Journal d'investigation en ligne et d'information‑hacking
par bluetouff

FIC2014 : ces administrations françaises qui livrent ce que vous avez de plus intime à des tiers…

Alors... rien à cacher ? La collecte de données statistiques est quelque chose d'important pour de nombreux sites web qui tirent un revenu direct de leur fréquentation, en vendant de l'espace pour de la publicité ou en monétisant les contenus. Obtenir des statistiques fines, en temps réel, sur un site à fort trafic, c'est couteux en terme de ressources.

Alors... rien à cacher ?

La collecte de données statistiques est quelque chose d'important pour de nombreux sites web qui tirent un revenu direct de leur fréquentation, en vendant de l'espace pour de la publicité ou en monétisant les contenus. Obtenir des statistiques fines, en temps réel, sur un site à fort trafic, c'est couteux en terme de ressources. Aussi, nombreux sont les sites qui font confiance à un tiers qui traitera de manière externe ces statistiques au lieu de venir massacrer une pauvre base de données SQL en comptant chaque clic en temps réel.

Pourquoi des statistiques ?

Si sur un site de presse, la collecte de statistiques trouve des explications légitimes,  il existe des sites web sur lesquels cette collecte est difficilement justifiable : les administrations. Et cette collecte le devient encore moins quand elle a recours à un service comme Google Analytics qui traque les utilisateurs sur des millions de sites web. Des lecteurs (ou pas) de Reflets s'étaient d'ailleurs délectés de faire tourner le screenshot de la honte attestant que Refletsutilisait Google Analytics et des trackers de réseaux sociaux... d'ailleurs depuis Reflets n'a plus de stats, ni même de boutons de partage. C'est vrai... hurler qu'un site de presse utilise des trackers permettant de compter le nombre de tweets ou de visites, c'est très choquant. Dans quelques lignes, vous allez avoir une raison un peu plus sérieuse de vous indigner...

Google fournit aux webmasters une solution de statistiques très élaborée, dotée de nombreuses fonctionnalités. Son utilisation est gratuite et le traitement, gourmand en opérations et en ressources, est effectué non pas sur l'infrastructure de l'utilisateur, mais sur l'infrastructure de Google. C'est "tout bénef »... oui enfin presque, car si c'est gratuit pour l'utilisateur, la bonne, question, comme toujours, est de vous demander "combien ça coûte ce truc gratuit ?». La contrepartie, c'est que ces données de navigation de vos visiteurs sont livrées à Google, qui de son côté va utiliser ces mêmes données pour afficher des publicités contextuelles.

Cette sombre histoire de cookies indiscrets

Vous venez de visiter un site web de vente de billets d'avion, et voici que Google vous propose en affichage publicitaire dans ses résultats de recherches et même sur les sites que vous visitez utilisant Google Adsense® des publicités de voyagistes ou d'hôtels... exactement là où vous souhaitiez vous rendre. Evidemment, tout ceci ne doit rien à la magie des Internets ou au hasard, il s'agit en fait d'une technique : le tracking, qui lui permet de savoir ce que vous visitez pour mieux cibler ses publicités.

La pratique est connue, les internautes mangent des tracking cookies comme monsieur Jourdain fait de la prose... mais il y a quand même des situations dans lesquelles il serait bien que nos administrations réfléchissent à deux fois avant de livrer des données sensibles (et pas si anonymisées que ça) à des tiers, qu'ils soient américains ou français.

Total Annihilation Prevention Disclosure

Attention, avant d'aller plus loin, nous préciserons qu'aucun site web n'a été "piraté" et qu'aucune recherche visant à "tuer toute la planète" n'a été effectuée pour la rédaction de cet article. Le fait d'afficher le code source d'une page web est une fonctionnalité, non malicieuse, de n'importe quel navigateur web. Cette précision étant faite, passons aux choses qui fâchent.

Ton IVG avec Google

Parmi les sites web de l'administration qui offrent des informations sensibles, de l'ordre de l'intime, à des tiers, le site du ministère de la santé et particulièrement sa page sur l'IVG. Un exemple particulièrement dérangeant quand on connait les conditions auxquelles sont soumis les hébergeurs de données de santé... données on ne peut plus intimes.

On se doute bien que de nombreuses personnes, n'ayant pas trop envie de crier sur les toits qu'elles vivent un moment douloureux, n'ont pas non plus envie que ce qui constitue pour elles une démarche difficile, vienne alimenter des bases de données qui seront réutilisées pour afficher des publicités contextuelles sur les pages qu'elles visitent. Et bien cette page, particulièrement sensible, se voit affublée d'un tracker Google Analytics. De cette manière, si une personne connectée à son compte Google visite cette page, elle laisse entendre à Google de manière pas si anonyme que ça, qu'elle est en train d'envisager une interruption volontaire de grossesse. On imagine vite le cynisme des publicités contextuelles que "l'intelligence artificielle" devient alors susceptible de recracher dés lors que l'on visite cette page.

Toujours en rapport avec la problématique sensible de l'IVG, nous avons par exemple le site "IVG Les Adresses", mis à disposition du public en partenariat avec l'Agence Régionale de Santé Ile de France, promettant dans ses mentions légales qu' "Aucune information personnelle n’est conservée, ni transmise."

On se doute bien que comme ce site utilise Google Maps, cette affirmation n'est pas tout à fait exacte :

Mais il y a mieux : comme le site est lui aussi affublé d'un script de tracking Google Analytics, Google peut traquer en temps réel le choix de votre centre d'accueil ou l'on pratique l'IVG , et pour peu que vous utilisiez le calcul de l'itinéraire, savoir quand vous y serez et comment vous allez vous y rendre.

Ah et puisque nous y sommes :

On en est quand même à laversion 3.8....

Il s'agit, au bas mot d'indélicatesses malencontreuses du ministère et des autorités régionales de Santé vous dites vous... certainement. Mais ce cas est loin d'être isolé.

Toujours au sujet de l'IVG, le site du Service Public partage de son côté ce genre d'informations avec Xiti

Ta déclaration d'impôts avec Xiti

Bercy de son côté, livre à Xiti une mine d'informations sur chaque page consultée quand vous faite votre déclaration d'impôts en ligne. En quoi cette collecte statistique sur des pages relevant de votre rapport avec l'administration française peut intéresser une société tierce ?

Et si on arrêtait de faire n'importe quoi, n'importe comment avec n'importe qui ?

Le Forum International de la Cybercriminalité (FIC 2014) qui se tient actuellement à Lille et marque cette année un tournant pour l'ANSSI qui voit ses prérogatives renforcées, pourrait être pour elle l'occasion de s'illustrer, en collaboration avec la CNIL, sur un guide des bonnes pratiques en matière d'externalisation de traitements de données, encore une fois pas si anonymisées qu'elles le prétendent, émanant des administrations françaises et relevant de l'intime. Les cas que nous venons d'évoquer, en pleine "gueule de bois Snowden", devraient lui donner matière à effectuer quelques vérifications et dicter quelques préconisations de fermetés pour éviter que les administrations et les agences de communication qui réalisent leurs sites web (cherchez l'erreur) arrêtent de faire n'importe quoi n'importe comment sans que personne ne se pose de questions sur l'impact de certains choix difficilement justifiables.

Edit :la CNIL a émis des recommandations sur l'usage d'outils de statistiques.

Merci à @Gawel_ ;)

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée