#Pistage - épisode 2 : Big Brother
La dernière fois, nous avons parlé de pistage en ligne, de cookies, et du fait que tout un tas de tiers savent de façon plus ou moins détaillée ce que vous faites sur le net ou sur votre ordiphone. Aujourd’hui, on va parler de votre box Internet, de votre fournisseur d’accès (fixe ou mobile) et de ce dont il a potentiellement connaissance ou non.
Il y a quelques semaines, pour le travail (j’essaie de sensibiliser mes collaborateurs aux menaces et risques sur le net, pour faire simple), j’ai fait une petite expérience. J’ai ressorti un vieux Raspberry Pi (un nano-ordinateur, voir photo ci-dessous) d’un placard et j’y ai installé un programme spécifique : Pi-Hole, dont le but initial est de bloquer sur tout le réseau domestique les publicités en ligne et les pisteurs connus.
Pour comprendre l’expérience, je vais (tenter de) vous expliquer une des bases du fonctionnement de l’Internet : comment on arrive à joindre un site. Bien évidemment, c’est pour rendre la chose compréhensible : que ceux qui en savent davantage me pardonnent les raccourcis et approximations.
Sur Internet, tout n’est qu’adresses IP (IP pour Internet Protocol, jusque-là rien d’illogique). C’est l’équivalent numérique de l’adresse postale. Et aussi sûr que retenir les adresses de tout le monde est délicat, retenir toutes les adresses IP correspondant aux serveurs qui hébergent les sites que l’on visite, c’est impossible (pour moi, du moins ! 🙂 ).
Donc, comme pour la « vraie vie », on a créé un annuaire : le DNS, pour Domain Name System. En gros, quand vous cherchez à joindre https://open-freax.fr , votre navigateur interroge l’un des annuaires qu’il connaît et demande quelle adresse IP correspond au domaine (ici, open-freax.fr) que l’on demande. C’est totalement transparent pour nous.
A la maison, c’est votre box ADSL/fibre qui sert de DNS, et elle-même interroge les annuaires du fournisseur. Et pour diverses raisons (de fiabilité et de simplicité notamment), il est impossible (au moins chez Orange et Bouygues pour ce que j’ai vu récemment) de changer ce comportement au niveau de la box.
Pi-Hole inclue un serveur DNS, et c’est par ce biais qu’il « filtre » la publicité : si une page Web que vous visitez cherche à joindre un domaine connu pour servir des publicités, il répond à votre navigateur que ce site (qui est dans sa liste noire) n’existe pas. C’est faux, évidemment : c’est ce qu’on appelle un « DNS menteur », et c’est en soi une atteinte au principe de neutralité du net. Ici, c’est pour une bonne raison. Les DNS des fournisseurs français sont également menteurs : c’est par ce mécanisme que lorsque la justice demande le blocage d’un site Web, les opérateurs répondent en pratique. Et que des sites connus pour héberger des virus sont bloqués, pour ne citer qu’un cas.
Donc, par un peu de technique et un soupçon de magie (en résumé : les box opérateurs sont très lentes et je me suis débrouillé pour que mon système réponde plus rapidement que celui de la box), j’utilise mon propre annuaire, et cela me permet de voir ce que mon fournisseur sait (ou peut savoir, du moins) de ma navigation. Alors, on y trouve quoi ?
Allez, on commence simplement. Ici, on observe l’activité sur mon réseau, cela correspond au nombre de requêtes DNS faites par heure. On observe donc très simplement qu’il y a 2 week-ends où j’ai été absent, donc un sans aucune activité (en fait, pour cause d’orages, j’avais coupé le courant avant de partir).
On devine également à partir du 8 juin la reprise du travail sur site chez mon employeur : l’activité est bien moindre en semaine comparé à la précédente.
Augmentons un peu le niveau de détail.
Ici, on observe très nettement que personne n’était chez moi (c’était un dimanche) et que quelqu’un (on ne sait pas qui) est revenu peu après 20 heures. Chaque couleur correspond ici à un périphérique : un ordinateur, un smartphone…). Avant 9h le lendemain, l’activité se renforce et quelqu’un s’est mis au travail. Au travail, c’est sûr ?
Creusons. La box assigne également à chaque périphérique une adresse IP interne, pour son propre usage et surtout pour arriver à fournir la bonne page au bon appareil qui l’a demandée. A ce moment, le périphérique lui communique également son petit nom, puisqu’une entrée d’annuaire c’est un couple « adresse IP / nom commun ».
Logiquement, pour la box, ce n’est pas juste « quelqu’un s’est connecté » mais « tel appareil s’est connecté ».
Et si on descend au niveau le plus détaillé, on a les demandes faites par chaque appareil.
Ici, on constate que mon ordinateur de travail est sous Windows (requêtes vers Microsoft, dont une bloquée car elle correspond aux « sondes » que Microsoft a placées dans son système et contre lesquelles plusieurs CNIL européennes bataillent) et quelle solution antivirus est installée sur nos postes (masqué ici, tout de même).
On pourrait aussi, en écoutant plus longtemps, connaître tout mon historique de navigation (donc mes centres d’intérêt), et savoir quels services sont utilisés par le foyer. Lorsque je regarde le détail de mes propres requêtes, on y trouve des demandes en lien avec Netflix (j’utilise donc le service, quand bien même je ne me suis pas abonné via mon opérateur), Spotify et Bose (j’ai effectivement une enceinte –sans assistant vocal, faut pas déconner, déformation professionnelle oblige– dans le salon), et plus encore.
Et surtout, on peut supposer assez simplement (à tort ou à raison) que si « iphonedeXXX » n’est pas connecté alors son propriétaire est absent, ou que si « ertYYY » est allumé ET que des requêtes sont faites vers les serveurs Xbox Live à 15h30 alors c’est que ça ne bosse pas dur…
Et de façon plus pragmatique pour la publicité ciblée, que si je visite des sites de vendeurs de voitures et de comparateurs de crédits, il est tout à fait pertinent de me montrer des publicités en lien. Du moins et d’une certaine façon, probablement plus pertinent que des publicités pour de la nourriture pour chien (je n’en ai pas) ou pour des fauteuils Stannah.
Voilà, j’espère que cette petite expérience vous aura permis de mieux comprendre le fonctionnement de votre box domestique. Pour ma part, cela m’aura permis de voir que même la nuit, certaines applications de smartphone sont très bavardes ! Finalement, mon Linky n’en sait pas autant alors qu’il est très critiqué 😀
Petite précision pour celles et ceux qui utiliseraient un VPN commercial quelconque : en l’utilisant, vous « déplacez » cette connaissance de votre activité en ligne (et même plus, mais ça devient technique et ce n’est pas l’objet de cet article) vers l’opérateur VPN. Posez-vous la question malgré tout : est-il au moins aussi digne de confiance qu’un opérateur régi par les lois nationales ?
Enfin, gardez en tête que ces données que nous émettons, nous y sommes en partie contraints par la conception-même du réseau Internet : cela n’a rien d’anormal et chercher à « anonymiser » totalement sa navigation ne se fera qu’au prix de drastiques baisses de performance, de configurations maison souvent bancales (j’ai moi-même crashé 2 fois mon Pi-Hole avant de comprendre pourquoi ma box lui envoyait des millions de requêtes par minute) et par rebond plus risquées, et du renoncement à certaines technologies (notamment le décodeur TV, qui repose sur les DNS de l’opérateur) ou à certains services.
En bref, pas de crainte particulière à avoir, simplement lorsque votre décodeur TV vous demandera si vous acceptez la publicité ciblée, vous saurez précisément évaluer la balance « service / intimité numérique » 😉
Petite précision tout de même : l’idée derrière cet article n’est absolument pas de vous précipiter dans les bras d’un opérateur VPN au hasard, de forcer du DNS sécurisé partout (et de tout refiler à Cloudflare ou autre), mais simplement d’avoir en tête « qui sait quoi ». Cela pourrait vous éviter de mauvaises surprises, qui sait.
L’épisode 3 parlera de quelques moyens de limiter ces fuites de données. On fera le tour d’extensions Firefox/Chrome sympa, des moyens de se protéger un peu sur smartphone, et sûrement plein d’autres choses. D’ici là, prenez soin de vous !
