EarthLink invente le ‘supercookie’

Mobilité

Le fournisseur d’accès américain EarthLink exploite, à partir du navigateur, un identifiant quasi unique de ses abonnés. A leur insu. C’est ce que révèle Steve Gibson, spécialiste de la sécurité sur le réseau et qui s’était déjà illustré à l’occasion des « spywares » de RealNetworks notamment. Détail d’un outil de traçabilité des internautes.

« Your privacy is very important to us » (votre vie privée est très importante pour nous). Telle est la première phrase qui s’affiche dans la rubrique « Privacy Policy » (politique sur la vie privée) du site du fournisseur d’accès américain EarthLink. On s’en doutait un peu mais on ignorait à quel point. Un article publié le 17 mars par la Gibson Research Corporation, qui avait déjà révélé certaines indiscrétions de Real Networks notamment (voir éditions du 17 juillet 2000 et du 2 novembre 1999), dévoile une nouvelle affaire qui implique EarthLink. Dans ses navigateurs personnalisés, c’est-à-dire fournis avec le kit de connexion sur CD comme le font nombre de providers, le n°2 des fournisseurs d’accès américains exploite une balise qui commence par « ELNSB50 » suivie d’une variable constituée d’une chaîne de 48 caractères (chiffres et lettres). Cette balise, unique ou presque, est référencée dans le « User_Agent », une variable d’environnement récupérée par le serveur Web pour identifier les caractéristiques du navigateur (modèle, version, éditeur, langue…) et le système d’exploitation essentiellement. La balise d’EarthLink est presque unique (dans le sens où seuls quelques chiffres changent uniquement quand on réinstalle le navigateur) et permet de disposer de certaines informations sur l’utilisateur comme la résolution de son écran, son type de connexion (RTC ou permanente), la place occupée par le navigateur sur l’écran, etc. Bref, c’est un peu comme un numéro de sécurité sociale que l’internaute dépose sur chacun des sites qu’il visite. A son insu, bien entendu. Car ces informations sont envoyées à chacune des requêtes du navigateur, indépendamment des paramètres de gestion des cookies que l’utilisateur a éventuellement mis en place. En effet, contrairement aux cookies, l’identifiant d’EarthLink n’est pas rattaché au serveur par le nom de domaine de celui-ci. Cependant, ce « supercookie » ne permet pas à un serveur tiers de suivre à la trace l’utilisateur sur le Net, à moins d’aller « interroger » (pour ne pas dire pirater) les serveurs d’accès Internet d’EarthLink.

Entre personnalisation et respect de la vie privée

Le vice-président d’EarthLink, Les Seagraves, justifie l’existence de cet identifiant par un besoin d’adapter son site portail aux paramètres de l’utilisateur. Pour plus de confort, bien entendu. Il réfléchit aussi à l’idée de soumettre cette structure de balise aux spécifications du HTTP (serveur Web) à des fins de normalisation. Et s’il est vrai que chaque site visité peut ainsi personnaliser la navigation de l’internaute (comme avec n’importe quel cookie traditionnel), le serveur peut également croiser les informations d’EarthLink avec celles recueillies par ses propres cookies. Mais surtout, à aucun moment EarthLink n’a, semble-t-il, prévenu ses abonnés de l’existence de cet identifiant caché. Ce qui pourrait se caractériser par une violation de la vie privée. Un argument de plus pour les défenseurs de la vie privée dans le cadre d’une loi pour la protection des données personnelles que doit prochainement voter le Congrès américain (voir édition du 19 mars 2001). Pour l’heure, il semble qu’aucun FAI français n’ait adopté ce super cookie. Pour combien de temps ?