Un mouchard dans les documents Office

Cloud

La Privacy Foundation a publié hier un rapport qui démontre comment on peut incorporer un Web bug, autrement dit un mouchard, dans un document Office comme dans toute application contenant du HTML. Des cookies permettent ensuite de suivre à la trace le document dans toutes ses pérégrinations. Inquiétant.

Combien de fois avez-vous téléchargé des documents Word ou Excel ? Sûrement suffisamment pour avoir été victime d’un petit malin qui aurait incorporé un Web bug (que l’on peut traduire par « mouchard Web ») dans le document en question et aurait ainsi scruté votre utilisation de son oeuvre. C’est ce que révèle un rapport de la Privacy Foundation. S’il s’agit d’un particulier, passe encore, mais si une société agissait de la sorte dans un but commercial, alors dans ce cas cela deviendrait beaucoup plus gênant. Paranoïa ? Pas si sûr, car on connaît les pratiques de certains sites Web (voir notre rétrospective du 31 décembre 1999), et les Web bugs (sous forme de pixels invisibles) sont beaucoup plus répandus qu’on ne le pense sur les sites Internet. Les présentations PowerPoint ne sont pas épargnées, et de nombreuses sociétés en proposent en téléchargement…

Mais qu’est-ce qu’un pixel invisible ? Pour résumer très simplement, il s’agit d’une ligne de commande en HTML, identique à celle utilisée pour appeler une image sur un serveur. Sauf qu’il n’y a pas d’image sur le serveur, mais un script qui déclenche la collecte d’informations. Donc, une fois la connexion établie avec le serveur – il faut être connecté à Internet – ce dernier a accès à l’adresse IP de votre ordinateur et à toutes sortes d’informations vous concernant… Il peut savoir par quel fournisseur d’accès vous passez et aussi renvoyer un cookie, qui permettra ensuite d’analyser votre utilisation du document. Et c’est là que les choses deviennent dangereuses pour le respect de la vie privée, car en combinant cookies et Web bugs, les possibilités s’étendent. Il n’est pas évident de savoir quels renseignements peuvent être obtenus de la sorte, cela dépend de la configuration de l’ordinateur. Bien souvent, en recoupant les informations avec une base de données bien fournie, votre identité peut être retrouvée. Ensuite vos habitudes sur un site peuvent être étudiées, vos visites comptabilisées et vos heures de passage de même. Bref, votre profil peut être établi pour une utilisation commerciale.

L’existence des Web bugs est connue depuis quelques mois. Pourtant, jamais personne n’avait mentionné la possibilité de les employer avec des applications bureautiques. Une fois de plus resurgit le dilemme des alertes de sécurité : en révélant une faille, on la met à la disposition des pirates. Et dans le cas présent, cela risque de donner des idées aux équipes de marketing friandes de ces techniques. Les newsletters sont en effet connues pour héberger ces Web bugs (rassurez-vous, celle de VNUnet en est dépourvue) et ce n’est pas un hasard si elles fleurissent sur les sites des sociétés. La question qui se pose alors est de savoir si Microsoft, puisque l’on cite ses produits Office, était au courant. A priori, les autres éditeurs de suites bureautiques ne sont pas à l’abri de l’emploi des Web bugs dans leurs applications. Difficile d’y apporter une réponse quand aucun responsable Office n’est joignable. Gageons que les réactions officielles ne sauraient tarder. D’ailleurs, la Cnil (Commission nationale informatique et libertés) nous a indiqué suivre le dossier de près, elle réalise actuellement des investigations techniques et devrait soumettre de nouvelles propositions d’orientation d’ici une quinzaine de jours. Un vide juridique existe sur la question, mais la loi dit que l’internaute doit être informé de toute collecte de données le concernant, et est en mesure de s’y opposer. En attendant, il semble difficile de se prémunir des pixels invisibles…

Pour en savoir plus  :

* Le rapport de la Privacy Foundation

* L’explication sur les Web bugs de la Privacy Foundation

* « Vos traces » sur le site de la Cnil

* Epic, ressources sur la protection de la vie privée

* Les recommandations du Conseil de l’Europe sur la protection de la vie privée