En direct
Best of
Best of du 17 au 23 octobre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Plus odieuse que les caricatures de Mahomet, la caricature d'Erdogan

02.

Parcs, plages et autres interdictions de promenade : ces mesures du premier confinement qu’aucune efficacité sanitaire ne justifie

03.

Une certaine gauche s’étrangle des accusations de complicité avec l’islamisme mais sera-t-elle capable d’en tirer des leçons sur ses propres chasses aux fachos imaginaires ?

04.

Un sondage dévastateur pour Macron et aussi, hélas, pour la France

05.

Les investissements s’effondrent et signent la fin d’une mondialisation effrénée… Sauf pour la Chine, grande gagnante de la crise

06.

Voici comment et pourquoi Hollande et le CFCM sont bizarrement devenus islamophobes

07.

Reconfinement généralisé : les failles (masquées) de la détermination affichée par Emmanuel Macron

01.

L‘épargne des Français va nous sauver de la ruine et financer l’argent magique de la relance : démonstration

02.

Stéphane Plaza se fait larguer pour un plus jeune; Laeticia Hallyday plaque Pascal; Sia adopte des adultes; Kylian Mbappé récupère l'ex de Neymar; Marlène Schiappa aime les hommes, Britney Spears profite

03.

Bahar Kimyongür : "Dans sa fuite en avant, Erdogan n'hésitera pas à faire flamber le danger islamiste en France"

04.

Une certaine gauche s’étrangle des accusations de complicité avec l’islamisme mais sera-t-elle capable d’en tirer des leçons sur ses propres chasses aux fachos imaginaires ?

05.

Ce qui s'est vraiment passé au sein du ministère de l'Education nationale dans les jours ayant précédé la mort de Samuel Paty

06.

« Qu'est-ce que ce pays qui a perdu la tête ? » Clémentine Autain a fait mine d'oublier que c'est Samuel Paty qui avait perdu la sienne

01.

François Hollande : "une partie minoritaire de la gauche a pu manifester une étrange tolérance envers l’islam"

02.

Un sondage dévastateur pour Macron et aussi, hélas, pour la France

03.

Islamisme : pour Alain Juppé, "plus que du séparatisme, c'est un esprit de conquête"

04.

Mais qu’est ce qu’ont vraiment loupé les partis pour que 79% des Français soient désormais prêts à un vote anti-système ?

05.

Islamo-gauchisme : les lendemains ne chantent plus, c'est interdit

06.

Attaque à l'arme blanche à Nice, l'auteur a été interpellé

ça vient d'être publié
décryptage > Culture
Atlanti Culture

"Avant la retraite" de Thomas Bernhard : il est encore fécond le ventre…

il y a 5 min 20 sec
pépites > Politique
Réalité du confinement
Jean Castex et les ministres du gouvernement ont dévoilé les différentes mesures et aménagements liés au reconfinement
il y a 41 min 49 sec
pépite vidéo > Religion
Emotion
Attaque à Nice : le glas a résonné dans les églises de France en hommage aux victimes
il y a 4 heures 5 min
rendez-vous > Media
Revue de presse des hebdos
Macron s’inquiète de l’affaiblissement de Castex, les islamo-gauchistes refusent d’assumer leurs responsabilités; Le juteux business des ex-politiques; Olivier Véran, l’homme qui dit qu’on n’a pas voulu l’écouter sur la gravité du Covid
il y a 5 heures 2 sec
pépites > France
Opération Sentinelle
Attentat à Nice : Emmanuel Macron réhausse de "3.000 à 7.000" le nombre de militaires déployés sur le sol français
il y a 5 heures 38 min
pépites > Terrorisme
Menace terroriste
Attentat à Nice : Jean Castex indique que le plan vigipirate a été réhaussé au niveau "urgence attentat" partout en France
il y a 6 heures 44 min
décryptage > Sport
Moïse prophète en son Paris

Basaksehir/PSG : Paris, sauvé des eaux par Moïse

il y a 8 heures 59 min
décryptage > Consommation
Leçons du 1er confinement

Pénuries de (re)confinement : voilà ce que vous devriez acheter pour affronter novembre (et non, on ne vous parle pas de papier toilette)

il y a 9 heures 51 min
décryptage > France
Pression sur l'exécutif

Meurtre de Samuel Paty, islam et liberté d’expression : réseaux sociaux arabes, élites anglo-saxonnes, l’étau fatal qui étrangle la France

il y a 10 heures 46 min
décryptage > Economie
"Quoi qu'il en coûte"

Reconfinement : le prix que nous sommes prêts à payer pour sauver une vie est-il en train de flamber ?

il y a 11 heures 44 min
décryptage > Culture
Atlanti Culture

Exposition "Aubrey Beardsley (1872-1898)" au Musée d'Orsay : 1re monographie en France de l’étrange et virtuose illustrateur

il y a 17 min 53 sec
pépites > Terrorisme
Enquête en cours
Attentat à Nice : l'assaillant serait un Tunisien de 21 ans arrivé par Lampedusa
il y a 3 heures 44 min
pépites > International
Multiples attaques
Arabie saoudite : un vigile du consulat français à été blessé au couteau à Djeddah
il y a 4 heures 38 min
pépites > France
Vigilance des forces de l'ordre
Un islamiste radical armé d'un couteau a été interpellé dans le centre de Lyon
il y a 5 heures 24 min
light > Religion
Vatican
Attentat à Nice : le pape François "prie pour les victimes et leurs proches"
il y a 6 heures 22 min
décryptage > Environnement
Plan vélo

Et pendant ce temps-là se poursuivait joyeusement la guerre absurde contre la voiture

il y a 8 heures 37 min
pépite vidéo > France
Pensées aux victimes
Attaque à Nice : l’Assemblée nationale observe une minute de silence
il y a 9 heures 24 min
décryptage > Société
Second Impact du Covid-19

Petits conseils pour gérer son anxiété face à une actualité déprimante et angoissante

il y a 10 heures 6 min
décryptage > Santé
Bis repetita

Isolement des cas positifs : le ratage massif qu’Emmanuel Macron feint de ne pas voir (et qui pourrait faire échouer le 2ème déconfinement)

il y a 11 heures 15 min
pépites > France
Enquête en cours
Attaque à l'arme blanche à Nice, l'auteur a été interpellé
il y a 11 heures 53 min
© ALAIN JOCARD / AFP
© ALAIN JOCARD / AFP
Minute tech

Attention espionnage : l'extension Stylish du navigateur Chrome enregistre secrètement tout ce que ses utilisateurs font sur le Web, au nez et à la barbe de Google et Mozilla

Publié le 09 juillet 2018
Stylish, une extension de navigateur web, vient d'être supprimée de Mozilla et de Google. Téléchargée par plus de deux millions d'internautes, elle collectait leur historique de navigation.
Franck DeCloquement
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Franck DeCloquement est praticien et expert en intelligence économique et stratégique (IES). Membre du CEPS (Centre d'Etude et Prospective Stratégique), de la CyberTaskForce et membre fondateur du Cercle K2, il est en outre professeur à l'IRIS (Institut...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Stylish, une extension de navigateur web, vient d'être supprimée de Mozilla et de Google. Téléchargée par plus de deux millions d'internautes, elle collectait leur historique de navigation.

Atlantico : Comment cette nouvelle affaire a-t-elle été découverte, et comment une extension telle que ‘Stylish’ parvenait-elle à récolter nos données personnelles ? Cette récolte sauvage se limitait-elle aux historiques de recherche utilisateurs, ou cela allait-il beaucoup plus loin encore ?

Franck DeCloquement : Les affaires de captations sauvages de données personnelles se suivent et ne se ressemblent pas toujours… Mais revenons-en aux faits concernant ce dernier épisode original en date, issue en droite ligne d’une longue série. Cette nouvelle révélation est à porter au crédit de Robert Theaton, un ingénieur logiciel basé à San Francisco en Californie, qui a mis au jour le fait que l’extension baptisée ‘Stylish’, pouvait théoriquement enregistrer depuis janvier 2017, l'historique utilisateur des navigateurs Google Chrome et Firefox. Date à laquelle l’extension considérée avait justement été acquise par son nouveau propriétaire : la société ‘SimilarWeb’. 

Sur son blog, Robert Theaton a ainsi déclaré: « Il suffit d'une requête de suivi contenant un cookie de session pour associer définitivement un compte d'utilisateur à un identifiant de suivi de Stylish ». En conséquence, cette extension de navigateur était donc bien en capacité « théorique » de suivre les moindres faits et gestes utilisateurs sur la toile. Et Robert Theaton d’enfoncer le clou : « cela permet à son nouveau propriétaire, SimilarWeb, de relier toutes les actions d'un individu dans un profil unique. Et pour les utilisateurs comme moi qui ont créé un compte Stylish sur userstyles.org, cet identifiant unique peut facilement être associé à un cookie. Cela signifie que non seulement SimilarWeb possède une copie complète de nos historiques de navigation, mais détient également suffisamment d'autres données pour lier théoriquement ces historiques aux adresses email et aux identités réelles. » 

En d’autres termes, le script caché dans le code de Stylish renvoie l'historique de navigation complet d'un utilisateur lambda à un serveur central adjoint d'un identifiant unique. Pour celui qui aurait aussi un compte Stylish sur ‘userstyles.org’ pour télécharger de nouveaux skins de navigateurs, l'identifiant unique SimilarWeb vous permet d'être lié à votre cookie de connexion, comme le suggère clairement Robert Theaton. Ainsi, l’extension Stylish est donc en capacité manifeste de pouvoir renvoyer une activité de navigation complète à ses serveurs, avec un identifiant unique. Et cela inclut bien entendu les résultats des recherches effectuées sur Google ou Firefox. Conséquence immédiate : Google et Mozilla ont conjointement éjecté cette semaine l’extension Stylish de leurs catalogues respectifs, suite à un dépôt de plainte : « Nous avons décidé de la bloquer en raison de la violation des pratiques de données inscrites dans la politique d'examen », a en substance indiqué Andreas Wagner, l'ingénieur logiciel Mozilla. Si Stylish a bien été désactivé, l’extension n’a pour autant pas été supprimé des navigateurs. Cependant, tous les utilisateurs ont reçu un avertissement pour redémarrer leur navigateur Chrome. Google n’a pas commenté cette subite « disparition ». Et de son côté, la page Stylish sur le ‘Chrome Web Store’ renvoie désormais à une page « 404 »…

Quel usage aurait pu faire ‘Similar Web’ de ces données personnelles récoltées ? Était-ce pour eux une façon d’envisager de mieux cibler nos envies, dans le but de nous proposer des publicités adaptées, ou cela allait-il plus loin encore (possibilité de nous identifier physiquement, et donc ouvrant sur des risques de demandes de rançon, et de hacking) ?

Le processus évoqué plus haut permet en effet à un technicien spécialisé - ou à un pirate averti - de relier « en théorie » les données d’historique à un individu spécifique. Cependant, rien ne vient démontrer à ce jour que SimilarWeb a délibérément cherché à établir l’identité des internautes via ce procédé. Son modèle économique repose évidemment sur des données utilisateur agrégées. Et cela permet aussi « théoriquement » à un technicien de SimilarWeb ou à un employé malveillant, de relier des individus à l'ensemble de leurs activités réelles... Ainsi, tous ceux qui ont créé un compte Stylish sur ‘userstyles.org’ auront un identifiant unique qui peut aussi être facilement lié à un cookie de connexion, et à des fichiers texte destinés à aider chaque utilisateur à accéder plus rapidement et plus efficacement à un site Web. 

Selon une déclaration de SimilarWeb relevée en 2017, et d’ailleurs rapportée à l’époque par « ghacks.net » (au moment même ou cette société avait justement mis à jour sa politique de confidentialité des données personnelles), ce suivi spécifique aurait été ajouté par elle pour améliorer l'extension du navigateur. On pouvait ainsi lire à l’époque cette déclaration faite en ligne : « en ce qui concerne le suivi, les informations anonymes telles que les styles installés ou les sites visités sont collectés […] cette information alimente certaines fonctionnalités de l'extension telle que la possibilité de proposer des suggestions aux utilisateurs, lorsqu'ils visitent des sites dans le navigateur. »

Cependant, cette découverte de l’ingénieur Robert Theaton suggère aujourd’hui que Stylish pouvait également suivre bien plus que des informations nécessaires utilisés par ailleurs sur certains d’autres sites concurrents, dont la vocation est également de proposer des suggestions en la circonstance. Il semble en effet que SimilarWeb pouvait effectuer aussi le suivi URL de pages entières - en lieu et place du simple suivi de domaine habituel - mais également la collecte des requêtes HTTP, les adresses IP anonymisées, et de toute une gamme d’autres données des moteurs de recherche. Et notamment les mots-clés, les résultats de recherche sur les liens et les pubs affichées.

Mozilla puis Google ont supprimé ‘Stylish’ de leur catalogue d'extensions. Est-ce possible qu'ils n'étaient pas au courant de la "fonction" réelle de Stylish ? A l'échelle nationale comment peut-on encadrer ces pratiques afin qu’elles ne se répètent plus ? 

Cette application populaire compte environ 1,8 million d'utilisateur à travers le monde. Elle était justement devenue un succès commercial jusqu’alors, en permettant aux internautes d’appliquer en outre des couches successives sur des sites Web visités, et de masquer ainsi les fonctionnalités qu'ils ne veulent pas voir. De son côté, la politique de Google consiste à autoriser l’ouverture des données de ‘Gmail’ à des tiers, mais pas la navigation Web. Conséquence immédiate dans l’interstice de cette découverte de tracking intempestive : l’extension ‘Stylish’ a été bannie de ‘Google Chrome’ et de ‘Firefox’ (appartenant à Mozilla). Naturellement, cette nouvelle affaire ouvre sur des possibilités intrusives aux conséquences potentiellement vertigineuses. Et ceci d’autant plus, quand on réalise qu'une part de la stratégie marketing de ‘SimilarWeb’ consiste en réalité à « commercialiser des solutions pour voir le trafic de tous vos concurrents ». Nous le répétons, il est fort peu probable que ‘SimilarWeb’ ait eu l'intention délibérée d'utiliser ces historiques de navigation personnelle de manière malveillante. Toutefois, sa collecte de données était apparemment beaucoup plus étendue et profonde, que ce qui est vraiment nécessaire. Aussi, rester en sécurité en ligne devient aujourd’hui de plus en plus difficile pour le vulgum pecus, surtout quand 500 sites Web enregistrent en permanence tout ce que nous frappons sur nos claviers. Fort heureusement, ‘Stylish’ offrait également une option « par défaut » qui permettait en outre de désactiver ce suivi intempestif, et d’utiliser comme avant l’extension. 

 

 

Les commentaires de cet article sont à lire ci-après
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires