerciales personnalisées. A travers ses serveurs d'index et ses bases de données contenant plus de 8 milliards d'URL (d'adresses http) et autant d'images, Google est aujourd'hui capable de rassembler à l'insu des utilisateurs toutes les données relatives à leur activité sur Internet et de communiquer ces résultats à des sociétés privées qui peuvent en faire n'importe quoi. Mais rien n'empêche les gouvernements d'en faire autant.

Pour une société commerciale, le profil d'un internaute vaut de l'argent car il représente un client potentiel. Les annonceurs sont donc les premiers intéressés par le résultat de l'analyse des cookies et des profils afin qu'il puisse mieux cibler leurs clients. Quant aux gouvernements, cela ouvre la porte à la surveillance des citoyens.

L'exploitation des données personnelles

Il vous est probablement arrivé d'encoder votre adresse e-mail privée sur un site Internet a priori de confiance ou de l'inscrire sur un formulaire papier de demande d'adhésion au comptoir d'une grande surface ayant pignon sur rue. Comme par hasard, quelques semaines plus tard, vous avez reçu un e-mail publicitaire de cette société ou de l'un de ses partenaires alors que vous ne l'avez jamais demandé. Visiblement, le commerçant ne vous a pas tout dit ou l'information a fuité. Ces pratiques ne sont pas honnêtes.

En général, au bas de l'e-mail l'expéditeur vous propose un lien pour vous désinscrire de sa maillist et de nos jours l'action est bien prise en compte. Mais il existe encore des expéditeurs qui abusent de cette pratique et ne proposent aucun moyen pour se désinscrire. Ce genre d'e-mail s'ajoute alors aux millions de "spams" qui envahissent les messageries électroniques et que chacun (ou même l'opérateur) doit classer parmi les courriers "indésirables" et mettre immédiatement à la poubelle. Et le jour où votre adresse e-mail sera comprise, il n'y aura pas d'autre choix que de créer une nouvelle adresse e-mail.

En matière de respect de la vie privée, la législation européenne étant plus restrictive que celle des État-Unis, ces traitements informatiques étant réalisés à l'insu des personnes, en 2006 le Bureau Européen des Unions de Consommateurs (BEUC) a demandé à Neelie Kroes, la commissaire européenne en charge de la Concurrence, d'ouvrir une enquête au sujet de l'exploitation des renseignements personnels par Google, requête qui a été étendue à tous les moteurs de recherche sur Internet et donc indirectement aux outils de marketing qu'utilisent les réseaux sociaux dont Facebook et tous les webmarchands.

Un comité de 28 experts qui conseille l'Union européenne et les gouvernements des pays membres, a également fait part de son inquiétude quant à la longue période de conservation des données personnelles sur les internautes.

Le comité a déclaré qu'il "va examiner les moteurs de recherche en général et scruter leurs activités au regard de la protection des données car cette question va toucher de plus en plus de gens". Devant les inquiétudes des autorités européennes, Google annonça début juin 2007 qu'il ramenait de 24 à 18 mois la période de conservation (rétention) des données personnelles.

Le comité indiqua qu'il devait encore analyser la réaction de Google et qu'il allait aussi étudier les autres moteurs de recherche pour savoir quelles sont les questions en jeu. Outre-Atlantique, la Federal Trade Commission (FTC) entendit ces arguments et a également décidé d'ouvrir une enquête sur cette transaction. Mais nous pouvons craindre que vivre caché ne sera bientôt plus possible sur Internet !

A lire : Traitement des données à caractère personnel et la protection de la vie privée, Europa

Protection des données, Europa

Usurpation d’identité, que faire ? Gouv.fr, 2021

L'usurpation d'identité, Cabinet d'avocats Balthasar et Delrée(.be), 2021

Les GAFAM à l'amende

Dans le cas de Facebook, les cookies lui permettent d’identifier tous les sites internet sur lesquels l'internaute se connecte dès lors qu’ils contiennent une application ou icône active de Facebook (Messenger, icône "J’aime" ou "Se connecter" par exemple).

En France, la Commission Nationale Informatique et Libertés (CNIL) a officiellement porté plainte contre Facebook en 2016 suite à ce changement inscrit dans leur politique de confidentialité afin que les utilisateurs puissent s'opposer à cette pratique qui est en violation acec la loi Informatique et Libertés. 

Mais tant que le Règlement Général sur la Protection des Données européen (RGPD) n'était pas entré en vigueur, la France était isolée et avait du mal à faire entendre sa voix. Depuis, l'Europe peut parler en son nom et la France et tous les autres États européens peuvent faire valoir le droit européen en matière de RGPD.

Jusqu'en 2020, selon la loi américaine, tant qu'un utilisateur ne refusait pas l'accès à ses données privées et aux préférences, tout ce qui n'était pas interdit était autorisé, alors que l'Europe adopta le point de vue opposé (tant que l'utilisateur n'autorise pas l'accès, c'est interdit).

En 2020, la justice américaine valida une amende de 5 milliards de dollars infligée à Facebook pour ne pas avoir protégé les données personnelles des internautes.

L'entrée en force de la réglementation RGPD a des effets concrets pour les internautes. Tout Européen se connectant sur un site Internet peut refuser en bloc tous les cookies via un bouton "tout refuser" ou "tout rejeter" (ou "Opt Out All" en anglais) comme illustré à gauche. Mais même en Europe et malgré les recommandations de la Commission européenne, certains sites obligent encore l'internaute à refuser un par un chaque cookie et préférence (cf. le webzine "Soir Mag" qui procèdes en deux étapes, d'abord cliquer sur "en savoir plus" puis "refuser" chacune des préférences). Heureusement cette pratique à tendance à disparaître.

Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft, Yahoo, Twitter, etc) ne respectant toujours pas la réglementation RGPD, en mai 2020 le groupe français de défense des libertés "La Quadrature du Net" déposa cinq plaintes auprès de la CNIL contre Amazon, Apple, Google, Facebook et Microsoft. En juillet 2021, Amazon s'est vu infligé une amende de 746 millions d'euros au Luxembourg (où l'entreprise à son siège), pour non respect de la réglementation RGPD.

Au total, dans le cadre de la réglementation RGPD, la Commission européenne a fait état de 785 amendes émises par 22 autorités de protection des données dans l'Union Europenne entre le 25 mai 2018 et le 30 novembre 2019. Les montants sont généralement au moins dix fois faibles que l'amende infligée à Amazon.

Consulter et gérer les données de votre compte Google, Google

et télécharger vos données depuis le dashboard de Google

Supprimer (opt-out) les cookies YourAdChoices : eBay, NAI, DAA, EDAA

A gauche, le fameux moteur de recherche de Google version 2007, un 1 an avant la sortie de Chrome. Au centre, désactivation de la publicité ciblée de la centaine de sociétés partenaires de Google via l'application centralisée YourOnlineChoice. A droite, suite à la politique européenne de protection de la vie privée, depuis 2018 il est possible de refuser en bloc tous les cookies proposés par les sites Internet, y compris ceux domiciliés hors de l'Europe (mais dont certains ne se sont mis en conformité qu'en 2021 ou ne le sont toujours pas et durant l'intervalle leur site fut ou n'est toujours inaccessible aux internautes européens).

Nettoyage des données du navigateur et autres applications

Pour échapper à cette intrusion intempestive dans votre vie privée, il existe donc la possibilité de refuser les cookies lors de la première connexion sur un site Internet comme nous venons de l'expliquer.

Mais que faire si le site ne propose pas de menu pour refuser ou accepter les préférences et autres cookies ? L'alternative consiste à supprimer vous-même via des outils tout lien entre les sites visités (surtout les sites marchands) et votre ordinateur.

Supprimer les cookies de votre navigateur

Chrome – Firefox – IExplorer – Edge - Safari

Si se déconnecter d'Internet ou éteindre son ordinateur n'est peut-être pas la meilleure solution pour un internaute, il existe une méthode efficace : bloquer les publicités et supprimer les cookies et autres données de votre ordinateur après chaque passage sur Internet. En effet, comme Facebook, les sites d'actualités, les webzines, les webmarchands y compris les constructeurs qui ont une vitrine sur Internet et autres fournisseurs de services font leur marketing grâce à la publicité en ligne et profitent donc de la facilité offerte par Internet pour afficher dans votre navigateur et parfois au milieu de la page des fenêtres publicitaires de toutes sortes. Si ces publicités vous agacent lorsque vous naviguez sur Internet et souhaitez les bloquer, n'hésitez pas à installer l'un des addons suivants :

Installer AdBlock pour Chrome - AdBlock pour Edge - AdBlock for Mac

AdBlock Plus pour IExplorer - AdBlock Plus pour Firefox

Bloqueur d'annonces publicitaires

Ensuite, il a la question des cookies intrusives et l'exploitation des données personnelles. Rappelons que les cookies et autres paramètres sauvegardés localement ou à distance via le navigateur rendent aussi des services : ils permettent de mémoriser votre langue de travail, certains paramètres réseaux dont les pré-résolutions DNS et TCP, votre pseudonyme et votre mot de passe si vous ne voulez pas les réenconder à chaque connexion sur vos sites habituels et permettent aussi de sauvegarder vos préférences, votre localisation, etc. C'est très pratique quand on utilise régulièrement Internet à partir du même ordinateur (soit seul soit en utilisant des sessions ayant des profils sécurisés).

En ce qui concerne les logins et mots de passe, la suppression sera brutale et vous allez devoir les réencoder sur tous les sites sur lesquels vous êtes inscrit, y compris sur vos forums favoris. Mais c'est parfois le prix à payer pour conserver un semblant de vie privée sur la toile et ne pas être envahi de spams.

Si vous avez bien réfléchi et souhaitez supprimer certaines données voici la procédure à suivre :

Sous Chrome, cliquer au-dessus à droite sur le bouton "Personnaliser et contrôler Google Chrome", choisir "Paramètres" puis tout en bas cliquer sur le lien "Paramètres avancés...". Dans la section "Confidentialité et sécurité" cliquer sur  "Effacer les données de navigation...". Google vous propose d'effacer l'historique ainsi que les cookies, les mots de passe, etc. Faites votre choix et la validation est immédiate.

Sous Edge, cliquer au-dessus à droite sur le bouton "..." (Paramètres et plus), choisir "Paramètres" puis, sous l'étiquette "Effacer les données de navigation", cliquer sur le bouton "Choisir les éléments à effacer" puis faites votre choix et validez en appuyant sur le bouton "Effacer".

Sous Internet Explorer, dans le menu "Options", choisir "Options Internet" puis, sous l'étiquette "Général", cliquer sur le bouton "Supprimer les cookies...".

Firefox permet également de supprimer les traces de votre passage sur Internet tel que l'explique cet article. Voici la procédure pour Safari (Apple).

Bien sûr, ces procédures peuvent changer en fonction des versions des navigateurs.

Pour éviter cette longue manipulation dans les sous-menus du navigateur, pour Chrome installez l'une des extensions proposée dans le webstore dont Click&Clean qui propose une interface détaillée en français similaire à History Eraser ou SingleClick Cleaner qui permet de supprimer les cookies, l'historique et autres données en cache en une seule action.

Vous pouvez aussi modifier les paramètres de sécurité de votre navigateur Internet et désactiver le stockage des cookies sur votre ordinateur. Mais cela peut vous empêcher d'accéder automatiquement à certains sites. Il faut donc faire un choix et garder par exemple au moins les logins et mot de passe et certains cookies. Si vous avez tout effacé, reconnectez-vous uniquement sur vos sites et forums favoris de façon à ce que les logins, mots de passe et cookies soient remis à jour et sauvegardés. Avant de procéder au prochain nettoyage, décochez dans les options la suppression des logins, mots de passe et cookies puisqu'ils proviennent en principe de sites de confiance.

Et ne dites pas comme cette personne a qui un assistant demanda de "supprimer ses cookies" et qui lui répondit : "je n'en ai pas car je suis dianétique" !

Installer l'extension pour Chrome : Click&Clean

Suppression de l'historique de navigation, des cookies et autres mots de passe dans les Paramètres d'Internet Explorer 11 (gauche), Microsoft Edge 2017 (centre) et Google Chrome v65 de 2018 (droite, via Chrome settings, Paramètres avancés > Effacer les données de navigation). Microsoft et autre GAFAM (Google, Apple, Facebook, Amazon, Microsoft, Yahoo, Twitter, etc) se servent de votre historique Internet (le web log) et de vos cookies pour établir votre profil de consommateur et vous envoyer des publicités ciblées y compris des messages politiques avant les élections. Supprimez tout, ce sera toujours autant de milliers de données qu'ils ne pourront pas exploiter à votre insu ! Il vous suffira ensuite de réencoder votre pseudonyme (et le mot de passe éventuellement s'il n'a pas été sauvegardé automatiquement) lors de la prochaine connexion.

Résultat de ce grand nettoyage, en e-commerce on a constaté qu'en supprimant les cookies, le site marchand n'ayant plus accès à l'historique ni au profil de l'internaute, il ne pouvait plus établir de lien entre l'ordinateur et les produits consultés. Bizarrement, dans ces conditions le prix du produit retombait au tarif initial !

Vous pouvez également refuser la géolocalisation qui évitera au site sur lequel vous êtes connecté de vous envoyer des publicités locales. Vous pouvez aussi activer l'option "navigation privée". Dans ce cas, aucune information (historique, cookies, fichiers temporaire) n'est sauvegardée sur votre ordinateur. Seuls les fichiers téléchargés et les favoris ajoutés durant la session seront conservés.

Parmi les autres options de sécurité proactive, sous Windows vous pouvez éviter toutes les tentatives de téléchargement d'objets non autorisés en activant ou désactivant certaines options de sécurité (qui sont de plus en plus paramétrées d'office pour éviter tout risque).

Bien entendu, tout système d'exploitation, que ce soit Microsoft, Linux, Mac OS ou iOS utilise des cookies pour automatiser certaines procédures. S'ils ne sont pas tous indésirables, mieux vaut tout de même les identifier et connaître leur fonction. Libre à vous ensuite de les supprimer ou d'inactiver le service qui les gère.

La face cachée de Facebook

Le même problème d'intrusion dans votre vie privée se pose avec les profils de Facebook. En effet, les dizaines de millions d'informations et d'images stockées dans les profils des internautes sont sauvegardées sur les serveurs de l'entreprise. A partir de cet instant, aucune personne extérieure à la société ne sait ce que deviennent ces informations et durant combien de temps elles sont stockées car les statuts et réglements de la société ne le précisent pas. Autrement dit, vos données ne vous appartiennent plus  : elles peuvent être distribuées à des agences de publicité ou communiquées aux autorités ou à votre assureur. Ces informations resteront en ligne aussi longtemps que votre compte est ouvert et même ensuite.

Heureusement, aujourd'hui chacun peut fermer son profil aux yeux du public (toute personne ne faisant pas partie de vos "amis" sur Facebook). Si au bout de quelque temps vous ne souhaitez plus que vos commentaires ou vos photographies soient visibles sur Facebook, vous devez les supprimer manuellement ou mieux vous pouvez supprimer votre profil mais il a toute les chances de continuer à exister dans les serveurs de l'entreprise puisque Facebook n'est toujours pas transparent et ne dit pas combien de temps il conserve les données des utilisateurs mais cela se chiffre de toute évidence en années.

A lire : Accès à vos données Facebook, Facebook

Internet, entre libertés et manipulations (sur le blog, 2012)

Microsoft et Facebook peuvent aider la justice (sur le blog, 2010)

A gauche, dans le dernier onglet situé au-dessus à droite de votre page Facebook (le triangle pointant vers le bas), dans le sous-menu Paramètres > Général, il y a l'option "Télécharger une copie de vos données Facebook" dont le contenu vous surprendra et vous fera réfléchir sur l'usage que l'entreprise et ses partenaires font de vos données et contacts à votre insu. A droite, le sous-menu Confidentialité permet de paraméter la confidentialité de votre profil et de le fermer afin qu'il soit privé. Cela vous évitera quelques mauvaises surprises dont l'usage abusif de vos données personnelles par des diffuseurs, des abuseurs et des escrocs.

Si votre profil est ouvert à tous, la police comme le fisc ou votre éventuel patron ainsi que toute personne malveillante peut y accéder en toute liberté et suivre notamment vos activités, vos fréquentations, déterminer vos goûts et vos centres d'intérêts. C'est normal direz-vous puisque le profil est public. Mais cette façon de s'exposer présente aussi des risques.

En Belgique par exemple, certains jeunes fonctionnaires zélés du ministère des Finances utilisent Facebook pour établir des relations entre le train de vie de personnes contrôlées (à travers les images de vacances par exemple qu'elles publient) et leurs déclarations fiscales. Aux Etats-Unis, le FBI utilise Facebook pour identifier les dealers de drogue. Cela peut paraître normal dans la mesure où ces individus violent les lois. Mais les autorités consultent aussi les profils et messages d'individus qui n'ont rien à se reprocher, cherchant d'éventuelles relations pouvant les aider dans leurs investigations (rappelez-vous l'adage "tout le monde est connecté à tout le monde au 6^e degré". Si cela n'a jamais été vérifié scientifiquement à grande échelle, cela s'est confirmé dans 7.5% des cas lors d'un test effectué avec 40 personnes prises au hasard réparties à travers le monde qui devaient transmettre une enveloppe à une personne précise qu'elle ne connaissait pas. Trois enveloppes sont bien arrivées à destination dans un délai raisonnable).

Facebook vend également les données qu'il recueille à l'insu des utilisateurs à des société de marketing qui les exploitent à des fins commerciales ou politiques... C'est ici que Facebook s'immisce un peu trop loin dans notre vie privée.

Mais il ne faut pas être dans le collimateur d'un fonctionnaire pour être surveillé. Cela commence avec les annonces de rencontres publiées sur Internet et que votre ex peut lire ou les discussions que vous tenez sur les forums auxquels votre ex ou votre partenaire participe également. Les ennuis ne viennent pas toujours des étrangers.

Concernant Facebook, il est arrivé qu'une petite amie larguée par son homme continue à le surveiller à son insu via Facebook où il continuait à déposer commentaires et images de ses nouvelles conquêtes... Un travailleur a dénoncé un collègue à son patron car il avait trouvé sur Facebook les images de la fête à laquelle ils avaient tous deux participé. Seul hic, le collègue avait prétexté une visite auprès d'un malade dans sa famille alors que "l'ami" délateur avait dû prendre un jour de congé pour participer à la fête ! Le collègue dénoncé a été licencié pour faute grave.

De là, il n'y a qu'un pas à franchir pour qu'une personne malveillante utilise Facebook à des fins plus surnoises voire criminelles.

Antonio Tajani, président du PE et Mark Zuckerberg lors de son audition le 22 mai 2018. Comme l’eurodéputé Claude Moraes le rappela au boss de Facebook en joignant le geste à la parole, "Vous n’êtes pas devant le Congrès américain. Vous êtes en Europe. Et nous avons des attentes." Document AFP.

Suite au scandale Cambridge Analytica précité, lors de son audition devant le Congrès américain le 11 avril 2018, Mark Zuckerberg déclara que les web logs (l'historique des pages consultées par une personne) "sont seulement stockés temporairement et nous convertissons les web logs en un ensemble d'intérêts publicitaires qui pourraient nous intéresser". Ils comptent parmi les données sur lesquelles Facebook garde tout contrôle et que l'utilisateur peut télécharger quand il demande une copie de son profil Facebook (voir ci-dessus à gauche). Et c'est après avoir consulté ce fichier personnel que beaucoup de personnes apprennent que chaque fois qu'elles ont "aimé" ou "liké" quelque chose, l'information fut sauvegardée et traitée par Facebook qui l'a transmise à une autre société à leur insu, ce qui explique que chacun reçoit finalement des publicités ciblées (dont le ciblage peut être supprimé via les paramètres du profil) voire même des messages politiques afin d'influencer les élections (cf. l'élection du président Trump en 2013 qui fut apparemment influencée par les publicités ciblées et les messages mensongés émis par Cambridge Analytica à l'encontre du parti démocratique).

Sur le plan légal, suite à l'enquête menée par la Commission européenne en 2014 à l'encontre de Facebook, l'entreprise de Mark Zuckerberg a fourni des renseignements inexacts ou dénaturés concernant l’acquisition de WhatsApp et la transmission des données privées. Pour ces motifs, Facebook s'est vu infligé en 2017 une amende record de 110 millions d'euros.

En 2018, l'affaire Cambridge Analytica fut également portée en justice par la Commission européenne. Suite à cette plainte, l'action de Facebook perdit près de 21% à Wall Street et l'entreprise perdit plus de 100 millions de dollars en 10 jours. En parallèle, le président du Parlement Européen, Antonio Tajani, exigea que Mark Zuckerberg vienne en personne s'expliquer devant les députés européens sur l’utilisation des données personnelles de ses millions d'utilisateurs. Ce qui fut fait le 22 mai 2018 mais selon certains eurodéputés, Mark Zuckerberg esquiva beaucoup de questions dans le peu de temps qu'il eut la parole et n'a pas apporté de réponse à leurs questions. On peut s'attendre à ce que l'Europe accentue la pression sur Facebook et que le cas échéant la prochaine amende sera très salée.

Face à l'attitude peu coopérative de Facebook et globalement de la politique américaine en matière de protection des données privées, Bernhard Schima, avocat de la Commission européenne à la Cour de Justice de l'Union Européenne (CJUE) a conseillé au procureur général de "quitter Facebook" s'il voulait vraiment bénéficier de la protection censée être offerte par le droit européen sur le RGPD aux Etats-Unis. Même si l'avocat le disait en plaisantant dans le cadre de l'affaire Maximillian Schrems (C-362/14), un activiste autrichien qui refuse que ses données personnelles soient transmises aux GAFAM, aujourd'hui par plus qu'en l'an 2000 l'Europe ne peut pas affirmer que les États-Unis offrent un niveau de protection adéquat (le concept de "Safe Harbour") pour garantir le respect de la protection des données personnelles exportées outre-Atlantique.

Ceci dit, Facebook fait quelques efforts dans le bon sens mais ce n'est qu'une goutte d'eau dans un océan d'abus. Par exemple, pour répondre aux inquiétudes des sénateurs américains, Facebook annonça en 2018 qu'il avait supprimé plusieurs dizaines de comptes créés dans le cadre d’une campagne politique coordonnée visant à influencer les résultats des élections de mi-mandat aux Etats-Unis. Selon Facebook, l’un des comptes était suivi par plus de 290000 abonnés et 11000$ avaient été dépensés pour acheter environ 150 publicités.

Bref, face à ces scandales et ces pratiques malhonnêtes, on comprend que de plus en plus de personnes bloquent les pages publicitaires, suppriment leurs cookies et prennent dorénavant leurs distances avec Facebook et d'autres réseaux sociaux, suppriment leur photo et toute donnée privée et ne "like" plus aucune photo commerciale ou message sachant que ces données peuvent être utilisées à leur insu.

Quant à valider leur compte par téléphone (un SMS permet de simplifier la procédure de validation du compte ou de contrôle), face à l'usage abusif qu'on peut faire des numéros de téléphone ainsi transmis aux GAFAM, plus d'un internaute refusent dorénavant de leur transmettre ce type de renseignement et se contentent de la procédure de contrôle classique (par e-mail et idéalement en utilisant une adresse e-mail distincte de l'adresse e-mail privée). Malheureusement, même si vous avez supprimé votre numéro de smartphone de votre profil sur les réseaux sociaux, tout laisse à penser que la donnée est toujours disponible dans leurs archives (il suffit de faire l'essai en la supprimant puis en essayant de la réencoder ou de la récupérer. Il y a beaucoup de chances que le système la connaissance encore alors qu'elle était soi-disant effacée).

Les logiciels espions

A côté des cookies et des malwares, il y a également les véritables logiciels espions tel "Blackshades" qui permet de prendre le contrôle d'un ordinateur à distance (y compris de ses périphériques, webcam, jeux en ligne, etc) ou d'un smartphone. Ce type de programme est capable d'accéder à un appareil connecté sans que son adresse IP, le service ou la session de l''utilisateur ne soit détectée par le système ou la victime.

Ceci dit, il y a tout de même une petite activité détectable comme l'utilisation accrue de la batterie (et donc une décharge plus rapide), des transferts par Internet plus nombreux que la normale (visibles sur le routeur connecté à l'ordinateur ou sur le site de votre opérateur dans la quantité de données transférée chaque jour).

Le but de ces programmes est bien sûr malveillant : consulter ou voler des informations, espionner la victime à son insu voire détruire des données ou rendre l'appareil connecté inutilisable.

Bonne nouvelle, ainsi que l'explique la vidéo suivante d'Euronews, en 2014 Europol arrêta plus de 80 utilisateurs de ce programme espion dans 18 pays, procédé à 359 perquisitions et saisi 1100 copies de ce programme. Depuis, d'autres affaires similaires ont été démantelées impactant des utilisateurs de smartphone, de Smart TV et même des fonctionnaires y compris des policiers.

Le problème est qu'il s'agit d'une lutte sans fin car chaque année de nouveaux logiciels espions sont commercialisés et en vente libre. Heureusement, de temps en temps les médias comme la RTBF se font parfois l'écho du risque que représentent ces logiciels espions (cf. article de 2023, article de 2022, article3 de 2019).

A voir : Coup de filet mondial contre des pirates informatiques

Plus de 80 utilisateurs de Blackshades ont été arrêtés par Europol (2014)

Sexe et harcelement sur Internet

Enfin, que ce soit via les réseaux sociaux, les forums ou les sites de rencontres, il y a le problème du harcelement informatique, de la pédophilie et de la pornographie sur Internet, y compris le revenge porn où des ex écartés se vengent en publiant sur le net les photos dénudées de leur ex.

Ces activités criminelles touchent même les jeunes adolescents dès l'âge de 11 ans selon les derniers sondages (pour rappel en théorie Internet est interdit en dessous de 13 ans et les sites adultes sont interdits aux moins de 18 ans. Mais comme on dit "tout le monde aimerait vivre en théorie car en théorie tout se passe comme prévu !". Nous discuterons de ces sujets sensibles dans l'article Internet pour le meilleur et pour le pire.

Venons-en à présent au piratage informatique, une forme de cybercriminalité toujours en croissance et que les entreprises doivent prendre très au sérieux.

Dernier chapitre

Les sinistres informatiques

Page 1 - 2 - 3 - 4 - 5 - Back to: HOME Copyright & FAQ