Trucsweb.com

Trucsweb 1997-2017 - 20 ans de partage.

Securité

Moteurs de recherches

RDFFav

Moteurs de recherches : Sécurité et vie privée

Il n’y a pas mieux placé qu’un analyste-programmeur, webmestre et gestionnaire de serveur Web pour comprendre l’importance du sujet et surtout les risques reliés au profilage Internet.Qwant, Google, PRISM, Edward Snowden, AOL, Google Analytic, Startpage, espionnage, referrer, référent

Drapeau français (Auteur : Aydeezy)
Source Aydeezy

L’information, c’est dit-on le nerf de la guerre? La sécurité et la vie privée sont de mes dadas, comme le cryptage...et le droit de réserve! Et ce depuis les tout premiers jours d’Internet. Il n’y a pas mieux placé qu’un analyste-programmeur, webmestre et gestionnaire de serveur Web pour comprendre l’importance du sujet et surtout les risques, à court et surtout à moyen terme, reliés au pistage et profilage Internet!

Mais voilà, les solutions ne sont pas évidentes. Tout est une question de confiance, difficile à acquérir et si facile à perdre. Une liberté, mais à quel prix... C’est le Web en entier qui est perdant. Oubliez les extras et les suggestions personnalisés si votre moteur de recherche favori ne peut plus vous pister. Jusqu’à passer pour un criminel, au tout au mieux chelou, pour peu que vous vous préoccupiez de votre sécurité, de votre vie privée et de l’intégrité de vos informations personnelles!

J’ai essayé de sensibiliser mes enfants, qui aiment visiblement beaucoup trop se faire minoucher par Google! Et pourtant, si certains d’entre nous doivent crier gare, c’est bien cette génération!

J’avais auparavant un répertoire de recherche, le CACI puis fleuve.net (1998-2013), le répertoire du Bas-Saint-Laurent! Et j’offrais une recherche simple, spécialisée dans l’espace et surtout anonyme avec des sites de la semaine, compteur gratuit, etc. Mais les temps ont bien changé depuis! À l’époque, chaque région avait son petit répertoire de site, comme autant d’atolls isolés. Aujourd’hui, tout doit passer par quelques adresses et une seule voie navigable. Même si l’on recycle aussi beaucoup de vieilles informations, comme DMOZ (Directory Mozilla), anciennement l’Open Directory Project. Un répertoire de sites Web aussi crée en 1998, fermé , mais toujours utilisé par plusieurs, Google le premier! Comme l’énergie, l’information sur Internet ne se perd jamais!

Le danger

Logo GoogleLogo GoogleUn des premiers dangers c’est le poids social et l’omnipotence de certains joueurs. J’entends, au fond, certains me crier « arrête de naviguer sur Amazone ». Certes! Il suffit d’arrêter de naviguer... Mais certains majors restent en mesure de vous poursuivre même si le grand explorateur en vous se contente d’une petite marche à l’occasion. Bien sûr les Microsoft et Apple de ce monde, avec un accès privilégier pour ne pas dire indécent. Mais surtout les scripts qu’on ajoute dans nos pages Web, particulièrement ceux des médias sociaux. Facebook ne donne pas sa place non plus, un des tags les plus rependus sur Internet. Facebook est déjà présent comme jamais personne n’a eu la possibilité de vous pister. Mais un monstre sort de la masse, un Google!

Google et particulièrement Google Analytics est un bon exemple. Lui qui nous plaque un gros message d’avertissement avec Chrome parce que notre moteur de recherche perso n’est pas sous SSL. (Hey, c’est déjà un contenu public M Big! Qu’elle est l’intérêt de pirater une requête et une réponse publique si ce n’est ignorer une culture qui n’est pas la sienne?). Lui qui pourtant sait tout de nous via son propre moteur de recherche. Lui qui a un tag sur la grande majorité des sites Web avec son système de statistique Google Analytics. Avec donc la possibilité de nous pister de site Web en site Web par des sites que vous ne soupçonnerez jamais. Sans parler des publicités Google AdSense et ses milliers de scripts des librairies à Google Map à en passant par le AMP! Son système d’exploitation Android, son navigateur Chrome, son portable et tout nouveau téléphone Pixel! Ouf, même avec toute la bonne foi qu’ils semblent y mettre, la quantité d’information compilée restera toujours exorbitante et hors contrôle... À mon avis, ça doit donner le vertige aux employés mêmes de Google.


Scandales et confiance perdue

AOL databaseMême si c’était un secret de polichinelle, l’illusion des plus optimistes fut mise à mal dès les années 2000. « En aout 2006, la communauté des internautes a été stupéfaite par la divulgation accidentelle par AOL, dans une base de données en ligne, de tous les détails et données accumulés sur les recherches effectuées pendant trois mois par 650 000 utilisateurs d’AOL. Celle-ci peut encore être consultée. C’est un réveil brutal permettant de réaliser le cauchemar éventuel que deviendrait votre vie privée. »

- Ouvrer not-secret.com;
- Entrer un mot clé et trouver qui l’a utilisé;
- Puis cliquer sur « Identification » pour découvrir les autres recherches de cet utilisateur.

PRISM

Depuis, la plupart des géants se sont fait prendre. Et surtout Google, Facebook, Apple, Dropbox et compagnie, dénoncés en 2013 quand le programme d’espionnage américain a été révélé par Edward Snowden... to protest against the NSA internet surveillance programme « PRISM ». Et que dire du vieux système de communication SS7 troué comme une passoire! Force est de constater qu’on a accès plus que jamais à la technique et les ressources et une capacité de calcul qui permet l’imaginable alors que le système est complètement désuet et que la majorité des pouvoirs, occupés à dire n’importe quoi, ne s’en préoccupe absolument pas.

Même si certains sites considèrent bêtement le refus d’autoriser les fichiers témoins comme criminelle et louche (!) Plus d’un utilise le Dark Web honnêtement dans le seul but d’assurer une plus grande vie privée. Même que le fameux New York Times a son propre site .onion depuis octobre dernier dans le but avoué de rejoindre cette catégorie d’internautes prévenants!

D’autre part, les gens sont pas mal plus courageux sur le web. N’hésitant pas à se confier au premier venu au moindre charme! L’autorisation de plus en plus automatique, les opportuniste à l’œuvre, les technologie à leur mesures. On peut bien se prémunir des attaques de « cross-site scripting » (XSS), rien n’empêche un JavaScript, plus puissant que jamais, d’interroger un serveur distant à notre insu via un petit Ajax local.

L’effort de guerre
L’effet Google Analytics
Figure #1
XITI

Le site des Trucsweb a toujours fait bande à part, déjà parce que les service n’existait pas! Mais depuis une décennie, une brèche s’ouvre dans cette route bien tracée. D’abord en refusant d’utiliser le puissant Google Analytics au profit de XITI par exemple. Ce geste à lui seul fait la moitié du chemin. Ne pas créer une navigation dépendante des fichiers témoin, une lacune de plus en plus rependu. Je détruis même quotidiennement les fichiers journaux (logs) au cas ou. Et en donnant la possibilité aux membres de ne pas afficher de publicité Google (faut bien vivre). J’ai même essayé une autre française, The Moneytizer pour la publicité sans succès toutefois.

Il suffit malgré tout à Google d’être sur le site d’où vous venez et sur le suivant que vous aller visité pour continuer de vous pister même si vous passez par les Trucsweb.com. C’est déjà ça, si d’autres font de même, Google ne sera plus en mesure de compiler tous ces « chemins » à notre issu!


Exemples

Figure #1 - Google sait que l’internaute a visité le site des TRUCSWEB.COM et que le site des TRUCSWEB.COM a eu une visite de M. IP 268.68.0.1 sans qu’aucune donnée du site TRUCSWEB.COM ne lui soit transmise! Par simple déduction à partir du site référant. Au mieux vous pouvez utiliser une redirection sur votre site pour éviter de transmettre la véritable page d’origine. Mais Google saura toujours que M. IP 268.68.0.1 a visité votre site dès que la page suivante utilise ces services.

Figure #2 - Google sait, malgré votre navigateur et peu importe votre moteur de recherche, que M. IP 268.68.0.1 a visité le site #1. Google ne sait rien du moteur de recherche « Startpage » qui bloque le « référent » (referrer). Puis il sait que vous avez visité le site #2. Et peut être même le site des TRUCSWEB.COM si M. IP 268.68.0.1 à cliqué un hyperlien dans la page du site #2. Il sait aussi que vous avez visité le site #4, pourtant protégé et sans service Google, tout ça parce que le site #4 retourne sont adresse (référent) dans l’entête HTTP vers le site #5. MAIS Google a perdu votre trace un temps et ne sait pas que vous avez visité le site #3... Cet exemple idéal n’a rien de réel. Les sites Google sont largement majoritaires, probablement trop pour qu’une mesure isolée puisse y faire grand-chose.

Brèche dans l’effet Google Analytics
Figure #2
Le produit c’est VOUS!

Un équilibre qui n’est pas facile à obtenir quand le déséquilibre penche aussi sérieusement. De là l’importance d’utiliser un autre moteur de recherche. Mais voilà, ce n’est pas facile de remplacer Google.

Je me souviens il y a près de 20 ans quand Google est arrivé. D’abord la vitesse. On utilisait à l’époque surtout AltaVista et sa lourde page d’accueil qui débordait de partout. Quel bonheur de voir ce Google épuré, une simple boite de saisie en plein milieu. Pour une connexion 56k de l’époque, c’était un must! Ensuite quel résultat pertinent. Même si la formule de Google pour la popularité devient de plus en plus un boulet à trainer, pop-retro, populaire mais désuet, Google est toujours le meilleur moteur de recherche généraliste.

En faire plus en bloquant le référent (référer)!

C’est bien beau arrêter d’utiliser sur sont site les scripts et les services de Google, y a rien là! Quand on ne perd pas une fortune, quand on peut utiliser une alternative gratuite ou une solution maison. Déjà, faire une page de redirection permet en même temps de protéger la transmission d’informations délicate, comme un ID! Mais Google connaitra quand même le domaine d’où provient l’usager. Alors que bloquer le référent règle le problème d’un coup, mais demande plus de courage. Autoriser son adresse dans l’entête HTTP permet aux autres sites de savoir que le visiteur provient de votre site Web. On désire aussi être pisté dans certains cas! Empêcher cela mine votre rayonnement et d’ailleurs va tout à fait à l’encontre de l’esprit du Web. Mais le Web n’est plus ce qu’il était non plus! Enfin, si vous osez, voilà comment, il suffit d’une de ses mesures :

  • Utiliser une connexion sécurisés (SSL/TLS);
  • Ajouter rel="noreferrer" dans chaque hyperlien de votre site Web;
  • Utiliser la balise méta « referrer » :
    <meta name="referrer" content="no-referrer" />
    
    Autre valeur :
    <meta name="referrer" content="unsafe-url" />
    <meta name="referrer" content="origin" />
    <meta name="referrer" content="no-referrer-when-downgrade" />
    <meta name="referrer" content="origin-when-cross-origin" />
    
  • Ajouter la méta en JavaScript
    var meta = document.createElement('meta');
    meta.name = "referrer";
    meta.content = "no-referrer";
    document.getElementsByTagName('head')[0].appendChild(meta);
    
  • Cristian Dobre sort même de son chapeau le "protocole" data: pour passer la balise méta avec une redirection!
    <a href='data:text/html;charset=utf-8, <html><meta http-equiv="refresh" content="0;URL='http://site2.com/'"></html>'>Hyperlien</a>
    
  • Enfin, vous pouvez toujours réécrire l’entête HTTP directement sur le serveur...

C’est ce que fait un bon moteur de recherche, comme Startpage (quoi qu’on ne sache plus d’où proviennent nos visiteurs avec de tels moteurs de recherche ; -)

Startpage, le moteur de recherche le plus confidentiel au monde
Startpage

Sceau de confidentialité européen (Europeon privacy-seal)
Le choix des Trucsweb

J’en ai essayé plusieurs sans succès, DuckDuckGo et le Russe Yandex, d’autres qui n’existe même plus. Il y a des logiciels libre, comme le moteur de recherche YaCy (Allemand) ou le plugiciel Lilo. J’ai finalement trouvé « Startpage » (par Ixquick) en 2013. Du moins pour le type de recherche que je fais, principalement technique et sur la programmation. En effet « Startpage » n’est pas toujours pertinent selon vos intérêts. Par exemple, la recherche d’image est très lente, lourde et ne fonctionne techniquement pas toujours bien.

Startpage vous assurez que :
  • La vie privée est un droit inaliénable.
  • Votre banque de données ne devrait en aucun cas tomber entre des mains étrangères.
  • La seule véritable solution consiste à effacer rapidement vos données ou tout simplement à ne pas les conserver.
  • Depuis janvier 2009, nous n’enregistrons plus les adresses IP de nos utilisateurs.
    Nous sommes le premier et le seul moteur de recherche à faire cela.
  • Notre initiative reçoit une réaction extraordinairement positive.
  • D’ailleurs Startpage est le moteur de recherche qui s’est vu décerner le premier sceau européen de la protection de la vie privée par le Contrôleur européen de la protection des données. Le sceau confirme officiellement les résultats en matière de protection des informations personnelles que nous promettons à nos utilisateurs. Il fait de Startpage le premier et unique moteur de recherche approuvé par l’UE.
Ergonomie

Startpage et Qwant permettent l’ouverture d’une référence de copier directement le lien sans passer par une dernière redirection!

Le français Qwant qui respecte votre vie privée
Qwant
Startpage - Résultat de recherche
Résultat de la recherche avec « Proportion de vidéo adaptative » sur Startpage et Google.

J’ai donc été fort ravi de tomber aujourd’hui sur TV5 qui promeut le moteur de recherche français Qwant. Heu peut être plutôt Européen pour ne pas dire du Royaume « do you want to #ChangeTheRules? ». Sacré vieux continent, les confédérations n’ont pas la cote ces temps-ci. Une chose sure, les données ne sont pas stockées dans la Silicon Valley! Ça n’a pas de prix...

Enfin, le résultats neutres et panoramique du promu moteur de recherche ne retourne pas ce que je cherchais, dans un « board » des plus suggérés. Rapide, je l’espère! Le moteur de recherche, avec une belle facture visuelle d’entrée de jeu, ne retourne que 50 résultats, dans un style tout ce qu’il y a de Google! Bof, We use to be comme disent les français ; -) Mais suivit du message des plus prétentieux « Les résultats suivants sont probablement peu pertinents, veuillez reformuler votre requête. » me laisse perplexe! La recherche me retourne parfois que de la publicité, ainsi une recherche sur la programmation retourne une ...recette de cuisine, ça c’est neutre! Dans la première mouture de ce texte, j’avais mentionné un ralentissement du navigateur. Mais dans ma centaine d’onglets ouverts, j’avais décidé d’enlever cette remarque. Jusqu’à ce matin, quand j’ai trouvé mon navigateur complètement embourbé dans la mélasse. J’ai tout de suite soupçonné Qwant que j’ai laissé ouvert un temps, au cas. Après 3 lectures pénibles sur 01.net, que je soupçonnais autant. (Ayoye en passant, 01.net recharge la page en permanence avant de finir de lire un seul texte. Parce que je n’accepte pas les fichiers témoins?). J’ai même cru un temps que l’usage du mot PRISM dans plusieurs de mes chaines HTTP de l’avant-midi en était la cause ; -)) Même pas, après avoir fermé l’onglet Qwant, mon navigateur est redevenu fluide et rapide, malgré mes 100 onglets! Ça me rappelle mon expérience avec The Moneytizer...

Le Web visible sans discrimination et sans partialité?

Il y a déjà un résultat beaucoup trop francophone pour ce prétendre de l’ensemble du web visible. Et une bizarrerie que je ne m’explique pas encore. Certaines recherches avec mon propre site, que je sais pertinentes sur Google, ne sortent pas du tout sur Qwant. Faut croire que le site des Trucsweb n’est pas du « Web visible sans discrimination et sans partialité » o que les Trucsweb à la faveur de Google ; -)) Sans farce, mes images (non pertinentes) se retrouvent en haut du résultat! Qwant explore donc mon site, capture les images, mais pas le tutoriel qui porte le même titre que ma recherche! Qwant fait le lien entre mes images et les mots-clés de ma recherche, sans afficher de référence au tutoriel en question!

L’exemple à droite de Startpage et Google retourne bien le tutoriel en question. Plus bas, Qwant ne retourne aucun résultat des Trucsweb.com mais les images en haut proviennent des Trucsweb.com! Comment est-ce possible? Le constat est simple, Qwant n’a pas beaucoup d’images dans son répertoire ;- )


Résultat de la recherche avec « Proportion de vidéo adaptative »
Qwant - Résultat de recherche
Résultat de la recherche avec « Proportion de vidéo adaptative » sur Qwant.

J’aimerais beaucoup utiliser Qwant quotidiennement, on va tester ça un petit bout d’temps! Mais si un site passablement populaire ne s’y retrouve pas après 20 ans sur le Web? Je suis peut-être rabat-joie, mais combien de sites sont ignorés de la sorte?

Petit rappel

Le site des Trucsweb est hébergé sur un serveur que je contrôle à 100%, j’ai même créé un système de cryptage perso pour le site des Trucsweb. Bon ce n’est pas la NSA, il ressemble davantage aux solutions de la dernière guerre mondiale. Mais il a l’avantage d’être unique, rare et surtout incognito avec plusieurs couche de mon cru! Les Trucsweb peut donc vous assurer :

  • Aucune collecte d’information
    Aucun partage d’informations sur vous et votre compte. Mot de passe crypté. Hébergement dédié, journal (logs) du serveur supprimé quotidiennement. Les fichiers témoins utilisés exclusivement pour faciliter la navigation.
  • Sans widgets sociaux
    Aucune requête n’est envoyée sur les médias sociaux. Aucun script Facebook, Google+, Twitter, LinkedIn, Pinit...
  • Sans GOOGLE
    Google Analytic c’est fantastique, mais sa couverture est trop importante. L’utilisation de Xiti, par exemple, provoque une coupure dans la chaine d’évènement Google! Aucune publicité GOOGLE AdSense pour les membres connectés. Devenez membre, c’est gratuit...

Conclusion

Entre les prétentions et la vérité, il y a un monde. Et c’est précisément le problème, le monde. Comme on dit, « Là où il y a de l’homme, il y a de l’hommerie ». Ce n’est pas demain la veille où la vie privée passera avant les intérêts et la business. En attendant, il faut manifester, créer une culture responsable et encourager le moindre effort comme Qwant et DuckDuckGo même si mon cœur penche pour Startpage.

Il y a aussi les navigateurs, la plupart offrent la possibilité de gérer la compilation de vos informations personnelle. Mais quant Google est un des investisseurs de Firefox, que valent ces plugiciels? Ou encore, Startpage qui utilise le résultat de Google! C’est donc difficile d’assurer à 100% l’anonymat. Ça ne prend pas une grosse machine pour coupler les milliards de pistes pour estimer votre véritable IP avec plus d’honnêteté que la météo et plus de précision que votre GPS!

C’est d’ailleurs le défaut du grand TOR, le navigateur dit par excellence de la vie privée. TOR est tellement embaumé dans un tas d’information planétaire qu’il est enveloppé comme un dans un big cocon. Quant à Chrome, je n’ose même y penser. Comme Internet Explorer d’ailleurs, j’en ai déjà jusqu’au coup du Microsoft! Et que dire de Apple, demandez à Snowden (je ne parle pas ici de la belle au bois dormant, quoique!) et ce malgré que Safari est le navigateur le plus performant, selon les tests de 01.net. Même Yandex a son propre navigateur sécuritaire et je n’ai même pas réfléchi sur la Chine. À ce jeu, vaut mieux privilégier les petites firmes et les applis maison. Par exemple ce bon vieux et toujours impopulaire Opera.

Personnellement, je me contente du minimum en confiant la tâche à Firefox et particulièrement depuis son saut quantique avec Firefox Quantum. J’empêche le contenu tiers, les Ajax, le Flash, le Java. Et je confirme à la pièce chaque fichier témoins! Ce qui résulte parfois en une navigation cahoteuse si ce n’est pas l’échouage fatal du navigateur sous une averse de boites d’alertes. Il faut se souvenir que le web n’est jamais tout à fait privé... Et qu’on est tous de potentiel grand navigateur homérique ad vitam æternam d’une grande histoire qui nous échappe totalement! Rien de moins ;- )

Références
, Analyste programmeurConception oznogco multimédia (http://oznogco.com), Trucsweb
Dernière mise à jour :

Commentaires

10/10 sur 1 revues.
       Visites : 1398 - Pages vues : 1598
X

Trucsweb.com Connexion

X

Trucsweb.com Mot de passe perdu

X

Trucsweb.com Conditions générales

Conditions

Responsabilité

La responsabilité des Trucsweb.com ne pourra être engagée en cas de faits indépendants de sa volonté. Les informations mises à disposition sur ce site le sont uniquement à titre purement informatif et ne sauraient constituer en aucun cas un conseil ou une recommandation de quelque nature que ce soit.

Aucun contrôle n'est exercé sur les références et ressources externes, l'utilisateur reconnaît que les Trucsweb.com n'assume aucune responsabilité relative à la mise à disposition de ces ressources, et ne peut être tenue responsable quant à leur contenu.

Droit applicable et juridiction compétente

Les règles en matière de droit, applicables aux contenus et aux transmissions de données sur et autour du site, sont déterminées par la loi canadienne. En cas de litige, n'ayant pu faire l'objet d'un accord à l'amiable, seuls les tribunaux canadien sont compétents.

X

Trucsweb.com Trucsweb

X

Trucsweb.com Glossaire

X

Trucsweb.com Trucsweb

X

Trucsweb.com Trucsweb

Conditions

Aucun message!

Merci.

X
Aucun message!
X

Trucsweb.com Créer un compte