I. Introduction▲
Internet passe pour être un espace de liberté, mais en réalité des traces de vos surfs sont conservées à de nombreux endroits : journaux de log des sites web visités, logs des routeurs, logs de votre FAI, et premier lieu d'indiscrétion : votre propre navigateur web. Ce dernier peut même dans certains cas tout enregistrer : mots de passe, copies des pages visitées, liste des URL visitées…
Dans le cas d'un PC personnel que vous êtes seul à utiliser, cela n'est pas grave. En revanche, dans le cadre d'une utilisation collective comme dans un cybercafé, en entreprise ou dans n'importe quel lieu public (aéroport, bibliothèque…) il peut être fort préjudiciable de laisser le navigateur collecter ces traces. En effet, ces traces peuvent être par la suite exploitées par n'importe quel utilisateur malveillant pour en apprendre un peu plus sur vous : la liste des sites visités permet de deviner vos centres d'intérêt personnels, les mots de passe enregistrés permettent de se connecter sur vos webmails et autres espaces personnels, les cookies permettent de savoir quels produits vous avez commandés sur un site de e-commerce… Bref, les exemples sont nombreux et les risques réels de voir votre vie privée dévoilée au grand jour et vos comptes d'accès piratés.
De la persécution politique à l'espionnage économique en passant par la discrimination sur vos préférences sexuelles ; les conséquences de telles indiscrétions du navigateur peuvent être très importantes. D'où la nécessité de savoir quelles sont les informations enregistrées par votre navigateur et de connaître les moyens d'y mettre fin ou de les effacer.
II. Éléments sauvegardés par le navigateur▲
Le navigateur conserve sur disque et en mémoire des informations relatives à toutes les actions réalisées lors de la navigation de l'internaute. La durée de conservation est variable et peut généralement être configurée finement sur les récentes versions des principaux navigateurs du marché.
Données sauvegardées par le navigateur :
- historique de navigation ;
- historique de téléchargement ;
- cookies ;
- sessions d'identifications ;
- cache mémoire et disque ;
- cache d'adresses ;
- recherche depuis la barre d'adresses ;
- mots de passe enregistrés ;
- données de formulaires enregistrées ;
- signets.
La configuration de ces comportements peut être réalisée sous Firefox avec le menu Outils / Options / Vie privée et sous Internet Explorer avec le menu Outils / Options Internet.
Autres éléments d'indiscrétions :
- bannières publicitaires espion ;
- plug-ins keyloggers ;
- applets Java et autres ActiveX.
II-A. Historique de navigation▲
L'historique de navigation est la liste chronologique des sites visités : URL, nom du site, date et heure de visite et liste des pages sont conservés sur le disque dur.
Les navigateurs permettent de configurer la durée de conservation de cet historique en nombre de jours. Par exemple : la règle peut être de conserver l'historique des pages visitées les dix derniers jours. Ce nombre peut être passé à 0 pour ne rien conserver dans l'historique. Un bouton de purge de cet historique est également disponible.
II-B. Historique de téléchargement▲
Certains navigateurs (c'est le cas de Firefox) possèdent un gestionnaire de téléchargement qui conserve la trace des fichiers téléchargés. Ce gestionnaire est très utile pour reprendre un téléchargement un peu long qui aura été interrompu, sans avoir à en retélécharger l'intégralité.
Cependant, il peut être embêtant que la petite sœur puisse accéder directement depuis ce gestionnaire au dernier fichier téléchargé : grosse-coquine-toute-nue.jpg ! C'est pourquoi il est possible de purger cette liste manuellement ou automatiquement après chaque fermeture du navigateur.
II-C. Cookies▲
Les cookies sont de petits fichiers texte permettant à chacun des sites visités de sauvegarder des informations personnelles sur vous. Les forums peuvent y mémoriser votre mot de passe pour éviter de vous le redemander ultérieurement, les sites de e-commerce sauvegardent la liste des derniers produits commandés, certains sites conservent le détail de votre navigation ou encore la liste des vos préférences.
Les cookies peuvent être interdits par le navigateur de façon globale ou selon les sites. Ils peuvent aussi être effacés après visite.
II-D. Sessions d'identifications▲
Lors de la visite d'un site protégé par un système d'authentification, celui-ci crée une session dont la durée de vie est soit limitée dans le temps (déconnexion d'office après un certain temps d'inactivité) soit limitée à la durée de vie de la fenêtre du navigateur. Ainsi la fermeture du navigateur arrête la session.
Attention donc à ne jamais laisser ouverte la fenêtre du navigateur après usage dans un lieu public, car l'utilisateur passant après vous pourrait utiliser l'historique pour connaître vos derniers sites visités et profiter de votre session laissée ouverte pour se faire passer pour vous et pourquoi pas commander un Home Cinéma sous votre nom.
Firefox permet de supprimer les sessions en cours, les autres navigateurs obligent à fermer la fenêtre.
II-E. Cache mémoire et disque▲
Le cache n'est rien d'autre que la recopie intégrale en mémoire et sur disque dur des pages web (images incluses) visitées. Comme une même page est souvent visitée plusieurs fois de suite durant une courte période de temps, à des fins d'économie de la bande passante (souvenez vous des vieux modems RTC et des fortaits Internet 2H pour très cher) le navigateur les sauvegarde pour ne pas avoir à télécharger 50 fois les mêmes éléments.
Ainsi, le parcours des fichiers du répertoire de sauvegarde du cache de votre navigateur permet à quiconque de voir les pages et images que vous avez visualisées, y compris le dernier rapport confidentiel lu sur votre intranet d'entreprise que votre concurrent convoite tellement. Coup de chance pour lui, il va déjeuner dans la même cybercafette que vous dans votre gare préférée ;-)
II-F. Cache d'adresses▲
Le cache d'adresse conserve la liste des URL tapées dans la barre d'adresse du navigateur. Ceci permet la saisie semi-automatique par complétion de vos longues et laborieuses URL… Malheureusement votre maman qui voulait aller sur www.mabanque.fr a vu s'afficher www.mabiroute.net !
Cette saisie semi-automatique ainsi que le cache peuvent être désactivés, parfois indépendamment l'un de l'autre.
II-G. Recherche d'adresses▲
La recherche depuis la barre d'adresse permet au navigateur de lancer une recherche sur un moteur de recherche avec pour requête le texte saisi en barre d'adresse si celui-ci ne correspond pas à une URL valide.
Internet Explorer exploite cette fonctionnalité et renvoie sur son moteur de recherche MSN Search. Ce dernier est donc informé de nos centres d'intérêt lors d'erreurs de frappe d'une URL.
II-H. Mots de passe enregistrés▲
Qu'il est difficile de se souvenir de ses innombrables logins et mots de passe ! Avoir un navigateur qui se souvient pour vous de vos 50 mots de passe de vos 50 sites préférés, c'est bien. Mais dangereux ! Imaginez que votre colocataire dans un accès de colère décide de monter les enchères sur eBay jusqu'à 50 000 EUR pour la dernière brosse à cheveux de Lady Di !
Heureusement, là encore, tout ce qui est enregistré peut être supprimé. Vous pouvez même parfois gérer finement vos comptes d'accès enregistrés.
II-I. Données de formulaires enregistrées▲
De la même manière que les mots de passe, les saisies réalisées dans les champs des formulaires (inscription à un site, moteur de recherche…) peuvent être sauvegardées par le navigateur qui va alors les préremplir automatiquement ou encore proposer une liste de valeurs possibles pour un champ dont le nom (input name/id) est associé à une saisie que vous auriez déjà réalisée.
C'est très pratique de ne pas avoir à réécrire son email personnel à rallonge de 200 caractères dans chacun des formulaires le demandant. Mais en même temps, cela permet à toute personne utilisant le même navigateur de découvrir un grand nombre d'informations personnelles, voire confidentielles. Imaginez un peu votre maman voulant rechercher « sucettes à la cerise » et qui voit le navigateur proposer « suceuse perverse » !
L'attribut optionnel autocomplete des champs de formulaire HTML placé à off permet à un webmaster d'interdire au navigateur cette saisie semi-automatique. Mais il est assez peu utilisé, et n'empêche en rien la sauvegarde de la donnée saisie.
II-J. Signets▲
Autre moyen de connaître vos centres d'intérêt est de parcourir vos signets !
Sachez qu'ils peuvent souvent être exportés, effacés et réimportés à volonté. Sous IE, les favoris sont un simple dossier qui peut être copié ou vidé depuis l'explorateur de fichiers.
II-K. Publicités espion▲
Ce moyen d'indiscrétion n'est pas le fait du navigateur lui-même, mais résulte d'un script JavaScript qui va envoyer des informations obtenues du navigateur (résolution d'écran, version du navigateur, langue…) en paramètre à une ressource (image ou autre) qui sera appelée par la page web en cours de visite. Cette ressource est hébergée sur un serveur web dont l'analyse des fichiers de log permettra d'obtenir des informations sur vous (adresse IP, heures de navigation, referer, et informations précédentes).
La plupart des bannières publicitaires sur Internet ainsi que les outils de mesure d'audience des sites web procèdent ainsi. Pour contrecarrer cela, il existe des plugins qui sont des bloqueurs de publicité (appelés encore filtres antipub). Par exemple sous Firefox, existe le filtre suivant : AdblockPlus.
II-L. plug-ins keyloggers▲
Certains plug-ins peuvent contenir des spywares dont des keyloggers, programmes espions enregistrant les frappes au clavier de l'utilisateur et les communiquant à des sites pirates. Le seul remède à cela est de ne pas installer de plug-in dont on n'est pas sûr de la provenance et de l'innocuité.
II-M. Applets et ActiveX▲
Les programmes exécutables chargés directement au sein d'une page web tels que les applets Java et les ActiveX peuvent réaliser des actions d'espionnage. Il est donc recommandé de ne pas exécuter ceux dont on n'est pas sûr de l'innocuité. N'acceptez que ceux signés numériquement par une société de confiance.
III. Autres éléments sauvegardés▲
Il n'y a pas que le navigateur qui conserve la trace de votre navigation !
Autres données sauvegardées par d'autres moyens :
- presse-papier ;
- cache imprimante ;
- journal de log du pare-feu.
III-A. Presse-papier▲
On n'y pense pas souvent, mais le presse-papier du système d'exploitation conserve la trace des données que vous auriez copiées/collées depuis ou à destination d'un site web. Le dernier élément copié (texte, image, autre type de données) est conservé durant tout le temps que le système est en marche ! Si vous aviez copié/collé de Word vers votre webmail préféré un message ultraconfidentiel, il pourra être récupéré par un autre utilisateur, même si le navigateur est fermé.
Le presse-papier offre la possibilité d'être purgé.
III-B. Cache imprimante▲
Bon, vous avez purgé tous les caches du navigateur, supprimé les cookies, vidé le presse-papier et fermé le navigateur. Vous pensez être à l'abri de tout espionnage. Vous avez quand même imprimé le dernier mail que vous avez envoyé à un recruteur… Mais savez-vous que l'imprimante de votre entreprise conserve en mémoire les derniers documents imprimés et photocopiés ? Voilà encore des traces de votre activité sur Internet !
III-C. Journal de log du pare-feu▲
Votre ordinateur est équipé d'un pare-feu ? Super, vous êtes protégé ! Mais pensez à vider le cache qui conserve trace de vos sites visités.
On peut faire la même remarque pour l'antivirus qui conserve la trace des dernières pièces jointes analysées. Pour peu qu'elles portent un nom évocateur, votre patron pourrait en avoir écho.
IV. Conclusion▲
Cet article a passé en revue les risques d'indiscrétion du navigateur ainsi que les parades possibles. Il reste à l'utilisateur d'être très vigilant dans son utilisation d'un navigateur et à le paramétrer correctement. Tous les navigateurs ne se valent pas en termes de respect de la vie privée. Il existe cependant des plug-ins permettant de renforcer la protection de la vie privée, ils peuvent se révéler très utiles.
Vous voilà maintenant prévenus ! Bon surf…
Remerciements▲
Merci à buchs pour sa relecture orthographique.