Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Tracking

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Le Tracking, ce sont plusieurs centaines d'agences de type "Renseignement Généraux" effectuant toutes ensembles, en même temps et en temps réel, en concurrence les unes d'avec les autres, une filature de 100% des internautes du monde, tous marqués à la culotte par un identifiant unique, et établissant des fiches de filature et des fiches de profils de chacun d'entre nous, conservées à vie.

Lire "Commander une pizza", un exemple délirant de tracking, encore un peu utopique mais plus pour très longtemps, ou ce texte visionnaire qu'écrivait le Commissaire à l'information et à la protection de la vie privée, Tom Wright, dans son rapport public, en 1994 !

Assiste.com : Tracking

Dossier : Stop Tracking (Traces externes et Surveillance)

Dossier : Stop Tracking

Finalités avouées (alibi) de la surveillance
Tracking
Profiling
Analyse comportementale
Marketing comportemental
Lute anti-terrorisme

Commander une pizza

Outils de la surveillance des internautes
Web Bug
Hit parade des utilisateurs de Web Bug
Cookies
Guid - Identificateur unique
Flash cookies (LSO - Local Shared Objects)
Entêtes HTTP
Google - Liste des services en ligne
Google - Le principe d'encerclement

Qui êtes-vous ? Bavardages avec les serveurs
Qui êtes-vous ? Vos cercles de connaissances
Qui êtes-vous ? Géolocalisation
Qui êtes-vous ? Que dit le serveur de votre FAI
Qui êtes-vous ? Traces révélées par vous-même

Analyse des traces - Data Mining et Big Data
Qui êtes vous ? Catégorie socioprofessionnelle
Qui êtes-vous ? Data mining : pêche aux traces
Qui êtes-vous ? RIOT : Google des vies privées.
Qui êtes vous ? TIA : Tout capturer Tout savoir
Qui êtes-vous ? GOSSIP - Profiling militaire

Stop Tracking par le blocage de la publicité
Procédure de blocage de la publicité
Protection navigateur, navigation, vie privée
Adblock Plus
AdGuard
AdBlock Edge (archive - n'existe plus)
AdFender
uBlock

Autres dispositifs de blocage
Opt-Out (le principe)
Opt-in (le principe)
Opt-Out des adhérents de la DAA
Opt-Out dea adhérents de la NAI
Opt-Out des adhérents de Ghostery
Opt-Out spécifique de Yahoo!
Opt-Out spécifique de Microsoft
Opt-Out spécifique de Google
Do Not Track Plus (DNT+)
Do Not Track Me (Abine)
EasyPrivacy
AntiSocial
Malwaredomains
BetterPrivacy (Flash cookies, Local Shared Objects, LSO)
Ghostery
Disconnect
Privacy Badger (EFF)
Facebook Disconnect
TrackerBlock

Anti-profiling - Une invention d'assiste.com
Crétiniseur de profiling

Synonymes de Web Bug
Pixel based event tracking
1 by 1 gif
Pixel tag
Pixel espion
Pixel de suivi
Web-Bug
WebBug
Web Beacon
Action tag
Image tag
Invisible Gif
Clear Gif
Pixel Tracking
Tracking Pixel
Tracking Bug
Pixel de tracking
Balise pixel
Pixel transparent
Pixel invisible
Single-pixel
Bogue Web

Le beau projet DNT dans l'impasse
Do Not Track
Do Not Track - Activer dans Firefox
Do Not Track - Activer dans IE
Do Not Track - Activer dans Opera
Do Not Track - Activer dans Safari
Do Not Track - Activer dans Chrome

Surveiller les surveillants en temps réel
Collusion
Lightbeam
CookieViz

Cookies
Cookie : définition - Qu'est-ce que c'est ?
Cookies de Tracking
Opt Out - Cookie de tracking
Cookie obligatoire sinon rien (SlashdotMedia)
Supercookies
Flash cookies
Local Shared Objects, LSO
Session cookie
Persistent cookie
Secure cookie
HttpOnly cookie
First-party cookies
Third-party cookie
Zombie cookie

Sociétés de tracking et de profiling
Liste de domaines publicitaires
Liste de domaines statistiques
Liste de domaines vie privée (privacy)
Liste de domaines tracking pur
Liste de domaines tracking par gadgets Widget
Liste de domaines tracking membres de la DAA
Liste de domaines tracking membres de la NAI
Liste compilée de toutes les listes ci-dessus.
Hit parade des utilisateurs de Web Bug

Dossier : Traces externes - Qui êtes-vous ?

Dossier : Traces externes
Dossier : Traces internes

Crétiniseur de tracking et profiling

Qui êtes-vous ? Bavardages avec les serveurs
Qui êtes-vous ? Vos cercles de connaissances
Qui êtes-vous ? Géolocalisation
Qui êtes-vous ? Que dit le serveur de votre FAI
Qui êtes-vous ? Traces révélées par vous-même
Qui êtes vous ? Catégorie socioprofessionnelle
Qui êtes-vous ? Data mining : pêche aux traces
Qui êtes-vous ? RIOT : Google des vies privées.
Qui êtes vous ? TIA : Tout capturer Tout savoir
Qui êtes-vous ? GOSSIP - Profiling militaire
Qui êtes-vous ? e-Réputation
Qui êtes-vous ? Le droit à l'oubli
Vidéo : NSA - L'agence de l'Ombre (Arte)
Cercles de connaissances - Vols organisés
Liste de domaines publicitaires
Liste de domaines statistiques
Liste de domaines vie privée (privacy)
Liste de domaines tracking pur
Liste de domaines tracking par gadgets Widget
Liste de domaines tracking membres de la DAA
Liste de domaines tracking membres de la NAI
Liste compilée de toutes les listes ci-dessus.
Hit parade des utilisateurs de Web Bug

TrackingTrackingTracking


Action rapide - Pas le temps de lire.

Bloquer la surveillance, les Web-Bugs, l'exploitation du contenu des entêtes des requêtes HTTP, le tracking, le profiling, etc. ... passe par le blocage des mécanismes publicitaires et des mécanismes assimilés, qui servent d'alibi à la surveillance, sous prétexte d'analyse comportementale pour permettre un marketing comportemental. Deux approches :

  1. Installer Adblock Plus seul (très insuffisant)
    • Télécharger et installez Adblock Plus dans votre navigateur
    • Sur la page vous confirmant la bonne installation d'Adblock Plus, tirez immédiatement à droite les trois boutons suivants.

      Adblock Plus - Installation
      Adblock Plus - Installation

      Il n'y a rien d'autre à faire, ni maintenant ni plus tard (vous n'avez rien à faire de particulier).

      Cela correspond à vos inscriptions aux bases de signatures et de règles suivantes :

      1. AntiSocial (Fanboy's Social Blocking List) - Blocage de l'espionnage et de la surveillance ( pudiquement appelé tracking ) par les réseaux sociaux avec leurs boutons (J'aime, Plus 1, etc. ...) servant de Web-Bug

        Bloquer totalement la publicité sur le Web - AntiSocial - Exemples de tags des réseaux sociaux
        Bloquer totalement la publicité sur le Web - AntiSocial - Exemples de tags des réseaux sociaux

      2. EasyPrivacy - Blocage de l'espionnage et de la surveillance ( pudiquement appelé tracking ) par les acteurs de pur tracking (sans activité publicitaire), comme :

        1. Les sites de statistiques pour webmasters qui n'ont d'autre raison d'être que de faire du tracking et de vendre ces données volées (offrir des statistiques gratuites aux webmasters n'est que l'alibi pour être présent dans toutes les pages les sites visités).
        2. Les sites de gadgets (inutiles et hostiles dans 99,999%) qui n'ont d'autre raison d'être que de faire du tracking et de vendre ces données volées (le gadget en lui-même (météo, horloge, news, etc. ...) n'est que l'alibi pour être présent et actif en continu dans les ordinateurs).
        3. Les sites qui se greffent à d'autres sites, comme Disqus, etc. ...) qui n'ont d'autre raison d'être que de provoquer des requêtes http afin de capturer des entêtes de requêtes, de faire du tracking et de vendre ces données volées. Pourquoi croyez-vous que ces " services ", qui nécessitent de très gros moyens en data-center et bande passante, soient gratuits.
        4. Les sites qui offrent des trucs gratuits en ligne, non copiables mais utilisables uniquement en faisant des appels à des serveurs afin de faire du tracking (dont vos centres d'intérêts par l'exploitation des entêtes HTTP dans les requêtes HTTP) et d'exploiter et / ou vendre ces données surveillées et collectées :
          1. Services (Sites) offrant des smileys et émoticônes
          2. Services (Sites) hébergeant votre avatar pour le retrouver sur de nombreux forums et blogs. Le site Gravatar est l'un des plus importants sites d'espionnage et de surveillance après Google)
          3. Services (Sites) hébergeant polices de caractères (serveurs de Google)
          4. Serveurs d'APIs (serveurs de Google)
          5. Etc. ...
          Voir, par exemple, le Principe d'encerclement de Google (tous les autres grands acteurs du Web en font autant) qui n'a d'autre raison d'être que de faire du tracking.
        5. Etc. ...

      3. Malwaredomains - Blocage de l'accès à tous les sites identifiés comme présentant un danger (au sens de la sécurité de votre ordinateur et / ou de vos données).

  2. Installer Adblock Plus dans le cadre d'une procédure plus vaste
    Procédure complète de blocage de la publicité et de protection de la vie privée

Rappel des étapes de la chaîne du marketing basée sur l'espionnage.

Les concepts globaux à retenir sont simples :

  • Tracking (espionnage)
    Le tracking peut être défini comme l'enregistrement et la rétention d'informations qui portent sur les actions et habitudes d'une personne physique à travers l'espace, le cyberespace et le temps. Lorsque plusieurs sources d'informations sont exploitées, avec plusieurs technologies d'écoute, on parle de tracking multi-canal.
  • Profiling (analyse comportementale)
    Le profiling est l'analyse comportementale de chaque internaute, à partir de tous les enregistrements de tracking, afin d'en déduire les divers profils et comportements de cette personne physique. Ces analyses comportementales sont effectuées en temps réel. Elles permettent de déterminer vos penchant sexuels, politiques, religieux, culturels, vos goûts, vos habitudes de consommation, etc. Les RG en ont rêvé, les traqueurs du Web l'ont fait.
  • Ciblage comportemental (Behavioural targeting)
    Le ciblage comportemental permet de gouverner, sous le puissant pouvoir des préférences de la cible, la délivrance des messages publicitaires. Des algorithmes permettent d'anticiper vos faits et gestes (ce que vous allez faire, ce que vous allez lire, ce que vous allez voir, là où vous irez, ce que vous allez devenir, vos aspirations, les maladies que vous allez développer et donc le risque que vous représentez pour les compagnies d'assurance, etc.)
  • Marketing comportemental
    Le marketing comportemental déplace le marketing du marketing produit vers le marketing consommateur.
Tracking - Profiling - CRM - Data-Mining - Big-Data - Ciblage comportemental - Marketing comportemental - Ciblage temps réel - Marketing temps réel
Tracking - Profiling - CRM - Data-Mining - Big-Data - Ciblage comportemental - Marketing comportemental - Ciblage temps réel - Marketing temps réel

Tracking : "Prenez et servez-vous tous, car ceci est ma vie privée."
Tracking : "Prenez et servez-vous tous, car ceci est ma vie privée."

Le tracking ne nécessite aucun outil d'espionnageLe tracking ne nécessite aucun outil d'espionnageLe tracking ne nécessite aucun outil d'espionnage

Le tracking est une forme d'espionnage qui cache son nom. Il n'y a besoin d'aucun outil d'espionnage pour pratiquer cet espionnage. Les dispositions techniques normales de l'Internet le permettent.

Ce que vous faîte FAIT ce que vous êtes.

Ce que vous faîte EST ce que vous êtes.

Le fonctionnement natif d'Internet comporte la transmission de nombreuses données, pour des raisons historiques de mise au point et dépannage du réseau Internet. Ces données partent du client de navigation (le navigateur Internet utilisé : Firefox, Internet Explorer, Opera, Google Chrome, Safari, etc. ...) vers les serveurs de tous les objets affichés (ou pas) sur une page visitée.

Ces serveurs sont :

  1. Par la force des choses, le serveur du site visité. Le site peut, d'ailleurs, utiliser de nombreux serveurs si le site réparti les objets constituant ses pages sur plusieurs serveurs (serveurs de code html, serveurs d'images, serveurs de vidéo, serveurs de ressources son, serveur de CSS, serveur de scripts javascript, etc. ...), pour des raisons de vitesse (équilibre de la charge des serveurs appelée " load balancing " ) comme pour rendre très difficile une attaque en DDoS contre lui.
  2. Le serveur du service de statistiques de visites du site. Ce service est incrusté dans toutes les pages Web de tous les sites, pour les besoins du Webmaster, qui utilise parfois plusieurs services de statistiques. Donc plusieurs sociétés de statistiques, avec leurs serveurs, sont consultés.
  3. Les serveurs de chacune des régies publicitaires avec lesquelles le webmaster du site travaille.
  4. Le serveur de Google offrant les outils de recherche à l'intérieur du site. L'outil étant gratuit et très bien fait, tous les Webmasters l'utilisent, ce qui permet à Google d'atteindre, malgré eux, les internautes qui n'utiliseraient pas son moteur de recherche et tenteraient de fuir Google.
  5. Le serveur de Google offrant les librairies de scripts que tous les Webmasters et les développeurs utilisent dans tous leurs sites : googleapis.com (ajax, jquery, etc. ...), ce qui permet à Google, encore une fois, d'atteindre, malgré eux, les internautes qui n'utiliseraient pas son moteur de recherche et tenteraient de fuir Google.
  6. Les serveurs de chaque réseau social dont on trouve un bouton sur la page du site visité. Pour chaque bouton (Google+, J'aime, FaceBook, Linkedin, Twitter, etc. ...), il y a un serveur derrière.
  7. Tout autre tiers incrusté dans la page visitée.

Chaque serveur reçoit et stocke, indéfiniment, les informations transmises, d'une manière normale et naturelle, par les entête des requêtes HTTP. Pour provoquer l'envoie de cette requête, lorsqu'il n'y a pas de raison valable de le faire, il est fait appel à un substitut d'objet à aller chercher sur le serveur : un Web Bug.

Une fois les moindres traces de navigation et déplacements sur l'Internet capturées et stockées, elles sont exploitées par des outils logiciels de profiling.

Le Tracking par l'exempleLe Tracking par l'exempleLe Tracking par l'exemple

Le plus simple, pour expliquer le tracking, est de simplement suivre ce qui se passe lorsque l'on va sur une page d'un site. Prenons une page d'un site bien connu : CCM (Comment ça marche). Rendons-nous, tout simplement, sur leur page d'accueil, à http://www.commentcamarche.net.

Nous n'allons rien utiliser de particulier pour voir ce qui se passe : la navigation se fait sous Firefox avec les modules additionnels habituels que tout un chacun installe : NoScript, Adblock Plus et Ghostery. On utilise également "Live HTTP Headers" qui permet de voir le contenu des en-têtes des paquets (les informations qui circulent sur l'Internet se font sous forme de "paquets" et chaque "paquet" est constitué des données précédées d'une en-tête ("header") et fermées par un pied ("footer")).

Dans cette capture d'écran, on a désactivé Ghostery pour pouvoir lire clairement la liste des serveurs distants autres que ceux de CCM (on voit uniquement la liste des serveurs des sociétés de tracking auxquelles les pages de CCM font appel, et qui adhèrent au " Club Evidon Better Advertising " dont Ghostery est l'outil - il existe de nombreuses autres solutions d'Opt-Out auxquelles d'autres sociétés de tracking adhèrent, comme NAI ou DAA). On identifie 11 serveurs ! Chacun va recevoir une requête en provenance de votre ordinateur, à partir de la page CCM qui s'affiche dans votre navigateur.

Chacun de ces serveurs, qui n'a rien à voir avec CCM, va recevoir une requêtes dont l'en-tête lui donne diverses informations sur vous-même, votre ordinateur, votre navigateur, l'adresse de la page que vous êtes en-train de visiter, le contenu du cookie de FaceBook pour le site CCM dans votre ordinateur etc. ...

Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 11 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de préparation des navigateurs".
Avec l'outil "Ghostery", gratuit, créé pour répondre aux obligations légales imposées dans les pays démocratiques, dont les pays d'Europe et d'Amérique du Nord, on peut voir que cette page va chercher des objets sur 11 autres serveurs en plus du sien. L'outil "Ghostery" est l'un des outils de notre "Tableau de protection des navigateurs, de la navigation et de la vie privée".
Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque Requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.
Avec l'outil "Collusion", gratuit, il est possible de voir, graphiquement, avec qui communique le site visité. Chaque fois qu'une page du site, au centre du graphique, est affichée, elle oblige le navigateur utilisé à faire des requêtes à chacun des serveurs d'autres domaines (sites). Chaque requête HTTP envoie des informations sur vous à chacune des sociétés qui opèrent ces serveurs.

Quand avez-vous donné votre autorisation pour être filé 24/24
par des dizaines de milliers d'espions ? Jamais !

Tout est dit dans cette vidéo de 06'40" où Gary Kovacs, président de la Fondation Mozilla, présente Collusion (en anglais, sous-titré en français).


Chargement...

Collusion - Annonce et démonstration par Gary Kovacs, président de la Fondation Mozilla


Que contiennent les entêtes HTTP et qu'est-ce qui pose problèmeQue contiennent les entêtes HTTP et qu'est-ce qui pose problèmeQue contiennent les entêtes HTTP et qu'est-ce qui pose problème

Voici ce qu'envoi votre navigateur. Ceci est visible en temps réel en utilisant "Live HTTP Headers".
Le serveur du site visité récupère également d'autres informations, par exemple les
Voir également :
Analyse d'un Entête HTTP (HTTP Header)
  1. Contenu brut de l'entête d'une requête HTTP
    Ici, c'est un clic sur un lien se trouvant sur une page du CNet (C|Net) pour se rendre sur une autre pas du même site.
    Contenu du cookie coupé en plusieurs lignes à cause des contraintes d'affichage.

    http://www.cnetfrance.fr/cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm

    GET /cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm HTTP/1.1
    Host: www.cnetfrance.fr
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    Referer: http://www.cnetfrance.fr/produits/dell-xps-13-full-hd-39788156.htm
    Cookie: bbproduction_lastvisit=1363885598; bbproduction_lastactivity=0; s_getNewRepeat=1363886306777-New;
    s_lv_cnetfr=1363886306779; __utma=114781269.1340294670.1363885672.1363885672.1363885672.1;
    __utmz=114781269.1363885672.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);
    bwp2=960ae55a60deb4ff2739cc11da479c4f,15.4332736580731,v1; LDCLGFbrowser=0e82ddba-f5d6-4c84-96da-840136fe227d;
    s_fid=22B508C8D2B2D196-234333110059C88A; s_vnum=1366478272913%26vn%3D1;
    cnetfr%3Aproduction%3Asid=nluvbguaiqpcrss7gh3eu5jmh2;
    RT=s=1363901815679&r=http%3A%2F%2Fwww.cnetfrance.fr%2Fproduits%2Fdell-xps-13-full-hd-39788156.htm
    Connection: keep-alive

    HTTP/1.1 200 OK
    Date: Thu, 21 Mar 2013 21:35:48 GMT
    Server: Apache
    Expires: Thu, 19 Nov 1981 08:52:00 GMT
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
    Pragma: no-cache
    Vary: Accept-Encoding
    Content-Length: 63852
    Keep-Alive: timeout=20, max=45
    Connection: Keep-Alive
    Content-Type: text/html; charset=UTF-8



  2. Le même contenu, commenté, de l'entête d'une requête HTTP.
    En rouge, ce qui pose problème

    La ressource web demandée par l'internaute
    Lorsqu'une page Web est demandée (votre "clic" sur un lien...), le serveur de la page demandée reçoit une "requête" contenant des informations sur votre "requête". Que le serveur reçoive l'URL de la page demandée est logique et on ne peut y échapper (il faut bien dire au serveur quelle page on souhaite voir, même si cela lui permet de pister ma navigation et mes centres d'intérêts).
    http://www.cnetfrance.fr/cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm

    Spécification du type de requête - La méthode GET demande la ressource brute (aucun traitement)
    GET /cartech/hyundai-ix-35-a-hydrogene-50000-euros-pour-la-version-grand-public-39787999.htm HTTP/1.1

    Le domaine de la ressource demandée par l'internaute
    N'est réellement utile que si la ressource est sur un serveur mutualisé, hébergeant plusieurs domaines à la même adresse IP.
    Host: www.cnetfrance.fr

    Le navigateur utilisé par l'internaute
    Était très utile aux temps où chaque éditeur d'un navigateur tentait d'imposer ses propres élucubrations et tentait d'élever ses bizarreries au rang de standards. Le serveur devait savoir à quel navigateur il avait à faire pour adapter ce qu'il envoyait aux incompatibilités du client. Aujourd'hui, les recommandations du W3C sont suivies et cette information n'a plus lieu d'être. Le serveur n'a pas à savoir quel navigateur j'utilise et certains petits outils d'anonymisation permettent d'effacer cette zone des entêtes HTTP, où d'y inscrire une imbécilité sans queue ni tête.
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0

    Ordre de préférences de l'internaute pour recevoir la réponse
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Ordre de préférences de langue de l'internaute pour recevoir la réponse
    Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3

    L'internaute (son navigateur) accepte la compression
    Accept-Encoding: gzip, deflate

    L'Internaute a activé Do Not Track (Voir DNT)
    DNT: 1

    L'internaute venait de cette page lorsqu'il a demandé la nouvelle ressource (permet de pister l'internaute et de remonter toute sa navigation)
    Pour des raisons historiques de mise au point et maintenance du réseau Internet, le serveur reçoit également l'URL de la page précédente (celle sur laquelle vous pouvez revenir en cliquant sur le bouton "Reculer d'une page"). Envoyer cette information était utile pour chercher d'où venaient les erreurs de fonctionnement du réseau, il y a 40 ou 50 ans. Elle n'est plus d'aucune utilité technique aujourd'hui mais continue d'être envoyée. Il est donc possible, de "hop" en "hop", de suivre et reconstituer l'intégralité des déplacements de chaque internautes. Par lecture des contenus des pages visitées, puis analyse, des déductions diverses sont faites, appelées "Profils".
    Referer: http://www.cnetfrance.fr/produits/dell-xps-13-full-hd-39788156.htm

    Le contenu du cookie de tracking du domaine pour cet internaute (dont un Identificateur Unique - GUID)
    Cookie: bbproduction_lastvisit=1363885598; bbproduction_lastactivity=0; s_getNewRepeat=1363886306777-New;
    s_lv_cnetfr=1363886306779; __utma=114781269.1340294670.1363885672.1363885672.1363885672.1;
    __utmz=114781269.1363885672.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none);
    bwp2=960ae55a60deb4ff2739cc11da479c4f,15.4332736580731,v1; LDCLGFbrowser=0e82ddba-f5d6-4c84-96da-840136fe227d;
    s_fid=22B508C8D2B2D196-234333110059C88A; s_vnum=1366478272913%26vn%3D1;
    cnetfr%3Aproduction%3Asid=nluvbguaiqpcrss7gh3eu5jmh2;
    RT=s=1363901815679&r=http%3A%2F%2Fwww.cnetfrance.fr%2Fproduits%2Fdell-xps-13-full-hd-39788156.htm

    Conserver une connexion persistante
    (un code fantôme qui ne sert plus mais est maintenu, au cas où on verrait passser du HTTP/1.0 . Ce truc remonte à la RFC 1945 (en 1990)
    Connection: keep-alive

    ________________________________
    Réponse du serveur
    ________________________________

    Réponse du serveur (Protocole et code de statut - La signification des Codes - Liste en français)
    Le code 200 signifie que "tout va bien" mais ce pourrait être 403 (accès interdit) ou 404 (n'existe pas) etc. ...
    HTTP/1.1 200 OK

    Réponse du serveur (Horodatage de l'acusé de réception)
    Date: Thu, 21 Mar 2013 21:35:48 GMT

    Réponse du serveur (Nature du serveur)
    Server: Apache

    Réponse du serveur (Expiration de la ressource (obsolescence) après qui, ne plus la garder en cache)
    Une telle date fait en sorte que la ressource est toujours considérée obsolète, donc jamais conservée en cache.
    Expires: Thu, 19 Nov 1981 08:52:00 GMT

    Réponse du serveur (Coment utiliser le cache)
    Ici, la ressource doit être entièrement rechargée, ce qui gonfle les compteurs de visites de la page, force les "hits" des publicités et les oblige à être mises à jour.
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

    Réponse du serveur (Coment utiliser le cache)
    Pragma: no-cache

    Réponse du serveur (Si utilisation du cache, infos sur la forme du contenu du cache)
    Vary: Accept-Encoding

    Réponse du serveur (Longueur, en octets, du message envoyé)
    Content-Length: 63852

    Keep-Alive: timeout=20, max=45
    Connection: Keep-Alive

    Réponse du serveur (Encodage utilisé)
    Avec Content-Type, le serveur dit à votre navigateur quel est le type du fichier envoyé (ici, c'est "text/html" - d’autres fichiers pourraient être d'autres types comme "text/plain", "text/css", "image/png", etc. ...).
    Avec Content-Type, le serveur dit également à votre navigateur quel est l’encodage des caractères utilisé (ici "UTF-8").
    Content-Type: text/html; charset=UTF-8

Tracking : Le tracking dans sa forme minimaleTracking : Le tracking dans sa forme minimaleTracking : Le tracking dans sa forme minimale

Chaque page Web que vous visitez, sur un site, ne contient jamais la totalité du code et des objets qui sont traités par votre navigateur (et affichés s'ils sont affichables). De nombreux objets proviennent d'autres fichiers appelés par la page visitée (les images, les sons, les scripts, les téléchargements proposés, les publicités, les animations, les vidéos, etc. ...). Ces autres fichiers, ces " ressources ", peuvent se trouver sur le même serveur que celui de la page visitée, ou sur d'autres serveurs (appartenant au même éditeur ou à des éditeurs tout autre).
  • Un cas d'usage fréquent est appelé " Équilibrage de charge " ("Load Balancing") : les objets de la page que vous visitez sont répartis sur plusieurs serveurs de manière à équilibrer la charge de chaque serveur et accélérer le temps d'obtention des objets de la page. La page Web visitée fait appel et assemble diverses sources de données. C'est par exemple le cas des très gros sites à très grosse fréquentation dont les données sont réparties sur plusieurs serveurs internes ou hébergées sur plusieurs serveurs de sociétés spécialisées (comme Akamaï).
  • Un autre cas d'usage universel est l'insertion de marqueurs, les Web Bugs, qui font appel à d'autres serveurs pour que ces autres serveurs suivent ce que vous faites (vous prennent en filature). Le prétexte peut être de vous "servir" des publicités en rapport avec ce que vous regardez actuellement ou de fournir au Webmaster du site des statistiques sur la fréquentation de son site ("mesures d'audience").

Chaque fois qu'un appel (une requête HTTP) est fait à un serveur tiers, l'appel est précédé d'un entête ("header HTTP") contenant des informations techniques, plus ou moins indispensables au bon fonctionnement de l'Internet et des réseaux. L'adresse de retour, par exemple, est obligatoire pour que le serveur consulté sache à qui il doit retourner un objet ou une information, sur l'Internet. Le Web Bug, la petite image invisible et inutile, sert de prétexte à l'établissement de la relation d'un client (un utilisateur) à un serveur. Le Web Bug sert à provoquer une requête HTTP.

Rappel

Beaucoup de ces informations, transmises dans le header HTTP, avaient semblées utiles au moment de l'invention des techniques de réseau. Il fallait, par exemple, tracer une anomalie technique et remonter à sa source. C'est la raison de la présence, dans les header HTTP, de l'adresse (l'URL) de la page qui appelle un serveur. Elle consiste à dire "Coucou - Voilà qui ou quoi m'envoie". Or, on n'a plus réellement besoin de savoir "quoi" m'envoie mais uniquement "qui" (quel terminal), pour lui retourner ce qu'il demande. Mais le serveur appelé n'a pas besoin de savoir, et n'a pas à savoir, que la demande provient d'un site pornographique que visite l'internaute, ou d'un site de vente d'ordinateurs ou d'un site de traitement du sida etc. ...

Cette information permet au destinataire de savoir ce que fait le demandeur, en analysant le contenu de la page qu'il consulte en ce moment. Ce sont de gigantesques robots logiciels tournant sur de gigantesques plateformes matériel, qui fouillent sans cesse nos requêtes et le Web (Big Data), à cause, entre autres, des header HTTP. C'est l'un des plus grands secrets industriels du Web qui permet, entre autres, de dresser un profil marketing instantané (en temps réel).

En stockant l'intégralité des URL que vous avez visitées et l'intégralité des recherches que vous avez faites, depuis le premier jour où vous avez mis le doigt dans l'Internet, vous n'avez plus aucune vie privée ! Cela permet d'analyser votre vie et de dresser tous vos profils, dans tous les domaines (psychologiques, psychiatrique, sexuel, religieux, médical, culturel, de CSP (Catégorie Socioprofessionnelle) etc. ... Le protocole IP, dans sa version 4, IPv4, la première version à être largement déployée, remonte à peine à la RFC 791 de septembre 1981 !

C'est la présence de l'"adresse source", dans les "header HTTP", qui pose problème. N'importe quel serveur appelé depuis une page Web visitée (et ils sont souvent des dizaines sur chaque page Web), sait d'où vous venez. Vous êtes identifié par un identifiant unique, un GUID. Chaque serveur tiers a une vue d'ensemble de toutes vos activités, de toute votre vie sur le Web. Ces sociétés d'espionnage sont nombreuses (Ghostery en bloque 2053 en octobre 2015) à vous suivre à la trace (et vous avez autant de Cookie de Tracking dans votre ordinateur que d'officines qui vous pistent !). Elles en tirent d'énormes profits.

Ces données sont stockées à vie dans d'immenses bases de données (nonobstant les déclarations faites par les uns et les autres, prétendant ne conserver ces données que sur quelques années seulement). Ces données peuvent être travaillées et retravaillées pour en tirer toutes sortes de profils. Ces données sont commercialisées entre ces officines (et, probablement vers d'autres acheteurs comme les polices, les gouvernements, les services d'espionnage et de contre espionnage, les sectes, les groupes terroristes...) qui "consolident" la connaissance qu'elles ont de vous (elles vous connaissent mieux que vous ne vous connaissez vous-même, mieux que votre mère ne vous connaît !).

Outre tous les sites visités, l'identifiant unique, dans votre ordinateur, permet, même si vous utilisez des "pseudos" différents sur chaque réseaux social fréquenté, chaque site de rencontre, chaque forum de discussion, chaque zone de « tchat » (messagerie instantanée), chaque newsgroup, chaque e-mails envoyé ou reçu avec des courrieleurs espion comme IncrediMail, chaque service de voix sur IP, de recouper et regrouper toutes vos vies sous une seule : la vôtre !

C'est effrayant mais on nous promet que la pression du Tracking et du Profiling n'en est qu'à ses débuts et qu'ils vont faire mieux encore ! Ils en sont fiers et l'annoncent à leurs actionnaires et aux investisseurs ! Ils ne s'en cachent même plus !

Google - Connaître (découvrir et piller) et espionner vos cercles de connaissances - Pourquoi - Comment.
Google et le principe d'encerclement : Null n'échappera à Google.

Tracking : exemplesTracking : exemplesTracking : exemples

Les exemples ne sont, bien entendu, pas nombreux, puisque l'on est dans le secret le plus total, mais certaines "affaires" sont remontées à la surface :

Le scandale AOL
Le 4 août 2006, AOL met volontairement en ligne, sur un de ses serveurs, un fichier contenant le traking de 650.000 clients AOL durant 3 mois. Ce fichier est destiné à des chercheurs. Malheureusement, il est accessible publiquement. Dès le 7 août, AOL retire l'accès public au fichier mais il est trop tard, il a été dupliqué et diffusé (mirroirs) sur le Net. Les données sont, à priori, anonymes, mais en analysant les termes de recherches, il est possible d'identifier des personnes physiques. L'un des mirroirs est toujours en ligne avec un moteur pour faire des recherches dans cette base de données.
Dans un premier temps, recherchez un mot ou un nom quelconque. Le moteur vous retourne la liste des clients AOL ayant fait une recherche sur ce mot ou sur ce nom.
Dans un second temps, cliquez sur les identifiants (anonymisés) des utilisateurs ayant fait cette recherche et obtenez la totalité des recherches faites sur AOL, par une personne donnée, durant les trois mois mis en ligne par AOL. Vous pouvez, uniquement à la lecture des mots clés recherchés, sans même allez voir les liens suivis par l'utilisateur (ils sont affichés également), vous faire une idée (un début de profil) sur l'internaute.
AOLStalker.com

Les archives Google
http://news.cnet.com/8301-13739_3-10038963-46.html
http://googleblog.blogspot.fr/2008/09/another-step-to-protect-user-privacy.html
http://googleblog.blogspot.fr/2007/03/taking-steps-to-further-improve-our.html
http://www.google.com/talk/chathistory.html
http://googledesktop.blogspot.fr/ (fin de Google Desktop - migration du stockage vers les clouds !) Ainsi ils seront plus nombreux à être tracqués car Google Desktop n'avait pas réellement pénétré les PCs.
https://www.google.com/history/

Contre mesuresContre-mesures" Contre mesures "

Listes de protection contre le tracking - Ghostery
Liste de protection contre le tracking - Do Not Track Me
Liste de blocage des publicités et du tracking
Opt-Out et toutes les mesures connexes.
Safe-CEX et les bonnes pratiques
Protection des navigateurs, de la navigation et de la Vie privée
Crétiniseur d'outils de tracking et de profiling

Derrière le rideauDerrière le rideauDerrière le rideau


RéférencesRéférences" Références "


RessourcesRessources" Ressources "

Protection contre le tracking expliqué et reconnu par Microsoft qui propose une liste de protection contre le tracking
Cookies & traceurs : que dit la loi ? (récapitulation par la CNIL France)
Cookies - Le bandeau Cookie
Transposition du 24.08.2011 de la directive 2009/136/CE du 25.11.2009 en particulier article 37
Directive 2009/136/CE du 25.11.2009 du Parlement Européen et du Conseil modifiant la directive 2002/22/CE.
Directive 2002/22/CE du 07.03.2002 du Parlement européen et du Conseil
Charte "Publicité ciblée et protection des internautes"
18.03.2013 - Le blocage des cookies dans Firefox fait polémique

 Requêtes similairesRequêtes similaires" Requêtes similaires "