Beaucoup de gens trouvent les services Google utiles et faciles Ă utiliser, mais ils ont au moins une fonctionnalitĂ© importante. Nous parlons d'un suivi constant des utilisateurs, de la collecte intensive et de l'envoi de donnĂ©es sur leur activitĂ©.Tous les utilisateurs ne peuvent pas imaginer quel type de donnĂ©es l'entreprise recueille et dans quels volumes. Mais beaucoup sont fondamentalement liĂ©s Ă leur confidentialitĂ©, et certains sont prĂȘts Ă percevoir une violation des secrets de confidentialitĂ© mĂȘme en envoyant un journal contenant des informations purement techniques. Cependant, des utilisateurs vraiment avancĂ©s prennent parfois le chemin de la lutte contre Google.Le 25 mai 2018, le rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es du RGPD est entrĂ© en vigueur , une loi adoptĂ©e par le Parlement europĂ©en qui a resserrĂ© et unifiĂ© les rĂšgles de protection des donnĂ©es des utilisateurs. L'UE a pris cette dĂ©cision en raison du nombre croissant de grandes fuites de donnĂ©es personnelles collectĂ©es par des gĂ©ants de l'informatique tels que Google et Facebook. Cependant, en fait, cette loi a affectĂ© non seulement les citoyens de l'UE, mais aussi le reste du monde.De nombreux services Internet, travaillant dans diffĂ©rents pays, essaient cependant de rĂ©pondre aux exigences de confidentialitĂ© les plus strictes. Ainsi, le RGPD est devenu la norme mondiale de facto.Alors google lĂ -bas
Le mardi 4 fĂ©vrier 2020, Arno Granal, le dĂ©veloppeur du navigateur Kiwi basĂ© sur Chromium, a soulevĂ© la question du passage du soi-disant «identifiant unique» que Google Chrome gĂ©nĂšre lors de l'installation. Granal a suggĂ©rĂ© qu'au moins Google lui-mĂȘme pourrait l'utiliser.Lui et certains autres utilisateurs suggĂšrent qu'il s'agit d'une porte dĂ©robĂ©e qu'elle peut utiliser Ă ses propres fins. Et dans ce cas, nous pouvons parler de violation de la loi GDPR, car cet identifiant unique peut ĂȘtre considĂ©rĂ© comme des donnĂ©es qui vous permettent d'Ă©tablir de maniĂšre unique l'identitĂ© de l'utilisateur.Google n'a pas commentĂ© le problĂšme. Et les documents officiels et autres messages de l'entreprise ne permettent pas de clarifier pleinement la situation.Comment ça fonctionne
Lorsque le navigateur demande une page Web au serveur, il envoie une demande HTTP qui contient un ensemble d'en-tĂȘtes, qui sont des paires clĂ©-valeur sĂ©parĂ©es par des deux-points. Ces en-tĂȘtes dĂ©terminent Ă©galement dans quel format les donnĂ©es doivent ĂȘtre envoyĂ©es. Par exemple,accept: text / html
Plus tĂŽt (au moins depuis 2012), Chrome a envoyĂ© un en-tĂȘte appelĂ© «X-client-data», Ă©galement connu sous le nom de «X-chrome-variations», pour tester les fonctionnalitĂ©s en cours de dĂ©veloppement. Google activera certaines de ces fonctionnalitĂ©s lors de l'installation du navigateur. Des informations Ă leur sujet s'affichent lorsque vous saisissez chrome: // version dans la barre d'adresse de Chrome.Variations: 202c099d-377be55a
Ă la ligne 32 du fichier de code source Chromium, l'en-tĂȘte X-client-data envoie Ă Google les informations Field Trials pour l'utilisateur Chrome actuel."L'en-tĂȘte Chrome-Variations (X-client-data) ne contiendra aucune information personnellement identifiable et ne dĂ©crira que les options d'installation de Chrome lui-mĂȘme, y compris les variantes actives, ainsi que les donnĂ©es d'expĂ©riences cĂŽtĂ© serveur qui pourraient affecter l'installation." , DĂ©clare le Guide des fonctionnalitĂ©s de Google Chrome .Cependant, ce n'est pas tout Ă fait vrai.Pour chaque installation, Google Chrome gĂ©nĂšre alĂ©atoirement un nombre compris entre 0 et 7999 (jusqu'Ă 13 bits). Ce nombre correspond Ă un ensemble de fonctions expĂ©rimentales activĂ©es alĂ©atoirement.Plus il y a de bits vides, plus il est difficile de crĂ©er une empreinte digitale de navigateur avec un haut degrĂ© d'unicitĂ©, et vice versa. Mais si vous combinez ces donnĂ©es avec des statistiques d'utilisation et des rapports d'erreur, qui sont activĂ©s par dĂ©faut, pour la plupart des utilisateurs de Chrome, vous pouvez toujours obtenir des empreintes digitales avec une prĂ©cision assez Ă©levĂ©e.L'empreinte digitale "est dĂ©terminĂ©e par votre adresse IP, votre systĂšme d'exploitation, la version de Chrome et d'autres paramĂštres, ainsi que vos paramĂštres d'installation", explique Granal.Si vous, par exemple, visitez YouTube, une ligne commeX-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
Vous pouvez le vĂ©rifier vous-mĂȘme si vous ouvrez la console du dĂ©veloppeur dans Google Chrome, puis l'onglet RĂ©seau, puis accĂ©dez Ă youtube.com ou doubleclick.net par exemple.Selon Granal, seulement youtube.com , google.com , doubleclick.net , googleadservices.com et d'autres services Google ont accĂšs Ă ces identifiants . Mais seulement si le navigateur n'est pas en mode navigation privĂ©e.Meilleure dĂ©fense
Si seul Google a accĂšs aux donnĂ©es du client X, cela peut indiquer que l'entreprise protĂšge les donnĂ©es des utilisateurs contre tout le monde sauf lui-mĂȘme.Lukas Oleinik, chercheur indĂ©pendant et consultant sur la protection des donnĂ©es personnelles, estime que cette fonction peut ĂȘtre utilisĂ©e Ă des fins personnelles, bien qu'il soit fort possible qu'elle ait Ă©tĂ© crĂ©Ă©e pour suivre des problĂšmes techniques.«Je crois que la plupart des utilisateurs n'ont aucune idĂ©e de cet identifiant, de ce qu'il fait et quand il est utilisĂ©. Et peut-ĂȘtre que le problĂšme est que l'identifiant reste constant et n'est pas rĂ©initialisĂ© lorsque l'utilisateur efface les donnĂ©es du navigateur. En ce sens, elle peut ĂȘtre considĂ©rĂ©e comme une empreinte. [Jusqu'Ă prĂ©sent] le principal risque est que les donnĂ©es soient envoyĂ©es Ă des sites gĂ©rĂ©s par une seule organisation. "
Granal note qu'un tel mĂ©canisme de transfert de donnĂ©es peut ĂȘtre considĂ©rĂ© comme une vulnĂ©rabilitĂ©. Le code source de Chromium implĂ©mente uniquement la vĂ©rification d'une liste prĂ©dĂ©finie de domaines Google, mais il ne vĂ©rifie pas les autres domaines. Par consĂ©quent, un attaquant peut acheter un domaine, par exemple, youtube.vg, et y dĂ©ployer un site Web pour collecter les en-tĂȘtes de donnĂ©es X-client.FonctionnalitĂ©s non documentĂ©es
En aoĂ»t 2017, les experts de Kaspersky Lab ont dĂ©couvert une porte dĂ©robĂ©e dans NetSarang, un logiciel populaire pour gĂ©rer les serveurs d'entreprise. La porte dĂ©robĂ©e ShadowPad a Ă©tĂ© dĂ©tectĂ©e en analysant des requĂȘtes DNS suspectes dans le rĂ©seau d'entreprise de l'une des plus grandes sociĂ©tĂ©s ayant installĂ© des logiciels. GrĂące Ă la porte dĂ©robĂ©e, les attaquants ont eu accĂšs aux donnĂ©es confidentielles des organisations utilisant NetSarang.La sociĂ©tĂ© de dĂ©veloppement a dĂ©clarĂ© ne rien savoir Ă ce sujet et le code malveillant a Ă©tĂ© introduit dans son produit par des attaquants inconnus. Cependant, aprĂšs la dĂ©couverte de la porte dĂ©robĂ©e, les experts de NetSarang ont rapidement suspectĂ© la vulnĂ©rabilitĂ©.Les entreprises ferment-elles souvent les yeux sur de telles opportunitĂ©s sans papiers?