Qu’est ce qu’un site sait de vous lorsque vous surfez sur internet ?
Malgré l’application du Règlement général sur la protection des données ou RGPD de façon générale, vos informations personnelles sont à la portée de très nombreux services et d’applications que vous soyez consentant ou non. Mais quelles données sont collectées et comment renforcer son anonymat ?
En 2020, surfer anonymement et en sécurité reste toujours un vœu pieux. La réglementation européenne a certes permis de renforcer les données privées. Cela a pour effet d'obliger les sites à vous demander d’accepter ou de refuser la collecte de données personnelles. Malheureusement, le refus oblige bien souvent à désactiver manuellement des dizaines d’options, ce qui, au final, contraint à accepter de livrer ses données.
Le site ou le service va alors déposer un petit fichier, le fameux cookie et y inscrire certaines informations qui vont permettre au site d’afficher directement des contenus qui vous ont intéressé les fois précédentes. Ils peuvent mémoriser vos propres saisies sur le formulaire d'un site web. Le site va également collecter l’adresse IP de votre connexion. Celle-ci va permettre de vous géolocaliser plus ou moins précisément et, éventuellement, d'adapter les contenus à votre lieu géographique. C’est exactement ce que réalisent les moteurs de recherche ou les réseaux sociaux, par exemple.
Le serveur va aussi récupérer les variables d’environnement de votre appareil, qu’il s’agisse d’un mobile ou d’un ordinateur. Il s’agit des données collectées par votre navigateur sur la configuration de votre appareil. Elles servent à ajuster l’affichage du site par rapport au format et à la définition de l’écran, par exemple. Le serveur sait aussi quel est l’OS employé, la version du navigateur. Par ailleurs, les dates de vos visites sont mémorisées, ainsi que les mots-clés saisis et les liens sur lesquels vous avez cliqué.
Les failles du WebRTC
Celles-ci sont souvent ignorées par les VPN. Il existe la solution du mode de navigation privée offerte par les navigateurs pour atténuer cette collecte. Mais, dans ce cas, l’adresse IP reste détectée, ainsi que les variables d’environnement. Outre la confidentialité des données, il y a aussi les failles de sécurité que même une excellente suite de sécurité ne pourra pas colmater. En plus de l’IP, une autre précieuse source d’information repose sur les serveurs DNS. La liste de ceux-ci est collectée et présente même une vulnérabilité majeure qui est bien souvent exploitée par les pirates. Pour assurer la meilleure protection des données, l’idéal est d’employer un VPN.
Il en existe beaucoup mais mieux vaut opter pour une formule payante plutôt qu’un modèle gratuit qui affaiblit la sécurité. PureVPN, CyberGhost… Tous ces modèles garantissent l’anonymat et la protection des données. En revanche, certains vont plus loin que d’autres. Ces VPN viennent colmater les brèches induites par l’utilisation du WebRTC. Cette technologie permet d’échanger des données vidéos et audio entre deux navigateurs.
Très pratique pour réduire la latence et communiquer plus rapidement, elle a l’inconvénient de laisser « fuiter » votre adresse IP réelle et de présenter une menace supplémentaire prisée par les pirates, et ce même au travers de certains VPN. Si vous avez un doute sur ce point et même si vous utilisez déjà une solution VPN, vous pouvez vérifier ici, si le WebRTC activé par défaut par votre navigateur est bien protégé.
Fawaz MOUSSOUGAN,
IT Security
Certified Ethical Hacker
Consultant en Cybersécurité