WOT : Web Of Trust - 01.11.2016, nombreuses alertes d'espionnage émises à propos de l'add-on WOT pour les navigateurs WEB. Collecte et revente de nos données.

cr  18.04.2012      r+  27.08.2024      r-  28.08.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En avril 2012, soit plus de 4,5 ans avant que le scandale éclate, j'écrivais cet article qui est conservé sans en changer une virgule : « Et si WOT était un vaste système de tracking et pillage de la vie privée ? ».

Le 01.11.2016, le chercheur allemand Mike Kuketz publie son analyse du code source de l'add-on pour navigateurs Web appelé WOT (Web Of Trust) et sa découverte que la société derrière WOT, Against Intuition Oy (WOT Services, Ltd.), capture et vend nos données privées.

Le 03.11.2016, deux jours plus tard, c'est le chercheur Rob Wu qui donne le coup de grâce en faisant la démonstration que l'add-on WOT embarque, depuis 2009, un mécanisme permettant d'exécuter n'importe quel script ou code distant, ne se trouvant pas dans la partie open source du code de WOT. Les scripts peuvent être écrits dans n'importe quel langage de script, y compris dans la version de WOT pour Internet Explorer (ce générateur de failles de sécurité en flux continu), dans le langage scélérat ActiveX (la machine à attaquer les internautes).

La presse du monde entier s'en empare. Vous pensez !... Un outil de protection extrêmement répandu et dans lequel une grande confiance s'est développée, malgré mon avertissement, prônant le Web de confiance, pris en flagrant délit d'abus de confiance et de violation et commercialisation des vies privées de ses 140 millions d'utilisateurs (pas anonymisés du tout, qui plus est) !

1. Début novembre 2016, la Fondation Mozilla retire immédiatement l'add-onWOT (Web Of Trust) de son magasin.

2. Google suit et le retire de Chrome.

3. La société Against Intuition Oy (WOT Services, Ltd.) retire alors WOT partout, clame son innocence et ses bonnes intentions, et qu'elle va modifier le code de l'add-on WOT et éclaircir ses clauses juridiques « Vie privée (Privacy) ».

4. L'add-on WOT refait surface le 19.12.2016 après des modifications du code et des remaniements des clauses « vie privée » (lire, en anglais, les Clauses WOT vie privée en juillet 2016 [peu avant le scandale] et les Clauses WOT vie privée en décembre 2016 [peu après le scandale]), mais c'est trop tard.

Le mal est fait et, la confiance étant le dernier truc auquel il faut s'attendre sur le Web, désinstallez cet add-on si vous l'avez installé et ne l'installez/réinstallez jamais plus (d'autant qu'il est très mauvais et inutile).

Vous pouvez continuer à consulter les fiches signalétiques des sites Web sur le site de WOT (Outil gratuit en ligne - Web-réputation : WOT), bien que, comme toute requête HTTP sur le Web, cela provoque une fuite de données qui seront collectées côté serveur du site consulté (lire attentivement les clauses « Vie privée » de WOT), mais n'installez pas/n'installez plus jamais l'add-on WOT.

La chute immédiate d'utilisation de l'add-onWOT (Web Of Trust) dans les navigateurs Web, et donc l'effondrement du nombre de « requêtes HTTP » (le « cheval de Troie » de la « charge utile » que sont les « entêtes HTTP ») vers les serveurs de WOT Services, Ltd. (« Against Intuition »), a fait immédiatement réagir la société commerciale derrière WOT.

Le site de WOT, et la consultation des fiches signalétiques, sont désormais truffés d'incitations à installer l'add-onWOT (Web Of Trust). Il y en a partout, y compris en pop-up ! C'est pire qu'une page Web couverte de publicités !

• Pourquoi pousser, forcer, les internautes à installer cet add-on alors que le service est gratuit ?
• Quel intérêt y trouve la société commerciale Against Intuition Oy (WOT Services, Ltd.) ?

Ceci est la preuve que cet add-on gratuit est le gagne-pain de WOT Services, Ltd. (« Against Intuition Oy »). Un add-on aux navigateurs Web est du code de nature espionne qui s'exécute dans les navigateurs Web, exactement comme les barres d'outils [Toolbars] sont du code de même nature espionne qui s'exécute dans les navigateurs Web.

Il n'y a que trois modèles économiques possibles avec un add-on :

1. Faire mentir les recherches dans le navigateur Web, en insérant des résultats de recherche non naturels (des résultats menteurs) vers des sites avec lesquels l'auteur de l'add-on a des accords commerciaux rémunérateurs.

2. Utiliser l'add-on (comme c'est le cas pour la quasi-totalité des add-on du monde incrustés dans les navigateurs Web) pour agir en tant que machine à faire du tracking (espionnage en provoquant des « requêtes HTTP » agissant en « cheval de Troie » embarquant la « charge utile » que sont les « entêtes HTTP »).

3. Lui faire exécuter du code localement (détectable par des chercheurs en sécurité, dont en utilisant des sandbox) ou depuis le serveur de l'add-on (plus difficile à détecter car furtif).

L'add-onWOT est une malveillance d'attaque des vies privées. La commercialisation des données privées rapporte des fortunes et tous les acteurs du Web tentent d'avoir leur add-on ou barre d'outils incrusté dans le plus grand nombre de navigateurs Web (le deuxième cercle du pouvoir).

• 08.11.2016 - kulturegeek.fr - L’extension populaire WOT (Web of Trust) vend les données de ses utilisateurs (en français)

• 03.11.2016 - ndr.de - Dénudés sur Internet : des millions d'utilisateurs espionnés (en allemand)
  La chaine de télévision allemande NDR (Norddeutscher Rundfunk), dans son émission PANORAMA 3, s'empare du sujet, achète une base de données WOT à un courtier (un broker), en sort un échantillon de 50 personnes parfaitement identifiées et arrive à relier des informations à ces personnes (infos d'identification (logins), adresses e-mail, préférances consultées et achats en ligne, préférences sexuelles (dont celles d'un juge), maladies possibles (déduites de visites à des médecins ou hopitaux spécialisés ou à l'achat en ligne de molécules spécialisées - les compagnies d'assurance doivent rafoler de ce type d'informations, pourtant on ne peut plus privées), projets de voyages (les agences de voyages, comme les sites comparateurs de prix, adorent ces informations privées), des informations financières de sociétés, les drogues consommées et même des enquêtes de police en cours, etc.

• 03.11.2016 - Github - Démonstration par le chercheur Rob Wu de l'exécution de scripts distants dans WOT (en anglais), donc de scripts masqués et inconnus lors de l'analyse du code source de WOT, code prétendument open source - ce mécanisme avait été implémenté dans WOT dès 2009. WOT agit donc, là, en « cheval de Troie » servant à introduire et déclencher des « charges actives » inconnues (des scripts) cachées sur les serveurs de WOT Services, Ltd. (« Against Intuition Oy ».) Ces scripts s'exécutent dans chaque page Web visitée, incluant les pages de paiement en ligne avec saisie d'identifiants, de comptes, de numéros de cartes bancaires, date d'échéance et code de sécurité (Cryptogramme), la saisie d'identifiant et de mots de passe, la saisie/réception de messages, les conversations, les flux audio et vidéo, et tout ce que peut faire un keylogger, etc., sans limites. Attention : toutes les dates sont indiquées en 10.2016 par erreur, au lieu de 11.2016 et l'analyse fait bien suite aux travaux de recherche de Mike Kuketz publiés le 01.11.2016.

• 01.11.2016 - ghacks.net - Votre historique de navigation a sans doute déjà été vendu (en anglais)

• 01.11.2016 - kuketz-blog.de - L'alerte originelle du chercheur Mike Kuketz (en allemand)

L'add-onWOT est totalement inutile, car il fait triple emploi avec :

1. Le dispositif natif du navigateur (le filtre du Web nativement installé).

2. L'add-on de même nature que WOT installé par votre antivirus, mieux informé que WOT (mais machines à tracking comme WOT). La totalité des antivirus ont développé leur propre filtre du Web dans les années qui ont suivi l'émergence fulgurante de WOT alors que personne ne soupçonnait la mise en place d'un vaste système de tracking et pillage des vies privées.

Chez WOT, seuls les commentaires sur les sites marchands sont intéressants et on utilise alors la consultation en ligne des fiches signalétiques de WOT, sans passer par l'add-onWOT (Web Of Trust), cette machine à fabriquer/provoquer des « requêtes HTTP » pour nous espionner.

Voir également ce message et les suivants sur notre forum.

La « Ligue Odebi », (une association « de fait » - un collectif spontané d'internautes qui se consacre à la défense au droit d'accès à l'information, au partage des savoirs et au respect de la vie privée - leur site n'existe plus et leur nom de domaine est prisonnier d'une « zone de parking » depuis le 11 avril 2018) avait établi une chronologie, entre le 11 septembre 2001 et le 24 novembre 2005, de ce recul des libertés individuelles dans un état de plus en plus policier. Ce document est largement inspiré de leur travail. D'autre part, comment les aider à retrouver leur site ou republier leurs travaux (ce qui pourrait être fait bénévolement sur Assiste avec leur accord.