Tous traqués par Facebook, même sans avoir de compte ?

Ce n’est pas une découverte, c’est connu depuis des années.

Voici une démonstration :

  • Editer le fichier /etc/hosts sur Linux, ou le fichier C:\windows\system32\drivers\etc\hosts sur windows 7 (via notepad en mode admin).
  • La manip consiste à rerouter votre navigateur web non pas vers Facebook mais vers votre propre IP.
  • Ajouter cette ligne dans le fichier hosts :  192.168.1.12 http://www.facebook.com fr-fr.facebook.com puis sauvegarder. Faut enlever http://, ce fichu texte s’ajoute automatiquement quand je publie ce présent article, alors qu’il ne faut pas mettre http://.
  • Pour savoir votre IP locale sur votre routeur sous Windows : taper ipconfig via l’interpréteur de commandes CMD, (ou ifconfig dans un terminal de Linux), c’est l’adresse IPv4. C’est cette IP qu’il faut indiquer dans la ligne dans hosts.
  • Ensuite, avec netcat avec l’instruction sudo nc -v -l 192.168.1.12 443 (si sous Linux) ou mieux encore au moyen d’un programme Perl (sous Linux ou Windows), on ouvre le port 443 (https) sur votre IP afin de simuler un serveur HTTPS qui remplace le vrai Facebook. Exécuter ensuite le serveur qui se met en écoute sur le port 443.
  • Ouvrir ensuite une page quelconque du web qui contient des modules Facebook intégrés, c’est-à-dire des boutons bleus Facebook typiques (Follow, Share… En français : Suivre, S’abonner, Partager…). Au même moment, le serveur HTTPS détecte que votre navigateur transmet des données vers Facebook (mais ici c’est vers votre serveur intercepteur). La transmission de données vers Facebook survient en l’absence de clics sur les boutons bleus de Facebook, il suffit juste d’ouvrir une page web contenant ces modules. En effet, cela présente un risque de traquage des internautes via les cookies.

Facebook pourrait s’amuser à recouper les données entre elles. Par exemple, supposons que vous ayez un compte FB sur lequel vous êtes actuellement connecté via votre navigateur. Ensuite, supposons que vous recevez une notification par email (en format HTML) en provenance de votre 2e compte Facebook. Vous croyez peut-être que FB ne fera pas le lien entre vos deux comptes même si vous changez votre IP et en effaçant vos cookies ? Hé bien, non, car même par email, les modules Facebook restent actifs, ils sont exécutés lorsque vous ouvrez vos mails pour les lire… Il suffit juste que FB veuille comparer les IP de vos deux comptes, en temps réels, pour s’apercevoir que c’est vous ! Vous aviez cru rester discret ? Erreur, car FB sait tout de vous.

Et aussi, quand on tape des requêtes dans la barre de recherche de personnes sur FB, tous les noms que vous y entrez sont enregistrés définitivement sur le site de FB. En plaçant le curseur de la souris dans cette barre de recherche et en appuyant la flèche du bas, on voit même la liste des requêtes anciennes.

Et supprimer les cookies ne résout en rien le problème de flicage des internautes. On peut être tracé via l’adresse IP, même si on n’est pas logué sur FB.

Les modules FB sont fréquents dans les sites de média, les journaux en ligne : FB sait quels sont les articles de presse en ligne que vous lisez, la plupart des blogs que vous lisez ou ce que vous publiez. Vos petites habitudes sont scannées… Les modules s’appellent en fait des plugins, d’après ce que j’ai examiné dans le code source HTML d’une page web, les plugins sont chargés via une balise IFRAME qui charge un hyperlien de Facebook depuis le site d’origine sur lesquels les plugins sont intégrés.

Mais tout cela, les problèmes posés par l’utilisation de Facebook sont connus depuis des années. Je suis effaré que certains, chercheurs ou journalistes, aient l’air de tomber des nues face à cette « découverte ».

Ah, maintenant vous avez peur ? Vous avez raison.

iconlol

 

Copyright 2015 John Philip C. Manson

 

Publicités