Sécurité

Le dernier stratagème de démolition de la vie privée de Verizon : un supercookie impossible à bloquer qui permet à quiconque de vous suivre sur Internet

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Au cours de la semaine dernière, il est apparu que Verizon Wireless suivait silencieusement environ 100 millions de clients mobiles à l’aide d’un super cookie qui ne peut pas être désactivé. Le cookie de suivi semble faire partie du programme Precision Market Insights de Verizon, qui a débuté en 2012. AT&T a testé un supercookie similaire, mais jusqu’à présent, il semble que seul Verizon l’ait déployé à l’échelle du réseau. Le cookie de suivi, comme vous pouvez probablement le deviner, permet à Verizon de suivre presque tout ce que vous faites sur Internet, puis de vendre ces données comportementales aux annonceurs. Bien qu’il soit tout à fait odieux que vous ne puissiez pas vous désinscrire, la situation s’aggrave : la mise en œuvre du supercookie par Verizon est si bâclée que n’importe quel tiers peut également utiliser le cookie pour suivre votre comportement. De toute évidence, la confidentialité est quelque chose qui ne se produit que sur d’autres opérateurs.

Comment fonctionne le supercookie de Verizon

Habituellement, un cookie consiste en un petit fichier sur votre ordinateur (PC, smartphone, tablette) qui stocke certaines données – votre nom d’utilisateur pour un site Web, votre fuseau horaire, etc. Lorsque vous visitez un site Web, le serveur Web peut demander le contenu de ce biscuit. Pour la plupart, il s’agit d’un système très gracieux qui vous évite d’avoir à vous connecter chaque fois que vous visitez un site Web – mais évidemment, les mêmes cookies peuvent être utilisés pour vous suivre lorsque vous vous déplacez sur Internet.

Un autre type de supercookie

Un autre type de supercookie

Ces cookies classiques sont très faciles à bloquer ou à supprimer – ce qui est formidable pour le consommateur, mais terrible pour les entreprises qui peuvent gagner beaucoup d’argent en suivant (puis en vendant) votre comportement en ligne. Ainsi, au cours des dernières années, il y a eu un flux constant de supercookies qui sont à la fois plus difficiles à repérer et de plus en plus difficiles à bloquer.

Psssssst :  Comment visualiser les cookies de suivi du comportement avec un add-on Firefox - High-teK.ca

Et maintenant, nous avons le cookie de Verizon – qui, au sens conventionnel, n’est en fait pas du tout un cookie. Au lieu de mettre une petite quantité de données sur votre ordinateur, ce qui est assez facile à supprimer ou à bloquer, le matériel réseau de Verizon injecte automatiquement un nouvel en-tête HTTP chaque fois que vous visitez un site Web. Pas seulement les sites Web de Verizon – toute ressource Web accessible via le réseau de Verizon (c’est-à-dire tout). Cet en-tête, appelé X-UIDH, contient un identifiant unique lié à votre compte Verizon. Votre navigateur Web (ou toute autre application sur votre téléphone qui utilise HTTP) reçoit toujours cet en-tête avec votre identifiant unique – vous ne pouvez rien faire pour l’arrêter. Effacer régulièrement vos cookies ou utiliser le mode de navigation privée de votre navigateur ne vous aidera pas non plus.

Pourquoi le supercookie de Verizon est si incroyablement méprisable

Le réseau de Verizon – uniquement son réseau sans fil, à notre connaissance – injecte votre identifiant unique dans chaque requête HTTP. Cela ne sonne pas ce mauvais, jusqu’à ce que je vous dise que les en-têtes HTTP sont publics. Chaque site Web que vous visitez et chaque réseau publicitaire sur ce site Web (il peut y en avoir des dizaines) peut également utiliser votre X-UIDH. Ils n’ont pas besoin de l’autorisation de Verizon pour le faire – l’en-tête est là, attendant juste d’être utilisé. Même si vous faites exécuter un module complémentaire comme Ghostery pour bloquer et supprimer les cookies de suiviou activer Ne pas suivre, les annonceurs peuvent toujours utiliser l’en-tête X-UIDH pour reconstruire un cookie de suivi précis à chaque fois.

Psssssst :  Microsoft divulgue les informations d'identification de démarrage sécurisé et montre pourquoi les "clés dorées" de la porte dérobée ne peuvent pas fonctionner

Rappelez-vous maintenant que l’en-tête X-UIDH est peut-être en place sur le réseau de Verizon Wireless depuis 2012, et des tiers aléatoires – dont Verizon ne sait rien ! – peut avoir construit un historique presque parfait de votre comportement en ligne tout le temps. La Rapports du FEP que le matériel réseau de Verizon injecte même l’en-tête X-UIDH dans le flux de données des MVNO de Verizon, tels que Straight Talk.

En un mot, ce scénario est complètement fou. Si je ne parlais pas d’un FAI ou d’un opérateur américain, je dirais qu’un tel comportement est inadmissible.

La neutralité du net, une vision plutôt utopique de celle-ci

La neutralité du net, une vision plutôt utopique de celle-ci

Comment bloquer le super cookie Verizon X-UIDH

Le moyen le plus simple d’atténuer le cookie de suivi X-UIDH consiste à n’utiliser que HTTPS. Verizon ne peut pas se mêler des requêtes HTTPS. Le propre de l’EFF Module complémentaire HTTPS Everywhere est un bon point de départ. Le problème avec cette approche est que de nombreux sites Web n’offrent pas HTTPS – et bien sûr, si les sites (ou leurs partenaires publicitaires) utilisent l’en-tête X-UIDH, il y a une incitation assez forte à ne pas activer HTTPS.

Utilisant un VPN, Tor ou un proxy crypté est également une option viable – mais évidemment, faire de tels efforts sur votre smartphone peut être un peu pénible. Utiliser un VPN ou Tor est le seul moyen fiable d’éviter l’en-tête X-UIDH – mais vous devrez décider si cela vaut l’impact sur les performances et la durée de vie de la batterie.

Psssssst :  L'informatique quantique peut bientôt aider à sécuriser le réseau électrique - High-teK.ca

En fin de compte, bien sûr, la seule vraie solution est que Verizon Wireless doit désactiver immédiatement l’injection d’en-tête X-UIDH. Ce ne serait pas si grave si les clients avaient la possibilité de s’inscrire au programme, mais tout le monde a été automatiquement inscrit en 2012. Techniquement, vous pouvez vous « désinscrire » de Verizon en utilisant l’en-tête X-UIDH à des fins de suivi, mais l’en-tête reste en place pour les tiers et autres vauriens. AT&T, qui teste actuellement un système similaire, vous laissera apparemment vous désinscrire complètement, de sorte que l’en-tête ne soit pas injecté en premier lieu.

En attendant, pendant que nous attendons un jour qui ne viendra peut-être jamais, vous serez peut-être heureux d’apprendre que les deux Sprint et T Mobile semblent être exempts de tels supercookies.

Et conclut ainsi une autre mise à jour sur le triste état des opérateurs de télécommunications, des FAI et des opérateurs de téléphonie mobile aux États-Unis.

Maintenant lis: La FTC poursuit AT&T pour utilisation trompeuse et trompeuse des forfaits de données «illimités»

Bouton retour en haut de la page