Connexion
Abonnez-vous

CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés

Un feu d'artifices !

CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés

Le 28 janvier 2020 à 15h25

En cette journée mondiale pour la protection des données, attardons-nous sur un projet de la CNIL qui vient d'être mis à jour : CookieViz. Celui-ci permet de visualiser simplement les très nombreux services qui sont susceptibles de vous pister à travers les sites que vous visitez. 

Il y a quelques années, la CNIL mettait en ligne un outil permettant d'analyser quels services déposaient des cookies lors de la navigation des internautes sur un site. Le constat était alors sans appel : ils étaient parfois des dizaines, des centaines, même si aucun consentement n'avait été donné.

Depuis, de nombreuses extensions ont pris le relais dans les navigateurs. Kimetrak pour analyser les requêtes effectuées depuis un site bien entendu, mais également Ghostery (Mozilla/Hubert Burda Media) ou Privacy Badger (EFF). Et malgré l'entrée en vigueur du RGPD, les sites n'ont pas vraiment revu leur politique en profondeur. 

Les méthodes de pistage alternatives aux cookies se sont multipliées, allant du calcul d'une empreinte (fingerprinting) à des solutions parfois plus poussées, notamment pour cacher certains scripts. Éternel jeu du chat et de la souris

Une nouvelle version de CookieViz

La CNIL le sait, et semble se préparer à sa nouvelle salve de contrôle. Son laboratoire d'innovation numérique (LINC) a ainsi développé une nouvelle version de CookieViz. Cette v2 est actuellement en bêta, toujours open source, le code étant disponible sous licence GPLv3 via GitHub

Elle n'avait pas été remaniée en profondeur depuis 2016, les changements ont donc été nombreux. Elle est notamment bien plus simple à installer et à utiliser. Terminé le besoin d'installer des serveurs et autres outils d'analyse de trafic. Désormais, vous téléchargez un fichier compressé, vous le décompactez, vous lancez l'exécutable et c'est tout !

La promesse de CookieViz est la suivante : obtenir une « analyse des interactions entre un navigateur et des sites et serveurs distants. Vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations ». Concrètement, il affichera un petit graphique permettant de visualiser les requêtes effectuées depuis les sites que vous visitez et d'autres acteurs tiers, avec ou sans dépôt de cookie. Il passe pour cela par un navigateur embarqué.

Toujours des dizaines de cookies et de requêtes par site

Nous avons effectué un simple test en nous rendant sur trois grands sites de presse nationale français : Le Monde, Le Figaro puis Libération. Dès la première visite, on peut voir des dizaines d'acteurs graviter autour du logo du site alors que nous n'avons fait que naviguer sur sa première page sans donner le moindre consentement explicite.

  • CookieViz 2.0 - Dès la première visite
  • CookieViz 2.0 - Après trois sites seulement
  • CookieViz 2.0 - Zoom sur un acteur et détail des cookies

Même chose pour les deux autres sites qui étoffent encore un peu plus le maillage, certains acteurs étant présents de manière récurrente. Ainsi, ils pourront savoir que nous sommes passés d'un site à l'autre pour reconstituer une partie de notre navigation. C'est tout le principe des scripts de boutons sociaux qui sont parfois intégrés aux pages.

On peut décider d'un clic droit de se focaliser sur un acteur, de voir les cookies qui lui sont lié et leurs contenus. N'hésitez pas à faire vos propres tests et à partager vos découvertes au sein de nos commentaires.

Car CookieViz v2 permet désormais plus simplement de constater, si vous n'en étiez pas déjà convaincus, que la plupart des sites qui se disent « soucieux de votre vie privée » et n'hésitent parfois pas à critiquer les pratiques des grandes plateformes vous prennent pour des jambons sur le sujet. Graphique et données à l'appui.

Espérons que la CNIL, qui a laissé faire de nombreux sites pendant bien trop d'années déjà, s'en saisira rapidement. Ses nouvelles recommandations sont attendues sous peu. Les outils semblent prêts pour les enquêtes... avant les sanctions ?

Le 28 janvier 2020 à 15h25

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je viens de tester sur le monde.fr c’est toujours du bonheur à l’état pur ! Et dans une moindre mesure Ouest-France. A côté nextinpact fait figure de parent pauvre.

votre avatar

C’est flippant quand même <img data-src=" />

votre avatar

J’ai pas bien compris comment Kimetrak et CookieViz se complétait ou se marchaient sur les pieds.

votre avatar

Kimetrak regarde les nom de domaine des requêtes pour afficher le site. CookieViz regarde led cookie mis sur le navigateur.

Donc pas la même méthode de ciblage.

votre avatar

Et malgré tous ces éléments envoyés à droite et à gauche, la publicité (ciblée) que je reçois est toujours aussi archi basique, ne me rappelant que ce que je viens de voir sur des sites marchands.

votre avatar

Quand je pense que je peux passer quasiment 1 journée entière sur les sites que je crée pour installer des bandeaux et gestionnaires de cookies pour accepter/refuser 3 pauvres cookies et trackers, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent, je me dis que je suis bien c*n…&nbsp;<img data-src=" />



Sal*perie d’éthique que je me trimbale&nbsp;<img data-src=" />

votre avatar

Bon, je suis actuellement sous Lubuntu et le mode d’emploi ne me semble pas évident pour installer le bouzin. Un petit effort pédagogique ans vos articles SVP. Cela ne nuirait pas à votre réputation…

votre avatar

Cest quand même pas compliqué : https://github.com/LINCnil/CookieViz



“Assurez-vous d’avoir la plateforme logicielle node.js et git installés sur votre système”






votre avatar

Je suis un peu dans le même cas que toi ; est-ce que je peux te demander ce que tu mets comme texte d’acceptation des cookies quand il n’y en a pas…? Style “ce site n’utilise aucun cookie mais faut vous demander quand même ?” 😊

De toutes façons, ce genre de sites est très rares (à part les miens et ceux que j’ai produits, et encore…)

votre avatar







PtiDidi a écrit :



Cest quand même pas compliqué





Mme Michu n’est pas d’accord avec toi.


votre avatar

Je viens de me rendre compte que je n’avais pas utilisé la voie de la facilité <img data-src=" />

votre avatar

Et il y a encore plus simple,





  • télécharger le zip (en dépliant Assets)

  • extraire l’archive

  • lancer CookieViz via le terminal ( ./CookieViz si tu es dans le repertoire extrait)







votre avatar

Firefox, pour commencer.

Plugin NoScript ensuite. Chiant au début, mais ça vaut le coup. Par exemple, je ne savais pas qu’il y avait des pub partout sur Boing Boing. C’est en envoyant un lien à un collègue que je l’ai appris : il m’a engueulé !

Et pour parfaire le tout : PiHole. Au début, sur un Raspberry Pi (mais la µSD m’a lâché), puis dans une VM sur mon FW Debian. Super efficace pour tous les trucs connecté à la maison. Beaucoup de pub YouTube deviennent littéralement transparentes (celle dans les pavés en bas, a milieu). Dans certaines applis Android, on sent la recherche de pub, et puis, et puis … Rien ! Cool !



Par contre, cette histoire de CookieViz, hum … OK j’ai pas lu 100 % de l’article. Mais j’ai vu dans un commentaire plus haut : npm. Hein ? npm ? Du NodeJS ? Pour moi, ça schlingue …

votre avatar

npm, c’est uniquement si tu veux lancer depuis les sources, si tu utilises le package compilé, tu n’en as pas besoin



En fait, ca lance un navigateur et ca graph les interactions de ce navidateur. Je ne sais pas s’il aurait été possible d’écrire un plugin pour FF, j’aurais trouvé ca plus pertinent en tous cas.

votre avatar

Je suis pas un expert donc demande confirmation mais s’il n’y a pas de cookie, tu n’as pas besoin de mettre de bandeau.

De même, si le cookie ne sert qu’à la connexion/session de l’utilisateur, le bandeau n’est pas nécessaire.

votre avatar

Sous Firefox j’utilise µBlock Origin en permanence, sans vraiment savoir ce qu’il fait.

Or l’appli CookieViz utilise son propre navigateur sans aucun dispositif de filtrage.

Est-il possible de voir par cette appli ou une autre ce que µBlock laisse passer?

votre avatar

Comme dit dans l’article quoi ;)

votre avatar

, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent…



…et ça le restera, TANT qu’il n’y aura pas d’amendes (bien salées) ‘pour-non-respect du RGPD’ ! <img data-src=" />

votre avatar

Tiens j’en profite pour jeter une bouteille à la mer.



Y’a t’il un bon plugin wordpress pour faire de l’acceptation de cookie ?

votre avatar

Je le comprends comme PtiDidi, si ce sont les cookies strictement nécessaires au site (e.g., connexion au compte) ou si le site n’a carrément pas de cookies, pas besoin de bandeaux

(cf. https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi)

votre avatar

Bonjour à tous,

&nbsp;

Savez-vous à quoi correspondent les services reliés au site principal par un trait gris “Requête sans cookie” ?&nbsp;



Merci beaucoup

votre avatar

ça doit être le chargement d’une ressource externe, comme une image ou autre

votre avatar







AncalagonTotof a écrit :



[…]Et pour parfaire le tout : PiHole. Au début, sur un Raspberry Pi […] puis dans une VM […]





WoW ça m’intéresse bien ce que tu dis, c’est facile d’installer PiHole sur autre chose qu’un RPI ? Je l’utilise à la maison, mais pour le boulot ça me tenterai bien !


votre avatar







vizir67 a écrit :



, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent…



…et ça le restera, TANT qu’il n’y aura pas d’amendes (bien salées) ‘pour-non-respect du RGPD’ ! <img data-src=" />



Perso, je milite pour le rétablissement du bagne de Cayenne plutôt que des amendes.

Et si les responsables en ressortent, ça les dissuadera surement de recommencer.



votre avatar

Pour faire simple, j’utilise Privacy Badger ET Ghostery, en supplément de uBlock Origin & Behind the Overlay.

&nbsp;En supplément, j’utilise les containers de Firefox pour isoler les compte FB, Google, etc

votre avatar

Merci. J’avais vu, mais sur Github, pas dans l’article.

&nbsp;Sinon, mon Lubuntu est 32 bits, donc cela ne sera sur cet ordinateur, si je n’ai pas lu trop vite.

votre avatar

J’utilise également Privacy Badger, le pire que j’ai trouvé c’est le Gorafi, 45 traceurs signalés par Privacy Badger.

votre avatar

Cela n’empêchera rien. Le prix des brouilleurs 4G les réservent à la métropole. Le reste est parti en fumée… euh fusée. <img data-src=" />

votre avatar

On pourrait ainsi mettre en place un système bio-compatible : le condamné est expédié dans l’espace puis recyclé par le CNRS qui organisera des soirées Gravity Loft my way avec Igor et Grichka. Les télégrammes seront facturés un pognon de dingue et sans l’accord de la CNIL.

Ainsi le Bagne 5.0 sera né. <img data-src=" />

votre avatar



mon Lubuntu est 32 bits, donc cela ne sera sur cet ordinateur





Ça fonctionne aussi sur ta version 32 bits. Pour ça, il faut télécharger CookieViz.2.0.0b.linux.x86.zip

votre avatar

Igor et Grichka ?

Ptain, c’est le bagne, rien que de les voir <img data-src=" />

votre avatar

Bravo NextInpact ! <img data-src=" />

&nbsp;Sur votre site on a l’impression que CookieViz ne marche pas tellement vous respectez vos lecteurs

votre avatar

<img data-src=" />

CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés

  • Une nouvelle version de CookieViz

  • Toujours des dizaines de cookies et de requêtes par site

Fermer