Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  10.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Dans le cadre de l'abandon total du principe même des plug-ins dans tous les navigateurs Web, imposé par le W3C, le consortium de gouvernance des normes du Web (HTML5 et abandon de tous les plug-ins fin 2016), la société Adobe, qui est propriétaire et développeur de Flash (Flash Player - Adobe Flash Player), a annoncé publiquement, dès le 09 novembre 2011, vouloir aller dans le sens de l'histoire, celle d'HTML5, et abandonner Flash qui disparaît pour être remplacé, en partie par les caractéristiques d'HTML5 et en partie par des applications Web, dans le cadre d'un Web sans plug-in (Plug-in free Web).

Dans le cadre de cette initiative :

  • Le développement de Flash pour Linux a été abandonné et la dernière version du plug-in Flash pour Linux est la 11.02.

  • Flash n'a pas été porté du tout sur les terminaux mobiles. Pourtant, rien n'empêche d'y avoir des vidéos et des jeux.

  • Fin 2016, abandon total des capacités d'accueil de plug-ins dans les navigateurs Web et disparition de Flash (place à HTML5 et aux applications Web (qui pérennisent et universalisent le Tracking)).

  • Dans la mesure où Adobe ne prend plus en charge Flash Player depuis le 31 décembre 2020 et empêche le contenu Flash de s'exécuter dans Flash Player depuis le 12 janvier 2021, nous recommandons vivement à tous les utilisateurs de désinstaller Flash Player au plus tôt afin de sécuriser leurs systèmes.




En termes de violation de la vie privée, LSO (Local Shared Objects) (Flash Cookies) est un bien meilleur outil de tracking que les cookies.

LSO (Local Shared Objects) (Object Local Partagé) est une forme de stockage locale de données (côté client, dans l'ordinateur de l'utilisateur), rendue possible avec la technologie Flash, ressemblant aux cookies traditionnels (d'où son appellation, parfois, de Flash cookies).

Les LSO (Local Shared Objects) sont manipulés par la technologie Flash. Ils se libèrent ainsi de la contrainte des cookies standards (http) : les cookies standards sont limités à un seul domaine, ce qui complique la vie des pratiquants de tracking pour consolider tous les espionnages d'un même internaute à travers toutes les pages de tous les sites qu'il visite. Ils sont obligés de développer et utiliser des principes de GUID. Les navigateurs ne savent rien des LSO (Local Shared Objects) (Flash Cookies) qui sont :

  • Des objets faisant partie de Flash, or Flash est une technologie unique, disponible à tous les navigateurs simultanément (trans-navigateurs) dans un ordinateur (partagée)
  • Des objets disponibles (partageables) à tous les domaines (sites) simultanément (trans-domaines), ce qui représente un rêve pour les pratiquants du tracking. Un Flash Cookie particulier contient la liste de tous les domaines visités.

Les cookies traditionnels sont stockés dans les répertoires d'un seul navigateur, à raison d'un à plusieurs centaines de cookies par domaine (par site). Si vous visitez 5.000 domaines (sites) faisant usage de cookies avec Internet Explorer, il y aura 5.000 cookies minimum dans les répertoires d'Internet Explorer. Si vous visitez les mêmes 5.000 domaines avec Firefox, il y aura également 5.000 cookies minimum dans les répertoires de Firefox. Dito avec Opera, Chrome, Safari, K-Meleon, etc. ...

Les LSO (Local Shared Objects) sont dit " partagés " car ils se trouvent dans l'unique répertoire Flash Player de la machine, tous navigateurs confondus et tous domaines de premier niveau confondus. Les domaines tiers (second niveau et suivants) n'ont pas accès aux LSO (Local Shared Objects).

Les navigateurs disposent de mécanismes de gestion / suppression des cookies standards, mais les LSO (Local Shared Objects) leur échappent complètement. Détruire les cookies avec les dispositifs de protection de la vie privée des navigateurs ne donne pas accès aux LSO (Local Shared Objects) (Flash Cookies).

BetterPrivacy permet à Firefox de gérer les Flash Cookies comme de simples cookies

BetterPrivacy est un add-on pour le navigateur Firefox disposant d'une option permettant à Firefox de gérer les Flash Cookies comme des cookies standards et, donc, de permettre aux internautes de les supprimer au même rythme que les cookies standards.

On fera attention à certains Flash Cookies qui contiennent, par exemple, les paramètres et états de progressions dans un jeux en ligne développé en Flash.

Cookies persistants pour toujours

La technologie des Super cookies LSO (Local Shared Objects) est l'une des technologies utilisées par Evercookies (cookies persistants pour toujours).

Comme les cookies standard (http cookies), les LSO (Local Shared Objects) (Flash Cookies) peuvent contenir une quantité non limitée d'informations, celles-ci pouvant être de n'importe quelle forme, y compris compressées, chiffrées (cryptées) et binaires (exécutables).

Comme les cookies standard (http cookies), les LSO (Local Shared Objects) (Flash Cookies) peuvent avoir une durée de vie illimitée.

Un site Internet peut reconstituer (reconstruire) un cookie standard qui aurait été détruit en utilisant les données sauvegardées (copiées) dans un Flash Cookies. C'est l'une des techniques utilisées par Evercookie.

Emplacements des LSO (Local Shared Objects) (Flash Cookies)

Les mécanismes de gestion des plugins, pour ajouter des fonctionnalités aux navigateurs, reposent sur deux API : NPAPI ou PPAPI. Sans ces APIs, les navigateurs ne reconnaîtraient que le langage HTML (et les images embarquées). La première fonctionnalité ainsi intégrée à un navigateur fut Adobe Acrobat Reader (la reconnaissance, par les navigateurs, du format PDF).

Les LSO (Local Shared Objects) (Flash Cookies) sont des fichiers au suffixe .sol

Avec l'API NPAPI (Netscape Plugin Application Programming Interface), utilisé par tous les navigateurs, l’emplacement des LSO (Local Shared Objects) dépend du système d’exploitation :

  • Windows :
    • %APPDATA%MacromediaFlash Player#SharedObjects
    • %APPDATA%MacromediaFlash Playermacromedia.com
    • pour les applications AIR : %APPDATA%<Nom de domaine inversé>Local Store#SharedObjects
  • Mac OS X :
    • ~/Library/Preferences/Macromedia/Flash Player/#SharedObjects/
    • ~/Library/Preferences/Macromedia/Flash Player/macromedia.com/
    • pour les applications AIR : ~/Library/Preferences/<Nom de domaine inversé>/Local Store/#SharedObjects
  • Linux/Unix :
    • ~/.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys/
    • ~/.macromedia/Flash_Player/#SharedObjects/[XXXXXX]//[www.visited.web.sites]

Avec l'API PPAPI (Pepper Plugin Application Programming Interface) - (Pepper Flash pour l'API Flash), développée par Google, l’emplacement des LSO (Local Shared Objects) dépend aussi du système d’exploitation mais les emplacements sont différents (seul Google Chrome supporte l'API PPAPI). La Fondation Mozilla a déclaré ne pas être intéressée par Pepper Flash. Google met en avant le développement de PPAPI pour une meilleure portabilité trans-plateforme des plugins (permettant un meilleur tracking des internautes, surtout avec les super cookies LSO (Local Shared Objects)) :

  • Windows :
    • %localappdata%GoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects
  • Mac OS X :
    • ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/
  • Linux :
    • ~/.config/google-chrome/Default/Pepper Data/Shockwave Flash/WritableRoot/#SharedObjects/