Alerte : WOT espionne les données privées et les vend
En avril 2012, soit plus de 4,5 ans avant que le scandale n'éclate, j'écrivais cet article qui est conservé sans en changer une virgule : « Et si WOT était un vaste système de tracking et pillage de la vie privée ? »
Le 01.11.2016, le chercheur allemand Mike Kuketz publie son analyse du code source de l'add-on pour navigateurs Web appelé WOT (Web Of Trust) et sa découverte que la société derrière WOT, Against Intuition Oy (WOT Services, Ltd.), capture et vend nos données privées.
La conclusion de l'analyse de Mike Kuketz est :
L'add-on WOT peut exécuter du code arbitraire sur n'importe quelle page, y compris les pages privilégiées du navigateur.
Impact et gravité : Critique.
Si WOT le veut, ils peuvent faire n'importe quoi, depuis voler des informations d'identification bancaires jusqu'à l'installation de logiciels malveillants sur l'ordinateur de l'utilisateur. »
Le 03.11.2016, deux jours plus tard, c'est le chercheur Rob Wu qui donne le coup de grâce en faisant la démonstration que l'add-on WOT embarque, depuis 2009, un mécanisme permettant d'exécuter n'importe quel script ou code distant, ne se trouvant pas dans la partie open source du code de WOT. Les scripts peuvent être écrits dans n'importe quel langage de script, y compris, dans la version de WOT pour Internet Explorer (ce générateur de failles de sécurité en flux continu), dans le langage scélérat ActiveX (la machine à attaquer les internautes).
La presse du monde entier s'en empare. Vous pensez !... Un outil de protection extrêmement répandu et dans lequel une grande confiance s'est développée, malgré mon avertissement, prônant le Web de confiance, pris en flagrant délit d'abus de confiance et de violation et commercialisation des vies privées de ses 140 millions d'utilisateurs (pas anonymisés du tout, qui plus est) !
- Début novembre 2016, la Fondation Mozilla retire immédiatement l'add-on WOT (Web Of Trust) de son magasin.
- Google suit et le retire de Chrome.
- La société Against Intuition Oy (WOT Services, Ltd.) retire alors WOT partout, clame son innocence et ses bonnes intentions, et qu'elle va modifier le code de l'add-on WOT et éclaircir ses clauses juridiques « Vie privée (Privacy) ».
- L'add-on WOT refait surface le 19.12.2016 après des modifications du code et des remaniements des clauses « vie privée » (lire, en anglais, les Clauses WOT vie privée en juillet 2016 [peu avant le scandale] et les Clauses WOT vie privée en décembre 2016 [peu après le scandale], mais c'est trop tard.
Le mal est fait et, la confiance étant le dernier truc auquel il faut s'attendre sur le Web, désinstallez cet add-on si vous l'avez installé et ne l'installez/réinstallez jamais plus (d'autant qu'il est très mauvais et inutile).
Vous pouvez continuer à consulter les fiches signalétiques des sites Web sur le site de WOT, en utilisant notre formulaire en ligne, mais n'installez pas/n'installez plus l'add-on WOT.
La chute immédiate d'utilisation de l'add-on WOT (Web Of Trust) dans les navigateurs Web, et donc l'effondrement du nombre de « requêtes HTTP » (le « cheval de Troie » de la « charge utile » que sont les « entêtes HTTP ») vers les serveurs de WOT Services, Ltd. (« Against Intuition »), a fait immédiatement réagir la société commerciale derrière WOT.
Le site de WOT, et la consultation des fiches signalétiques, sont désormais truffés d'incitations à installer l'add-on WOT (Web Of Trust). Il y en a partout, y compris en pop-up ! C'est pire qu'une page Web couverte de publicités !
- Pourquoi pousser, forcer, les internautes à installer cet add-on alors que le service est gratuit ?
- Quel intérêt y trouve la société commerciale Against Intuition Oy (WOT Services, Ltd.) ?
Ceci est la preuve que cet add-on gratuit est le gagne-pain de WOT Services, Ltd. (« Against Intuition Oy »). Un add-on aux navigateurs Web est du code de nature espionne qui s'exécute dans les navigateurs Web, exactement comme les barres d'outils [Toolbars] sont du code de même nature espionne qui s'exécute dans les navigateurs Web.
Le gratuit, ça n'a pas de prix, mais ça a un coût :- Lorsque le produit est gratuit, vous le payez autrement, car c'est vous qui êtes le produit.
- Lorsque le service est gratuit, vous le payez autrement, car c'est vous qui êtes le service.
Il n'y a que deux modèles économiques possibles avec un add-on :
- Faire mentir les recherches dans le navigateur Web, en insérant des résultats de recherche non naturels (des résultats menteurs) vers des sites avec lesquels l'auteur de l'add-on a des accords commerciaux rémunérateurs.
- Utiliser l'add-on (comme c'est le cas pour la quasi-totalité des add-on du monde incrustés dans les navigateurs Web) pour agir en tant que machine à faire du tracking (espionnage en provoquant des « requêtes HTTP » agissant en « cheval de Troie » embarquant la « charge utile » que sont les « entêtes HTTP »).
L'add-on WOT est une malveillance d'attaque des vies privées. La commercialisation des données privées rapporte des fortunes et tous les acteurs du Web tentent d'avoir leur add-on ou barre d'outils incrusté dans le plus grand nombre de navigateurs Web (le deuxième cercle du pouvoir).
- 08.11.2016 - kulturegeek.fr - L’extension populaire WOT (Web of Trust) vend les données de ses utilisateurs (en français)
- 03.11.2016 - ndr.de - Dénudés sur Internet : des millions d'utilisateurs espionnés (en allemand)
La chaine de télévision allemande NDR (Norddeutscher Rundfunk), dans son émission PANORAMA 3, s'empare du sujet, achète une base de données WOT à un courtier (un broker), en sort un échantillon de 50 personnes parfaitement identifiées et arrive à relier des informations à ces personnes (infos d'identification (logins), adresses e-mail, préférances consultées et achats en ligne, préférences sexuelles (dont celles d'un juge), maladies possibles (déduites de visites à des médecins ou hopitaux spécialisés ou à l'achat en ligne de molécules spécialisées - les compagnies d'assurance doivent rafoler de ce type d'informations, pourtant on ne peut plus privées), projets de voyages (les agences de voyages, comme les sites comparateurs de prix, adorent ces informations privées), des informations financières de sociétés, les drogues consommées et même des enquêtes de police en cours, etc.
- 03.11.2016 - Github - Démonstration par le chercheur Rob Wu de l'exécution de scripts distants dans WOT (en anglais), donc de scripts masqués et inconnus lors de l'analyse du code source de WOT, code prétendument open source - ce mécanisme avait été implémenté dans WOT dès 2009. WOT agit donc, là, en « cheval de Troie » servant à introduire et déclencher des « charges actives » inconnues (des scripts) cachées sur les serveurs de WOT Services, Ltd. (« Against Intuition Oy ».) Ces scripts s'exécutent dans chaque page Web visitée, incluant les pages de paiement en ligne avec saisie d'identifiants, de comptes, de numéros de cartes bancaires, date d'échéance et code de sécurité (Cryptogramme), la saisie d'identifiant et de mots de passe, la saisie/réception de messages, les conversations, les flux audio et vidéo, et tout ce que peut faire un keylogger, etc., sans limites. Attention : toutes les dates sont indiquées en 10.2016 par erreur, au lieu de 11.2016 et l'analyse fait bien suite aux travaux de recherche de Mike Kuketz publiés le 01.11.2016.
- 01.11.2016 - ghacks.net - Votre historique de navigation a sans doute déjà été vendu (en anglais)
- 01.11.2016 - kuketz-blog.de - L'alerte originelle du chercheur Mike Kuketz (en allemand)
L'add-on WOT est totalement inutile, car il fait triple emploi avec :
- Le dispositif natif du navigateur
- L'add-on de même nature que WOT dans votre antivirus, mieux informé que WOT (mais machines à tracking comme WOT). La totalité des antivirus ont développé leur propre filtre du Web (généralement délivré avec l'achat de la licence de l'antivirus) dans les années qui ont suivi l'émergence fulgurante de WOT alors que personne ne soupçonnait la mise en place d'un vaste système de tracking et pillage des vies privées.
Chez WOT, seuls les commentaires sur les sites marchands sont intéressants et on utilise alors la consultation en ligne des fiches signalétiques, sans passer par l'add-on WOT (Web Of Trust), cette machine à fabriquer/provoquer des « requêtes HTTP » pour nous espionner.