dimanche 22 octobre 2017

Accueil du site > Informatique > Internet > États-Unis : les visiteurs de sites web fédéraux tracés illégalement

États-Unis : les visiteurs de sites web fédéraux tracés illégalement

Declan McCullagh, CNET News.com

mercredi 11 janvier 2006, sélectionné par Spyworld

logo

La NSA, les ministères de la Défense, des Finances... De nombreux sites web gouvernementaux ont recours aux cookies permanents, permettant de suivre la navigation de leurs visiteurs. Au mépris d’une réglementation l’interdisant depuis 2003.

Selon une enquête réalisée par CNET News.com, des dizaines d’agences fédérales américaines pistent les visites sur leurs sites web. De l’armée de l’air au ministère des Finances, ces agences gouvernementales américaines utilisent des mouchards ou des cookies permanents pour en savoir plus sur leurs visiteurs. Pourtant, la législation fédérale interdit cette pratique.

Pour repérer les agences qui s’adonnent au pistage électronique, CNET News.com a fait développer un programme informatique. Il s’est connecté aux sites web de toutes les agences répertoriées dans le guide du gouvernement américain ("U.S. Government Manual") afin d’examiner les techniques de surveillance utilisées. Résultat : beaucoup de cookies qui expirent entre 2006 et 2038 ; la plupart marqués comme valides pendant au moins 10 ou 20 ans.

Des cookies permanents par erreur

Après avoir été contactés par CNET News.com, certains ministères ont modifié dans la foulée leurs pratiques. Le Pentagone a affirmé ne pas être au courant que son portail Defenselink.mil pistait les visiteurs. « Nous ne savions pas que les cookies étaient paramétrés pour expirer en 2016 », a déclaré un représentant du Pentagone mercredi. « Tous les cookies que nous avions définis avec WebTrends devaient être strictement temporaires ; nous avons immédiatement pris des mesures. »

WebTrends est un service commercial de surveillance du web, utilisé également par la Maison Blanche.

La National Security Agency (NSA) vient elle aussi d’être vivement critiquée pour ses cookies permanents, qui permettent de surveiller les visiteurs de son site. Après une enquête et des révélations de l’Associated Press, elle a tout interrompu.

« C’est la preuve même que le respect de la vie privée n’est pas pris au sérieux », a déploré Peter Swire, professeur de droit à l’université de l’État d’Ohio.

Une directive du gouvernement américain de 2003 stipule pourtant que, d’une manière générale, « il est interdit aux agences d’utiliser » des mouchards ou des cookies pour pister les internautes. Ces deux techniques permettent d’identifier des visiteurs réguliers et, selon leur configuration/paramétrage, de suivre également des comportements de navigation sur des sites non gouvernementaux.

Un manque de clarté et des exceptions

Si la pratique consistant à définir des cookies permanents est donc globalement interdite, leur exploitation n’est en outre pas claire. Dans le pire des cas, ils peuvent être utilisés pour s’immiscer dans la vie privée d’une personne, en mettant en corrélation ses visites sur des milliers de sites web. Mais ils peuvent aussi être totalement inoffensifs, en permettant à un internaute de définir la langue par défaut d’un site web, par exemple.

La surveillance des internautes n’est pas totalement prohibée. La directive américaine de 2003 prévoit une exception pour les agences fédérales qui en ont un « besoin impérieux ». À condition cependant de le dire et de recevoir l’approbation de leur hiérarchie. La directive ne s’applique pas non plus aux sites web des gouvernements des États américains, des tribunaux, ni à ceux créés par des membres du Congrès.

Le type de traçage le plus intrusif réside probablement dans les cookies d’éditeurs commerciaux, adoptés délibérément. Ils permettent de mettre en corrélation des visites sur des milliers de sites web. Ainsi, un internaute se rendant sur le site du Pentagone pourrait être identifié comme étant la même personne qui a consulté les sites Hilton.com et HRBlock.com, car ces deux sociétés sont des clients WebTrends.

Les éditeurs de cookies se défendent

Pour sa part, WebTrends dément mettre en corrélation ces informations. « Les éditeurs qui ont essayé de le faire par le passé ont eu très mauvaise presse », souligne Brent Hieggelke, vice-président du marketing de l’éditeur. « Nous ne traçons pas le trafic d’un site à un autre », a-t-il assuré. « Nous ne proposons pas de services permettant d’avoir une vision du trafic entre des sites n’ayant aucun rapport entre eux. »

Les défenseurs des libertés individuelles se méfient de ces cookies. Ils redoutent notamment les éventuelles failles de sécurité, qui mettraient à nu les habitudes de navigation sur le web.

« Si WebTrends a la possibilité de relier une visite sur le site de la Maison blanche à une visite sur un site commercial, cela ressemble fort à du pistage persistant », estime Peter Swire, le professeur de droit de l’Ohio. « Il serait utile de commander un audit indépendant de la situation. »

Pas de revente, mais un simple sondage d’usage

Du côté des éditeurs, on se défend. Notamment Statcounter.com, dont le programme de statistiques sur le web met en place des cookies tiers. Il est utilisé par les ministères américains du Commerce et de l’Énergie.

La société irlandaise se défend de mettre en relation les informations de plusieurs sites internet. « Nous ne vendons aucune information à des tiers », affirme son représentant américain. « Les seules informations qu’il nous intéresse de collecter sont celles indiquant (à un webmestre) d’où viennent les visiteurs, ce qu’ils ont consulté, les informations vers lesquelles ils sont retournés... des données qui indiquent la manière dont le site est utilisé. »

Des règles claires ont pourtant été fournies en juin 1999, sous l’administration Clinton. L’Office of Management and Budget (OMB) de la Maison blanche a publié des premières recommandations (au format PDF) à destination des agences fédérales. Ce document de dix pages leur donnait trois mois pour diffuser sur leur site des règles de respect de la vie privée « clairement énoncées et faciles d’accès », et proposait des formulations.

Une situation explosive depuis 2000

Pourtant, en 2000, le système de suivi utilisé allègrement par le site de lutte antidrogue Freevibe.com de la Maison blanche, a suscité une controverse publique. Peu de temps après, la présidence américaine a publié une directive interdisant aux agences d’utiliser sur leur site toute forme de cookies ou autres « mécanismes automatiques de collecte d’informations », sauf circonstances particulières. La toute dernière directive de 2003 a étendu l’interdiction aux cookies permanents, autorisant en revanche les temporaires, valides uniquement le temps d’ouverture de la fenêtre du navigateur.

Le non-respect avéré des règles a plongé dans la tourmente les agences gouvernementales concernées. En 2001, l’inspecteur général du ministère de la Défense américain a passé au crible ses 400 sites, et a trouvé des cookies permanents sur 128 d’entre eux. En 2002, la CIA a reconnu avoir utilisé les cookies proscrits sans autorisation appropriée, et les a retirés de ses sites.

Aujourd’hui, le niveau de conformité aux règles semble avoir peu évolué depuis l’étude réalisée en 2000 par le General Accounting Office (au format PDF). Elle révélait qu’au moins une dizaine d’agences continuaient d’utiliser des cookies en apparente violation des règles.

Les développeurs de sites montrés du doigt

Bon nombre des cookies sur les différents sites ont été générés par l’outil de création web ColdFusion, très populaire. Lorsqu’il crée certains types de cookies, il les définit par défaut comme des cookies permanents qui doivent expirer environ 30 ans plus tard, a expliqué Tim Buntel, chef de projets senior.

Les créateurs de ColdFusion encouragent les développeurs web, lorsqu’ils montent un site, à faire en sorte de pouvoir gérer et modifier les paramètres des cookies à loisir, recommande Tim Buntel. « N’importe quelle application créée avec ColdFusion peut être entièrement développée sans l’utilisation du moindre cookie », précise-t-il.

Des représentants de plusieurs agences se sont dits surpris de trouver des cookies sur leur site web. Ils ont mis en cause son concepteur, qui aurait dû s’informer des paramétrages par défaut avec ColdFusion.

Un paramétrage par défaut mis en cause

Même cas de figure pour la Defense Threat Reduction Agency, qui dépend du Pentagone. « Lorsque l’agence a installé ColdFusion (logiciel de développement web d’Adobe Systems, Ndlr) sur notre serveur web, nous avons configuré le logiciel en appliquant ses paramètres par défaut », a expliqué William Alberque, porte-parole de la Defense Threat Reduction Agency. « Or il s’avère que la configuration par défaut génère des cookies de session qui peuvent rester sur votre ordinateur pendant 30 ans ou jusqu’à ce qu’ils soient supprimés ». Mais « nous n’avons jamais conservé de base de données contenant ce type d’informations », tient-il à préciser.

« Honnêtement, je ne pense pas que quiconque ait même été au courant de leur existence, mais c’est maintenant le cas et nous allons agir en conséquence », a assuré Daniel Horowitz, porte-parole de l’U.S. Chemical Safety and Hazard Investigation Board, agence fédérale de prévention des risques sanitaires industriels.

L’un des administrateurs du site du National Air and Space Museum, dédié à l’aéronautique et l’aérospatiale, a initialement contesté l’existence des cookies persistants détectés par CNET News.com. Avant de reconnaître que les paramètres ColdFusion étaient probablement en cause. « Quoi qu’il en soit, je peux vous assurer que nous n’utilisons et ne diffusons pas d’informations récoltées par des cookies », a certifié le représentant.

Quelques agences, dont le Federal Reserve Bank System et l’U.S. Institute of Peace, ont ainsi fait savoir qu’elles étaient indépendantes, et donc non soumises à la directive 2003 de l’OMB. « Nous ne sommes pas une agence gouvernementale », a soutenu Calvin Mitchell, vice-président de la Federal Reserve Bank (banque de réserve fédérale) de New York. « Nous essayons de respecter l’esprit de certaines réglementations gouvernementales, mais nous ne sommes pas tenus de nous y conformer ».

Les sites .mil ou .gov doivent être conformes

Un officiel de la Maison blanche a proposé une interprétation différente. « Concernant les sites web du gouvernement fédéral, la politique est claire. Tout site se terminant par .mil ou .gov est soumis à la politique fédérale telle qu’elle est définie dans les recommandations de l’OMB », a déclaré David Almacy, responsable internet de la Maison blanche.

Seule une agence fédérale contactée cette semaine semble en parfaite conformité avec la directive. Le National Institute of Dental and Craniofacial Research indique avoir reçu en janvier 2005 l’autorisation d’activer des cookies sur son site web pour une étude. Les cookies, d’une validité d’un mois, permettent d’éviter de demander aux mêmes personnes de participer à l’enquête.

La Maison blanche assure pour sa part respecter la directive, puisqu’elle utilise une image de 1x1 pixel qui se charge à partir du site de WebTrends. « Aucun cookie n’est placé sur le site web, que ce soit à partir de la Maison blanche ou de WebTrends », a précisé David Almacy. « Aucune information personnelle n’a été recueillie. Le site de la Maison blanche respecte et a toujours respecté les recommandations de l’OMB. »

Les hommes politiques eux-mêmes semblent ne pas donner l’exemple. Soixante-six parlementaires du Sénat américain et de la Chambre des représentants utilisent les cookies permanents sur leurs sites. Sur ce nombre, 23 (18 républicains, et 5 démocrates) s’étaient pourtant engagés à ne jamais s’en servir, dénonçant le principe, a appris CNET News.com. Mis en cause, certains ont assuré ne pas être au courant de la présence de cookies sur leurs pages.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :