Journal d'investigation en ligne et d'information‑hacking
par Jef Mathiot, aeris, Antoine Champagne - kitetoa

Affreux, sales et méchants

Les nouveaux trackers planqués de la e-économie

Soyons honnêtes, Libé n'est pas le seul à jongler avec le RGPD et les bloqueurs de trackers. Nous avons un peu exploré le Web commercial. C'est pas joli, joli. Ceci dit Libé est le seul à avoir annoncé un retrait des trackers sans le faire.

Inception - Copie d'écran

Nous avons beaucoup glosé sur Libération et sa façon très personnelle de faire "disparaître", façon Garcimore, les trackers de ses pages pour les abonnés. Comme nous l'avons raconté, les données personnelles des lecteurs abonnés continuent de partir vers un tiers, en l'occurence une Data Management Platform, Eulerian. Résumons : Libération a-t-il enlevé les trackers de ses pages ? Non. A tel point que le cookie de session qui identifie les abonnés et ouvre grand l'accès à leur compte et leurs informations personnelles à celui qui le détient, fuite chez Eulerian. Sur le papier, rien de grave puisque l'on imagine mal Eulerian aller hijacker (voler) la session d'un abonné. Mais dans l'absolu, on est à l'opposé de ce qui était annoncé par Clément Delpirou, directeur général de SFR Presse, et Paul Quinio, directeur délégué de la rédaction de Libération pendant l'émission de France-Inter, L'instant M.

Après avoir démontré que Libé avait un peu pipeauté, regardons ce qui se passe ailleurs. Nous expliquions hier que de nombreux prestataires, outre Eulerian, avaient choisi cette méthode d'offuscation pour "s'arranger" avec le RGPD et pour empêcher complètement les blockeurs de trackers de faire leur travail. Un problème pour Chrome ou Firefox qui en intègrent désormais un par défaut. Mais aussi pour les bloqueurs comme Ghostery, Ublock ou Privacy badger. Impossible de bloquer les Data Management Platform puisqu'elles se planquent derrière un nom de domaine "légitime" aux yeux des bloqueurs de trackers. Petite ballade dans l'Internet qui piste, traque, monétise ses visiteurs et utilise des méthodes bien cradoques pour le faire...

Sur le site du Monde, l'adresse magique qui permet de récolter les données personnelles est buf.lemonde.fr. Contrairement aux apparences, il ne s'agit pas d'un sous-domaine du domaine lemonde.fr mais d'une redirection vers buf-lemonde-fr-cddc.at-o.net. Là, il faut du courage pour trouver qui se cache derrière at-o.net mais en vous la faisant courte, il s'agit de AT Internet, de la mesure d'audience, l'ex-Xiti.

A la FNAC, on fait tranquillement de la double offuscation. Pas vraiment volontairement, mais dans les faits... Ici l'URL magique permettant de s'assoir sur le RGPD et de leurrer les bloqueurs de trackers est degh48.fnac.com. Rien à voir avec la Fnac, puisqu'en fait cette adresse est un leurre pour tk-fnac.storetail.io. Et derrière le nom Storetail, se cache... Criteo, l'expert en retargeting.

Communiqué de presse Criteo - Copie d'écran
Communiqué de presse Criteo - Copie d'écran

A la Fnac, on place d'ailleurs la barre assez haut puisqu'en fait, ce sont trois adresses qui masquent de la collecte par deux DMP, Criteo et Eulerian :

degh48.fnac.comtk-fnac.storetail.io eultech.fnac.comfnac.eulerian.net pk8n57.fnac.comcdn-fnac.storetail.io

Trackers sur Fnac.com - Copie d'écran
Trackers sur Fnac.com - Copie d'écran

Côté 20minutes, on tombe complètement dans l’indécent, avec, accrochez-vous bien, 20minutes.fr qui charge du contenu via 20mn.fr qui charge à nouveau du contenu via a.20minutes.fr, qui est un raccourci vers a-20minutes-fr-cddc.at-o.net et donc du ATInternet/Xiti comme précédemment. Du domaine tiers pas tiers qui dépose du contenu pas tiers tiers (relisez lentement au besoin)…

Boursorama n’est pas en reste, avec leur domaine c0011.boursorama.com, présent à la fois sur la page de connexion cliente et sur l’interface de gestion de compte, en réalité c0011-boursorama-com-cddc.at-o.net et à nouveau AT Internet… Ce cas est particulièrement singulier, puisque la moindre erreur de configuration du côté de Boursorama fait que votre cookie de session finira chez Xiti, n’étant plus protégé par le « Same Origin Policy » présent dans tous les navigateurs web. Il s'agit d'un mécanisme de sécurité permettant d'éviter que différents sites intégrés les uns aux autres (différentes origines), puissent échanger n'importe quoi. On passerait d’un problème sérieux de respect de la vie privée à un problème critique de sécurité bancaire, n’importe qui chez AT Internet pouvant alors se connecter à vos comptes bancaires avec exactement les mêmes droits que vous. Jouer avec les délégations de domaines en first-party revient à jouer avec le feu en permanence…

Toujours dans le domaine drôle mais pas trop, la SNCF se voit décerner la palme d’Or pour son œuvre « Inception ».

Dans leurs campagnes d’email, dont ceux de rappel d’options posées arrivant à expiration, tous les liens du mail sont en v.oui.sncf, en réalité voyages-sncf.eulerian.net, qu’on ne présente plus. Ces liens contiennent en paramètre l’adresse réelle du contenu, qui est en t.newsletter.oui.sncf. Réel ? Non, car c’est en réalité vsctechno-customer-vsctechnologies-mid-prod1-cus.campaign.adobe.com, un service d’Adobe Campaign. Le pire ? Les paramètres (SNCF) des paramètres (Adobe) des paramètres (Eulerian) (Ho ! Faut suivre un peu voyons !) contiennent entre autre votre nom de famille et votre référence de dossier, le tout bien entendu accessible à chaque étape de cette joyeuse chaîne…

Bref, dans le monde du tracking, on s'amuse beaucoup ces temps-ci pendant que tout le monde se congratule sur l'avancée sans pareil que constitue le RGPD pour la protection des données personnelles...

6 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée