VeriSign détourne les internautes vers son service de recherche en ligne
Afin de pallier les erreurs de frappe sur les adresses Web en .com et .net, VeriSign a pris l’initiative de rediriger automatiquement les internautes vers son serveur Sitefinder. Un service de recherche qui pose plus de problèmes qu’il n’en résout.
Depuis mardi 16 septembre 2003, lorsqu’un internaute tape (par erreur ou par essai) une adresse Web en .com ou .net qui n’est pas réservée (ou dont la réservation n’a pas été renouvelée à temps), il est redirigé vers le serveur http://sitefinder.verisign.com/ au lieu de voir s’afficher une Erreur 404 (la page demandée n’existe pas) voire, sous Internet Explorer, une redirection sur le moteur de recherche de Microsoft MSN. Cela signifie que toutes les adresses en .com ou .net qui n’existent pas en l’état, existent virtuellement et atterrissent chez VeriSign, la société chargée de la gestion des noms de domaine .com et .net, justement.
Outre le fait que l’utilisateur n’a rien demandé (et peut, en effet, se demander comment et pourquoi il se retrouve chez VeriSign), le phénomène s’applique aussi aux e-mails. Une adresse électronique avec un nom de domaine (après le « @ ») mal saisi redirige automatiquement le courrier vers le serveur du gestionnaire de domaines. Qui pourra à loisir en lire le contenu. Si cela ne présente pas un grand intérêt dans l’immense majorité des cas, cela permet surtout de collecter une base d’adresses e-mail valides pour, éventuellement, les revendre à des sociétés de marketing (voire des spammers).
Etablir l’historique de la saisie de l’internaute
Mais le plus gênant est de savoir que la page du serveur Sitefinder de VeriSign trace vos habitudes. Comme on peut le voir dans le code source, un webbug (une discrète image d’un pixel de côté) envoie l’information de connexion de l’utilisateur au serveur http://verisignwildcard.112.2O7.net/ qui génère un (ou plusieurs) cookies sur votre disque dur. Si l’on ignore précisément ce qu’enregistrent les cookies, il n’est pas interdit de supposer que c’est un moyen de « surveiller » nos erreurs de frappe et d’en établir un historique. Pour quoi faire ? Difficile à dire. C’est en tout cas un moyen d’établir des statistiques sur les « fausses » adresses Internet les plus fréquemment saisies afin de mieux les revendre. D’autre part, comme la page offre un champ de saisie pour effectuer une nouvelle requête, on peut supposer que VeriSign établit des liens entre ce que l’internaute cherche et ce qu’il saisit. Une surveillance de ses habitudes et de ses réflexes en quelque sorte. Laquelle peut être appliquée à un utilisateur précis quand la machine de ce dernier possède une adresse IP fixe, ce qui est souvent le cas de ceux qui ont une connexion haut débit.
Enfin, ce que VeriSign présente comme un service risque de générer des problèmes techniques. Certaines sociétés attribuent des noms de domaine non répertoriés officiellement à leurs serveurs internes. Il y a donc un risque qu’un employé tapant une adresse « interne » soit redirigé vers Sitefinder. Plus ennuyeux, nombre de logiciels de messagerie vérifient l’existence d’une adresse Web avant d’accepter ou non le courrier. Une technique antispam parmi d’autres, rendue obsolète par le « service » de VeriSign qui, de fait, rend existantes toutes les adresses Web en .com et .net.
Poursuivie en justice
Naturellement, l’initiative de VeriSign (dont on peut s’interroger sur la légalité) ne plait pas à tout le monde. A commencer par la société Popular Enterprises qui a déposé une plainte devant une cour fédérale d’Orlando (Floride) pour violation de la législation antimonopole, entre autres. A ce titre, elle réclame 100 millions de dollars de dommages et intérêts. Précisons que Popular Enterprises est spécialisé dans la recherche d’information en ligne et exploite le site Netster.com. Parallèlement, une pétition a été adressée à l’Icann (l’organisme mondial chargé, notamment, d’attribuer les marchés de la gestion d’Internet) pour demander l’arrêt immédiat de Sitefinder et le respect par Verisign des standards établis par l’IETF. En France, le Cigref (Club informatique des grandes entreprises françaises) s’est inquiété de ce « détournement » qui « crée un réel danger concernant la sécurité ». D’autres, plus pragmatiques, préfèrent se tourner vers une solution technique. L’Internet Software Consortium, une organisation qui vérifie et renforce la qualité des standards du Net, propose un correctif à BIND, le logiciel chargé de la correspondance entre les noms de domaine et les adresses IP.
Reste à savoir ce que pense l’Icann de cette affaire. La présidence mondiale de l’Internet ne s’est toujours pas prononcée. C’est pourtant elle qui peut accorder ou refuser l’autorisation de mise en ligne du « service » de recherche de VeriSign.