Les révélations successives autour des documents d’Edward Snowden sur l’ensemble des activités de surveillance aux États-Unis ont déjà largement échaudé les esprits. La NSA en particulier a vu nombre de ses méthodes révélées. On apprend désormais que l’agence de sécurité se sert de tous les outils en sa possession, même les plus basiques, tels que les cookies laissés par la navigation sur le web.

Crédits : Jef Pearlman, licence Creative Commons

Les méthodes classiques de suivi ne sont pas boudées 

La NSA (National Security Agency) est la principale force de sécurité intérieure aux États-Unis. Si sa mission est avant tout la sécurité du pays, elle possède de nombreuses attributions dans la lutte contre le terrorisme, en particulier depuis les attentats du 11 septembre 2001. La NSA use de nombreuses méthodes pour obtenir des données, tissant de larges filets et récupérant des informations variées telles que les métadonnées des communications, des carnets d’adresses, des positions géographiques et ainsi de suite. Autant d’actions qui ont suscité l’indignation du grand public, des entreprises high-tech (en dépit d’un degré de participation inconnu) ou encore de la classe politique.

La NSA dispose de méthodes très élaborées pour obtenir les informations qu’elle vise. Cependant, à la faveur d’un nouvel article sur le Washington Post, on apprend que l’agence utilise également des techniques plus classiques, en l’occurrence les cookies. Les analystes se serviraient ainsi surtout de ceux laissés par Google dès qu’un internaute visite l’un des services de la firme : la recherche, Gmail, YouTube, etc.

Une phase de collecte, une phase d'action 

Contrairement à d’autres moyens utilisés, faisant appel par exemple à un système de requêtes sur de grandes bases de données, la traque par les cookies ne serait mise en place qu’après qu’une cible a été clairement identifiée. Ces cookies, nommés « PREF », ne contiennent pas de données personnelles telles que des adresses email ou encore le nom de l’internaute. Cependant, ils rassemblent d’autres informations qui permettent de définir de manière quasiment unique une machine. Or, le suivi de la machine est parfois plus important que celui de son utilisateur.

Cette technique, utilisée aussi bien par la NSA que son équivalent anglais, le GCHQ (Government Communications Headquarters), a d’autres bénéfices. Ainsi, un ordinateur particulier peut être repéré avec efficacité dans l’immensité d’internet grâce à cette signature unique trouvée dans les cookies de Google. De plus, ce repérage sert d’étape préparatoire avant de passer à l’action : le piratage de la machine. Les documents consultés par le Washington Post montrent que les cookies sont utilisés activement pour « permettre des exploitations distantes » mais n’indiquent en revanche pas les mécaniques d’attaque elles-mêmes.

Les cookies encore une fois au centre d'une polémique 

Interrogée par le journal, Google n’a pas souhaité commenter ces informations. Cependant, certains documents dérobés par Edward Snowden suggèrent que la NSA doit impérativement réclamer un mandat, comme le stipule la loi FISA (Foreign Intelligence Surveillance Act). Pour le Post, de fait, la relation est simple : si un mandat est obligatoire pour accéder aux cookies, l’entreprise impliquée est nécessairement au courant, et tenue légalement d’aider la NSA dans son travail si nécessaire. Cela n’a pas empêché d’ailleurs Google de rejoindre récemment une initiative de plusieurs grosses entreprises pour dénoncer les pratiques du gouvernement et du monde du renseignement, en appelant notamment à plus de transparence.

Les informations révélées par le Washington Post sont d’autant plus intéressantes qu’elles concernent les cookies. Ces petits fichiers ont déjà été au centre de plusieurs polémiques, mais un sujet en particulier a grandi ces dernières années : le tracking. Il s’agit du suivi d’une session de navigation qui peut être fait par certains sites pour connaître les habitudes des internautes. Dans le monde de la publicité, cela permet aux annonceurs d’afficher des contenus plus précis, comme une promotion sur un hôtel à Séville si vous avez surfé pour préparer un voyage en Espagne.

De petits fichiers décidément trop bavards 

Or, il s’agit ici précisément de la même chose : suivre à la trace les actions accomplies par un navigateur donné sur une machine précise. Une technique utilisée par la division Special Source Operations, en charge de faire le lien avec les entreprises impliquées dans les enquêtes, quand leur concours est requis. Les informations trouvées par la SSO sont transmises à une autre division, nommée Tailored Access Operations, qui s’occupera alors de la mise en place des actions de piratage des machines visées. Notez que ces informations sont également envoyées au GCHQ anglais.

On remarque donc une réelle proximité dans les méthodes utilisées par les agences de sécurité et celles de publicité. Après tout, des techniques utilisées par des entreprises privées sont nécessairement accessibles aux analystes de la NSA. Un lien souligné par le professeur Ed Felten de l’université de Princeton : « Cela montre un lien entre le type de suivi réalisé par les sites web à des fins analytiques et publicitaires et les activités d’exploitation de la NSA. En rendant eux-mêmes possibles le suivi analytique et publicitaire, certains utilisateurs se rendent plus vulnérables à l’exploitation ».

Il n'y a qu'à tendre la main 

En outre, la NSA peut profiter indirectement d’autres données rassemblées par des entreprises tierces. C’est le cas en particulier, via un programme nommé Happyfoot, des informations de géolocalisation utilisées par les applications de messagerie. Les positions sont relevées parfois à des fins publicitaires et, là encore, l’agence peut récupérer ces informations pour obtenir une carte des emplacements des appareils mobiles. Une information qui recoupe des articles récents sur la capacité de la NSA à rassembler plus de cinq milliards de positions géographiques par jour.

L’article du Washington Post vient à la fois alimenter les débats autour des activités du renseignement américain et du suivi publicitaire. Ce dernier a grandi au fil des ans, notamment à travers les discussions autour de la fonction Do Not Track qui permet, au sein des navigateurs, de désactiver ledit suivi. Cependant, les négociations se passent mal, surtout au W3C où un standard est en difficile gestation. Et pour cause : les publicités ciblées rapportent davantage que les génériques.

Les cookies pourraient être largement révisés 

Quelles solutions apporter à ce fameux tracking publicitaire ? Le professeur Felten note essentiellement quelques idées « simples ». D’une part, les données stockées dans les cookies pourraient subir une nouvelle couche d’anonymisation, pour supprimer notamment toute référence unique capable de permettre un suivi trop précis de la machine. D’autre part, la communication des informations aux sites à des fins analytiques pourrait se faire de manière chiffrée. Notez à ce sujet que le chiffrement des données est plus que jamais à l’ordre du jour, surtout après les annonces de Google, Yahoo et Microsoft dans ce domaine. Enfin, il recommande aux éditeurs de navigateurs d’opérer des modifications afin que la génération des cookies se fasse sur une base plus saine.

Globalement, ces nouvelles révélations renvoient surtout à l’exploitation de données générées par la volonté d’entreprises privées. Un phénomène qui a pris de l’ampleur avec l’explosion des services « gratuits » où les habitudes de l’utilisateur deviennent une source précieuse d’informations pour vendre de la publicité.