Kimetrak : notre projet pour détecter les sites qui multiplient les services de pistage

Kimetrak : notre projet pour détecter les sites qui multiplient les services de pistage

C'est pas ma faute à moi...

95

Kimetrak : notre projet pour détecter les sites qui multiplient les services de pistage

Après avoir longtemps muri cette idée, nous lançons aujourd'hui les premières briques de Kimetrak. L'objectif est de vous permettre de détecter simplement les services qui vous pistent en ligne à travers les sites que vous visitez, et de distinguer les bons et les mauvais élèves en la matière.

2018 sera une année importante sur le terrain du respect de la vie privée. Outre l'arrivée du Règlement Général sur la Protection des Données (RGPD) et ePrivacy en Europe, la CNIL fête ses 40 ans. C'est en effet la loi n° 78 - 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui lui a donné naissance, quatre ans après le scandale concernant le projet SAFARI.

La vie privée des citoyens n'a sans doute jamais autant été pistée et analysée

40 ans plus tard, on ne peut pas dire que la vie privée des français soit totalement protégée. En effet, que ce soit à travers des pratiques « offline » ou « online », les entreprises vivant de la récolte de données personnelles ont appris à passer entre les mailles du filet. De votre suivi en magasin à travers le Wi-Fi (ou autres solutions), aux cartes de fidélités, il y a sans doute au moins un profil plus ou moins complet vous concernant qui se balade sur des serveurs.

Avec le numérique et internet, cette tendance a d'ailleurs explosé ces dernières années. Cela a surtout empiré avec l'automatisation de la publicité et notamment l'achat programmatique. Ainsi, les éditeurs de sites ne savent plus vraiment ce qui se passe au sein de leurs pages et ne peuvent le plus souvent agir qu'a priori. Un drame alors que des failles comme Spectre permettent une exploitation via un simple code JavaScript.

De fait, les acteurs du monde publicitaire et de la récolte de données en abusent et, au sein des sites que nous visitons quotidiennement, on constate la multiplication des outils de pistage des internautes. Ce, sans respecter la législation en vigueur. Elle est pourtant claire sur la question depuis quelques années déjà.

Une loi pas respectée, la CNIL en mode moratoire

Pour rappel, elle impose la récolte du consentement avant toute chose. Ainsi, dès que vous mettez le pied sur un site, il doit vous demander votre accord avant de procéder à des récoltes de données. En l'état actuel des choses, les éditeurs considèrent que le fait de naviguer sur un site vaut consentement, mais dans la pratique ils n'attendent même pas ça.

En effet, des dizaines, voire parfois des centaines de requêtes sont effectuées par des services tiers dès que la page est ouverte, même sans la moindre action de votre part. De nombreuses données sont alors stockées, notamment via des cookies. De quoi récolter des informations avant même que vous ayez pu commencer à vous demander si vous étiez d'accord ou non.

Ces dernières années, nous avons eu l'occasion d'interroger la CNIL sur le sujet. La Commission était bien consciente des abus manifestes en la matière et a initié plusieurs contrôles et sans doute alerté de nombreux sites. Il est impossible de savoir dans quelle mesure, ses décisions n'étant pas toutes publiques.

Les éditeurs ont néanmoins réussi à gagner du temps en incitant la CNIL à aller regarder du côté de leurs partenaires. Lors de notre dernier échange avec Isabelle Falque-Pierrotin sur la question, elle nous a confirmé qu'un moratoire était en place en attendant la mise en œuvre du Règlement Général sur la Protection des Données (RGPD) et d'ePrivacy.

Au final, la quasi-totalité des sites que nous avons analysés dans le cadre de ce dossier n'attendent pas d'avoir le consentement de l'internaute pour déposer des cookies ou même laisser des tiers récolter des données.

Un véritable raté pour la CNIL qui, bien qu'active sur de nombreux terrains ces dernières années, n'a pas réussi à endiguer la source principale du pistage des internautes, se développant à travers les applications (voir notre analyse du projet Exodus) et les objets connectés où il est encore plus complexe de savoir qui fait quoi.

Face au tracking de masse, plusieurs lignes de défense

Pour se protéger, les internautes utilisent donc de manière croissante des outils tels que des bloqueurs de publicités pour bloquer une partie de ces traceurs. L'EFF a de son côté publié son Privacy Badger se focalisant sur les services vous suivant d'un site à l'autre, et les navigateurs mettent en place un nombre croissant de protections.

Il existe aussi des outils misant sur une information de l'internaute. C'est notamment le cas de Cookieviz ou de Ghostery détaillant les outils de pistages détectés sur un site, leur finalité (audience, publicité, etc.) et d'autres éléments comme le temps de chargement d'une page par exemple.

Car tous les « trackers » ne se valent pas. La CNIL fait par exemple la distinction dans le cas des outils de mesure d'audience entre ceux qui récoltent des informations pouvant faire l'objet d'un recoupement et ceux qui font l'objet d'une configuration particulière et dont la finalité est unique. 

Ainsi, un site utilisant Analytics dont les données peuvent être utilisées par Google pour effectuer des croisements avec celles de ses autres services devrait obligatoirement obtenir le consentement de l'internaute avant la moindre requête. Dans le cas de Piwik, s'il est configuré de la bonne manière, ce consentement n'est pas jugé nécessaire. 

C'est notamment cette solution que nous utilisons depuis un peu plus d'un an pour notre mesure d'audience, sur un serveur que nous contrôlons pour nous assurer de ce qui est fait ou non des données relevées.

Kimetrak : la genèse

Il y a quelques années, nous avons commencé à travailler sur un projet : Kimetrak. L'idée était alors d'utiliser Ghostery comme outil d'analyse pour récupérer le nombre de traceurs utilisés sur divers sites. Avec une petite modification du code de son extension Chrome, nous pouvions automatiser la récupération des éléments détectés, ainsi que leur finalité.

De quoi nous permettre de constituer une base de données exploitable à des fins d'information. Nous avions alors fait face à plusieurs problèmes, le premier étant la façon de récolter ces données de manière fiable, mais aussi de gérer la potentielle relation avec Ghostery. Car l'extension n'est pas open source, et la structure qui la développe vit notamment d'études autour des informations récoltées par l'outil et partagée (de manière volontaire) par les utilisateurs.

De plus, au gré des évolutions, notre intégration a été de plus en plus complexe. Avec la mouture 8.0 qui vient d'être publiée et apporte de nombreuses nouveautés, le code JavaScript a d'ailleurs été « minifié », limitant grandement notre capacité à identifier l'endroit où « brancher » notre script.

Mieux informer internautes et éditeurs sur les services qui pistent en ligne

Nous avons donc décidé de repartir de zéro et de développer notre propre extension Kimetrak. Elle aura l'avantage d'être open source, de ne pas se limiter aux éléments identifiés par Ghostery, et de pouvoir être utilisée comme bon nous semble pour la suite de nos projets.

Son fonctionnement actuel est assez simple : lors du chargement d'un onglet elle identifie l'ensemble des requêtes effectuée par la page vers des sites dont le domaine est différent de celui que vous visitez. Elle affiche le résultat sous la forme d'un nombre et d'un code couleur dépendant de la quantité de requêtes détectées : vert, orange et rouge.

Dès que plus aucune requête n'a été détectée pendant au moins cinq secondes, le résultat se fige et le badge devient noir. Il est enregistré et utilisé dans le cadre de statistiques sur votre navigation effectuée au niveau local. Lorsque vous revenez sur un onglet et que les données sont chargées depuis une précédente analyse, le badge est gris.

Aucune donnée n'est partagée avec nos serveurs ou qui que ce soit d'autre. Les résultats et statistiques sont pour le moment réinitialisés à chaque session. 

L'objectif est de permettre à chacun de se rendre compte et de visualiser ces requêtes, et leur importance. Le tout en analysant les services pouvant assurer un pistage de sites en sites. Mais nous voulons aussi permettre aux éditeurs de constater simplement ce qu'il se passe sur leurs sites et de disposer d'un outil les aidant à faire le ménage.

Il s'agit pour le moment d'un simple « proof of concept » largement améliorable que ce soit sur son fonctionnement ou même son aspect graphique. Nous allons y travailler dans les semaines qui viennent. En attendant vous pouvez retrouver le code sous licence GPLv3.

L'extension est installable simplement sur Chrome, Opera et Vivaldi. Son code est déjà à peu près fonctionnel sous Firefox, mais il doit encore être amélioré avant une distribution directe :

Le début d'une aventure, que nous mènerons avec d'autres

Car l'objectif est bien d'analyser en profondeur et sur le long terme la manière dont les internautes sont suivis à travers les différents sites qu'ils visitent au quotidien. Nous voulons que cette démarche soit ouverte, elle prendra donc diverses formes et vise à fédérer d'autres acteurs autour de nous et de cette initiative.

La première étape est d'expliquer à nos lecteurs comment fonctionne le tracking, les cookies et autres traceurs à travers un dossier que nous débutons aujourd'hui sur le pistage en ligne. Nous en profitons pour vous apprendre comment développer votre propre extension, la rendre compatible avec différents navigateurs et analyser les requêtes effectuées par des services tiers à travers les sites que vous visitez.

Dans les prochaines semaines, nous allons également travailler sur une manière de mettre en place une base de données permettant de compiler les informations concernant de nombreux sites. L'objectif sera à terme de les rendre exploitables tant aux visiteurs qu'à ceux qui voudraient utiliser ces informations pour distinguer les sites ayant une pratique plus ou moins responsable concernant le respect de votre vie privée.

Tous ceux qui veulent nous aider dans ce projet peuvent nous contacter sur [email protected].

Notre dossier sur le pistage des internautes en ligne :

Commentaires (95)


Pas pour FF <img data-src=" />


Super initiative.



j’ai installé l’extension, et je ne vois aucun site tiers sur lequipe.fr ^__^



est-ce parce que j’ai des extensions qui bloquent les scripts (adblock, disconnect…) du coup kimetrak ne vois pas, ou ça ne marche pas. Je vais regarder (sous chrome)








boogieplayer a écrit :



Super initiative.



j’ai installé l’extension, et je ne vois aucun site tiers sur lequipe.fr ^__^



est-ce parce que j’ai des extensions qui bloquent les scripts (adblock, disconnect…) du coup kimetrak ne vois pas, ou ça ne marche pas. Je vais regarder (sous chrome)







c’était ça, mon bloqueur de pub. Donc voilà qui nous track sur lequipe.fr grâce à kimtrak :



acdn.pulpix.com

cdn.pulpix.com

cookie-matching.mediarithmics.com

i2-wkmkmokpzbwlmawhehhzezsxptmldu.init.cedexis-radar.net

lequipe.fr

medias.lequipe.fr

radar.cedexis.com

static-bp.kameleoon.com

static.lequipe.fr

static.mediarithmics.com

tlp-03.kameleoon.com



en tout ça en http, même pas https hein. J’aime beaucoup les 3 premiers !



Ce serait bien de respecter un minimum le travail des autres et de lire avant de réagir de la sorte. Merci <img data-src=" />


Dès que vous l’avez pour FF, je fais volontier beta-testeur.


Pense à vérifier si tu as des bloqueurs actifs, parce que cela peut “minimiser” le résultat. Il faut que je vois si ça ne peut pas être intéressant de relever les requêtes en amont d’un éventuel blocage.


Tu peux déjà tester en téléchargeant le code et en utilisant le chargement de module en mode développeur sous FF, mais je vais voir pour au moins distribuer une première version rapidement, le temps de checker quelques soucis graphiques dont je n’ai pas réussi à me débarrasser avant le départ pour le CES <img data-src=" />


Super boulot!! <img data-src=" />


En fait cette extension n’a pas trop de sens si on cherche déjà à se protéger. J’imagine qu’avec uMatrix / uBlock, je ne verrai rien actuellement…



Je comprend très bien l’intérêt par contre. Si on a pas peur de la conso de bande passante, il faudrait presque que l’extension recharge la page en bypassant les extensions de blocage, et si possible, en mode privé.


A lire la description c’est une sorte d’équivalent à Privacy Badger non ? (sauf que PB permet non seulement d’analyser les requêtes louches mais surtout de bloquer les indésirables, ce que Kimetrak ne fait pas à priori ?)


Le but est d’informer, pas de bloquer ou de “se protéger”. D’ailleurs croire qu’on se protège en mettant le problème sous le tapis, c’est avoir une approche incomplète et courtermiste (l’extension permet d’ailleurs de voir que pas mal de trucs passent parfois à la trappe, notamment avec les bloqueurs de pub).



Après oui si tu utilises des bloqueurs, ça va afficher un nombre moindre que si tu n’en utilises pas, mais tu veux faire quoi contre ce fait un peu obvious ? <img data-src=" />


PB est une extension de blocage, notamment sur des dépôts croisés. Ici on cherche juste à informer et à tirer des stats. Les outils peuvent être complémentaires (voir ma réponse du dessus pour le reste)


Super initiative :)



Prévoyez-vous de porter l’extension pour Safari ?


Pour Firefox, il faut charger temporairement l’extension, cela se fait depuis about:debugging et loader le manifest.json


Et bien le problème est là : qui va avoir connaissance de l’extension Kimetrak, à part des personnes qui trainent ici et sur des forums d’informatique, et qui sont déjà équipés de système de blocage ? Donc finalement, on informe qui avec cette extension ?



Faire un observatoire du tracking est une bonne idée, justement pour informer la population en général. Mais pour cela il faudrait donc que l’extension accède au site sans blocage aucun : mais en l’état, pourquoi on se sacrifierai pour récolter des données alors que justement on cherche à se protéger ?



Le plus simple, pour alerter les gens ET ne pas souffrir des bloqueurs, n’est pas de développer une extension de navigateur, mais plutôt un crawler… J’ai envie de dire que l’idée est bonne, mais pas l’outil. C’est tout.


excellente initiative

je viens d’utiliser pour vérifier l’éfficacité de mes extensions de blocage …

très interessant

<img data-src=" />








Aloyse57 a écrit :



Pas pour FF <img data-src=" />





Et pourtant :



“L’extension est installable simplement sur Chrome, Opera et Vivaldi. Son

code est déjà à peu près fonctionnel sous Firefox, mais il doit encore

être amélioré avant une distribution directe” …



Oui c’est lié, dans mon cas à ublock origin et disconect, qui bloquent en amont les scripts. Du coup kimetrak qui regarde le code “après” ne vois pas les traqueurs. Il faudrait se positionner effectivement avant ublock et consorts, mais je ne suis pas sur que se soit si simple (je vais regarder ce we).








MilesTEG1 a écrit :



Super initiative :)



Prévoyez-vous de porter l’extension pour Safari ?





Pas impossible mais je pense que ça doit déjà fonctionner assez naturellement. J’essaie de creuser ça à mon retour <img data-src=" />

&nbsp;



CryoGen a écrit :



Et bien le problème est là : qui va avoir connaissance de l’extension Kimetrak, à part des personnes qui trainent ici et sur des forums d’informatique, et qui sont déjà équipés de système de blocage ? Donc finalement, on informe qui avec cette extension ?&nbsp;





Leurs proches, puis les proches de leurs proches ? ;)









CryoGen a écrit :



Faire un observatoire du tracking est une bonne idée, justement pour informer la population en général. Mais pour cela il faudrait donc que l’extension accède au site sans blocage aucun : mais en l’état, pourquoi on se sacrifierai pour récolter des données alors que justement on cherche à se protéger ?



Le plus simple, pour alerter les gens ET ne pas souffrir des bloqueurs, n’est pas de développer une extension de navigateur, mais plutôt un crawler… J’ai envie de dire que l’idée est bonne, mais pas l’outil. C’est tout.





Tu brûles surtout les étapes en oubliant qu’un projet de ce genre, ça ne se fait pas en cinq minutes. Après on peut toujours tout juger en regardant les choses par le petit bout de la lorgnette, mais ça donne rarement la bonne image ou l’occasion de comprendre les choses <img data-src=" />



PS : (c’est pourtant pas faute de tout avoir détaillé dans l’article, comme quoi #RTFN)



Tout dépend, le risque c’est aussi de relever des requêtes non finalisées. M’enfin de toutes façons, comme dit dans l’article, ce n’est que la première brique technique du projet ;)








CryoGen a écrit :



Et bien le problème est là : qui va avoir connaissance de l’extension Kimetrak, à part des personnes qui trainent ici et sur des forums d’informatique, et qui sont déjà équipés de système de blocage ? Donc finalement, on informe qui avec cette extension ?



Faire un observatoire du tracking est une bonne idée, justement pour informer la population en général. Mais pour cela il faudrait donc que l’extension accède au site sans blocage aucun : mais en l’état, pourquoi on se sacrifierai pour récolter des données alors que justement on cherche à se protéger ?



Le plus simple, pour alerter les gens ET ne pas souffrir des bloqueurs, n’est pas de développer une extension de navigateur, mais plutôt un crawler… J’ai envie de dire que l’idée est bonne, mais pas l’outil. C’est tout.







analyse assez juste. Cela dit l’initiative est à louer.



J’avoue qu’un crawler serait bien plus intéressant en effet. On peut imaginer un crawler comme snoopy pour aller sur les sites et recolter les scripts pour les stats, mais c’est plus de boulot.



David, je pense que c’est même carrément nécessaire: tout le monde utilise des extensions pour bloquer les pubs et les trackers. du coup l’outil ne va rien donner à moins de désactiver les bloqueurs… ce que personne ne va faire.


Kimetrak.fr devrait renvoyer sur cet article plutôt qe le store de Chrome, là bas il n’y a pas beaucoup d’explication, même pas une image. Ici c’est bien plus didactique <img data-src=" /> (et on repart vers le store quand on a tout lu)


Excellent initiative qui va permettre de sensibiliser tout le monde (et beau boulot sur le post sur la création de l’extension, domaine que je n’ai jamais eu le temps d’aborder). Dès que la version FF est dispo j’en fait la promo sur mes sites :)


Oui oui, c’était ma première priorité ce matin de modifier les redirections <img data-src=" />

&nbsp;





hellmut a écrit :



David, je pense que c’est même carrément nécessaire: tout le monde utilise des extensions pour bloquer les pubs et les trackers. du coup l’outil ne va rien donner à moins de désactiver les bloqueurs… ce que personne ne va faire.







Et grâce à l’outil ils pourront voir que ces extensions laissent passer des trucs :)



Idée très intéressante et dansl’air du temps. je vais attendre la version Firefox pour l’essayer. Bon courage à toute l’équipe !


Je trouve l’initiative excellente !



A installer chez des amis ou de la famille qui n’ont pas de bloqueurs de pub. Ca peut aider à les faire migrer.



Ou bien avec Adblock, histoire de savoir qui passe maintenant entre les mailles (de plus en plus larges) de l’add-on.


C’est un peu l’idée, de leur permettre de visualiser, de voir la différence avec telle ou telle extension, etc. <img data-src=" />


Il n’y a pas besoin de millions d’internautes pour avoir des infos sur 1 site, juste au moins 1 ou quelques-un. Ensuite, il faudrait peut-être songer, dans l’extension, à afficher à tous les résultats récents de ceux qui se “sacrifient” de temps en temps temporairement. Là, l’extension serait utile pour tous.


Lire l’article


Pour voir les interactions avec d’autres domaines, l’extension Lightbeam de Firefox est pas mal.



Les différents serveurs utilisés sont visualisés sous forme graphique, ce qui permet de voir rapidement quels trackers sont partagés par les sites qu’on visite.



https://addons.mozilla.org/fr/firefox/addon/lightbeam/




L’extension est installable simplement sur Chrome, Opera et Vivaldi.





Mensonge !!



( sur Opera il faut d’abord installer “Install Chrome Extensions” de addons.opera.com <img data-src=" /> )


Par exemple que NextInpact lance (parfois) les scripts twitter alors que j’ai désactivé pub/tracking dans mon compte.



www.nextinpact.com (3) :

script : core.unit-sense.net

script : platform.twitter.com

image : syndication.twitter.com



C’est ça le problème d’inclure des extraits de twitter dans les news <img data-src=" />


“Son code est déjà à peu près fonctionnel sous Firefox, mais il doit encore être amélioré avant une distribution directe”

J’espère que vous referez une actu lorsque ça sera disponible car je suis plutôt allergique à la compilation (je fais une exception&nbsp; pour le kernel pour y caser le pilote proprio de Nvidia).


“Nous en profitons pour […] analyser les requêtes effectuées par des services tiers à travers les sites que vous visitez.”



Donc c’est un traqueur de traqueur <img data-src=" />


Ca quand même bien foutu, c’est le nom de l’extension que David propose de développer pour qu’on mette les mains dans le cambouis <img data-src=" />








Jarodd a écrit :



Ca quand même bien foutu, c’est le nom de l’extension que David propose de développer pour qu’on mette les mains dans le cambouis <img data-src=" />







Un chasseur de paparazzi <img data-src=" />



“La vie privée des citoyens n’a sans doute jamais autant été pistée et analysée” : ce sous titre résume tout. Pour les espions, il n’est absolument pas question de “citoyen”, mais de “consommateur”.


Oui, dans l’idéal il faudrait qu’on détecte ces modules pour les activer sur un clic. C’est dans la ToDo, un jour <img data-src=" />


mais du coups est ce que les sites pour contrer ça ne vont pas mettre des traqueurs de traqueurs de traqueurs


contre-attaquons en lançant des traqueurs de traqueurs de traqueurs de traqueurs <img data-src=" />





Une aspirine ?


Super initiative, je dis bravo !



En espérant que ça aura un fort engouement/retentissement.<img data-src=" />

<img data-src=" />


Et l’appel vers unit-sense c’est pour quoi ?



En tous cas un grand merci pour le travail accompli <img data-src=" />


En gros, vous demandez aux gens d’installer de leur propre chef un plugin qui va traquer leur navigations web, pour vous constituer une base de données afin de leur dire qui les traquent ?

&nbsp;

Vous n’avez pas peur d’apparaitre en tête de liste dans ce cas non ?


Je suppose que vous avez déjà une idée pour “le pot de miel”, hein ? :grandsfarceursva: <img data-src=" />








Mimoza a écrit :



Et l’appel vers unit-sense c’est pour quoi ?



En tous cas un grand merci pour le travail accompli <img data-src=" />





Unit-sense c’est le serveur de pub made in NextInpact il me semble (rien de néfaste), tu peut le désactivé en devenant premium (viens on est bien regarde tous ce qu’on peut faire xD)



Merci de l’info … mais j’ai bien désactivé les pubs (abonné de la première heure <img data-src=" /> même si je le montre pas <img data-src=" />)


En effet, mais du coup même en ayant désactivé les pubs j’ai une requête qui part la-bas ? <img data-src=" />








linkin623 a écrit :



Je trouve l’initiative excellente !



A installer chez des amis ou de la famille qui n’ont pas de bloqueurs de pub. Ca peut aider à les faire migrer.



Ou bien avec Adblock, histoire de savoir qui passe maintenant entre les mailles (de plus en plus larges) de l’add-on.





Il faut virer adblock… Et depuis longtemps.

Ils ont des partenariats pour laisser passer certaines pubs…

A remplacer d’urgence par ublock origin.



Je veux bien ce Linux, mais je veux aussi le cadeau qui va avec <img data-src=" />


Ce qui est génial avec les cookies c’est que pour retenir qu’on en veut pas il faut … un cookie








Aloyse57 a écrit :



Pas pour FF <img data-src=" />





Voyez toute l’ironie de la chose :)



«Prenez un cookie ! » (l’Oracle)


&nbsp;Je ne suis pas convaincu, à plusieurs niveaux.



* Mis à part l’engouement de David, je ne vois pas pourquoi des cours de programmation sont publiés sur NextInpact. Mais ce n’est que mon opinion, passons.

* L’extension est vraiment extrêmement basique (en gros 300 lignes de code?), réinvente la roue, et est développée par quelqu’un dont ce n’est pas le métier, et ça se voit. Nombre d’extensions, dont tous les bloqueurs de pubs, affichent déjà les domaines bloqués. Je préfère largement me baser sur l’extension uBlock Origin (éprouvée, et développée par des gens dont c’est le métier) plutôt que l’extension de David développée en quelques heures.

* Pour illustrer mon propos ci-dessus, voici deux exemples de bugs, dans la fonction suivante:



function isThirdPartyDomain(site, request)

{

&nbsp;&nbsp;&nbsp; if (site.startsWith(“www.”)) site = site.substr(4);

&nbsp;&nbsp;&nbsp; return (request.indexOf(site) != -1) ? false:true;

}



Déjà bonjour la lisibilité de la dernière ligne. Un simple: return request.indexOf(site) == -1 est bien plus lisible.



Premier bug: la suppression arbitraire de “www.” et pas des autres sous-domaines. Donc si je suis sur www2.nextinpact.com, alors nextinpact.com est considéré comme domaine tiers.

Deuxième bug: l’utilisation de indexOf sur le host complet. Résultat, si je suis sur nextinpact.com, alors nextinpact.com.regiedepub.fr est considéré comme le même domaine!

Vous devriez avoir des tests unitaires pour ne pas laisser passer ce genre de bug grossier…



Bref, pour faire bien il faudrait se baser seulement le nom de domaine du host, et non le host entier, et c’est une autre paire de manches, vu le nombre de cas possibles… Si vous voulez vraiment réimplementer le parsing d’URLs, il va vous falloir quelques employés en plus.



Un projet de cette envergure se doit d’être développé par des gens dont c’est le métier. Vous utilisez la visibilité de nextinpact pour pousser vos projets initialement développés pour vous amuser, alors que d’autres extensions bien plus avancées mériteraient beaucoup plus d’être mises en avant de la sorte. Vous mettez la charrue avant les boeufs en voulant créer un projet énorme sans avoir les connaissances ou l’expérience nécessaires (honnêtement, cette extension ressemble plus au résultat d’un tutoriel “ma première extension” qu’à un projet professionnel).



Le minimum serait de se baser sur une extension qui a fait ses preuves dans l’analyse des URLs (uBlock Origin par exemple).



Enfin, j’imagine que constituer une base de données des sites et de leurs traqueurs passe dans le futur par la remontée d’infos de navigation des personnes utilisant cette extension, qui devient de fait un traqueur.








Freud a écrit :



Bref, pour faire bien il faudrait se baser seulement le nom de domaine du host, et non le host entier, et c’est une autre paire de manches, vu le nombre de cas possibles… Si vous voulez vraiment réimplementer le parsing d’URLs, il va vous falloir quelques employés en plus.







Je suis certain que David nous prépare un tuto sur les regexp en Javascript. <img data-src=" />



oui, ça serait plus simple avec la première version, merci :)








darkbeast a écrit :



mais du coups est ce que les sites pour contrer ça ne vont pas mettre des traqueurs de traqueurs de traqueurs









tpeg5stan a écrit :



contre-attaquons en lançant des traqueurs de traqueurs de traqueurs de traqueurs <img data-src=" />






Une aspirine ?







Il y a un risque. On a vu avec la récupération d’infos dans les gestionnaires de mot de passe des navigateurs qu’ils n’hésitent plus à passer des scripts du genre en “first-party” ce qui rend la détection impossible ou presque. Comme dit dans le dossier, seule la loi et des contrôles sont à même de nous protéger sur le long terme.

&nbsp;





Mimoza a écrit :



Et l’appel vers unit-sense c’est pour quoi ?




En tous cas un grand merci pour le travail accompli :yes:








C'est notre ad server maison (qui n'effectue pas de tracking). On en a parlé dans le billet de blog récent sur NXi et les trackers     



&nbsp;



IMPulsion a écrit :



En gros, vous demandez aux gens d’installer de leur propre chef un plugin qui va traquer leur navigations web, pour vous constituer une base de données afin de leur dire qui les traquent ?&nbsp;






Non     



&nbsp;



IMPulsion a écrit :



Vous n’avez pas peur d’apparaitre en tête de liste dans ce cas non ?





Non





Mimoza a écrit :



En effet, mais du coup même en ayant désactivé les pubs j’ai une requête qui part la-bas ? <img data-src=" />





Bonne question, je remonterai à PA du coup :)





plop97 a écrit :



Ce qui est génial avec les cookies c’est que pour retenir qu’on en veut pas il faut … un cookie






Non     



&nbsp;



Freud a écrit :



&nbsp;Je ne suis pas convaincu, à plusieurs niveaux.




* Mis à part l'engouement de David, je ne vois pas pourquoi des cours de programmation sont publiés sur NextInpact. Mais ce n'est que mon opinion, passons.&nbsp;







Bon résumé

&nbsp;



Freud a écrit :



* L’extension est vraiment extrêmement basique (en gros 300 lignes de code?), réinvente la roue, et est développée par quelqu’un dont ce n’est pas le métier, et ça se voit. Nombre d’extensions, dont tous les bloqueurs de pubs, affichent déjà les domaines bloqués. Je préfère largement me baser sur l’extension uBlock Origin (éprouvée, et développée par des gens dont c’est le métier) plutôt que l’extension de David développée en quelques heures.&nbsp;





Je ne suis pas développeur, je n’en ai jamais eu la prétention. J’ai toujours développé des outils pour NXi lorsque nous ne trouvions pas de solution à un problème donné. Tu peux préférer d’autres extensions à cet outil, je ne t’en voudrais pas. On voulait un outil d’information avec des stats, tu veux un bloqueur : besoin différent, outil différent.



Comme indiqué, il s’agit ici d’un PoC qui doit servir de base au reste du projet. Et comme je suis un peu lent comme garçon, ça m’a demandé un peu plus que quelques heures. Mais n’hésite pas à nous faire profiter de ton expertise, le code est OSS, c’est toute la beauté de la chose ;)



&nbsp;



Freud a écrit :



Premier bug: la suppression arbitraire de “www.” et pas des autres sous-domaines. Donc si je suis sur www2.nextinpact.com, alors nextinpact.com est considéré comme domaine tiers.



Deuxième bug: l'utilisation de indexOf sur le host complet. Résultat, si je suis sur nextinpact.com, alors nextinpact.com.regiedepub.fr est considéré comme le même domaine!      

Vous devriez avoir des tests unitaires pour ne pas laisser passer ce genre de bug grossier...






Bref, pour faire bien il faudrait se baser seulement le nom de domaine du host, et non le host entier, et c'est une autre paire de manches, vu le nombre de cas possibles... Si vous voulez vraiment réimplementer le parsing d'URLs, il va vous falloir quelques employés en plus.      






Un projet de cette envergure se doit d'être développé par des gens dont c'est le métier. Vous utilisez la visibilité de nextinpact pour pousser vos projets initialement développés pour vous amuser, alors que d'autres extensions bien plus avancées mériteraient beaucoup plus d'être mises en avant de la sorte. Vous mettez la charrue avant les boeufs en voulant créer un projet énorme sans avoir les connaissances ou l'expérience nécessaires (honnêtement, cette extension ressemble plus au résultat d'un tutoriel "ma première extension" qu'à un projet professionnel).      






Le minimum serait de se baser sur une extension qui a fait ses preuves dans l'analyse des URLs (uBlock Origin par exemple).      






Enfin, j'imagine que constituer une base de données des sites et de leurs traqueurs passe dans le futur par la remontée d'infos de navigation des personnes utilisant cette extension, qui devient de fait un traqueur.







La détection de sous-domaine et plus largement le parsing de l’URL nécessaire à l’extension à différents moment est une des évolutions prévue. Elle est complexe puisque pas native à JS et n’a pas été intégrée dans le PoC parce que la solution actuelle fonctionnait bien, tout en restant simple. Il y a quelques exceptions en l’état, mais elles sont assez faibles.



Une fois de plus, tu évoques des outils qui sont des bloqueurs de contenu basés sur des listes communautaires, ce n’est pas ce dont nous avions besoin. J’apprécie ton enthousiasme sur le fait que uBlock Origin aurait besoin d’un coup de pub sur NXi, mais je suis dans l’obligation de t’avouer que ce n’est pas le cas.&nbsp;



Plus globalement, tu compares des choses incomparables sans comprendre le but recherché. Le projet n’est d’ailleurs pas né “pour m’amuser” (spoiler : je fais ça autrement qu’avec du JS). J’ai déjà expliqué l’origine, je ne vais pas la répéter ici.



Je peux comprendre qu’un projet ne plaise pas, après tout c’est aussi ça notre quotidien et je l’accepte assez bien. M’enfin pas besoin d’aller y chercher une origine qui n’est que dans ta tête. Pas plus qu’un futur qui n’existe pas, tout ce qui est à savoir sur le sujet étant détaillé dans l’article que tu commentes.

&nbsp;





127.0.0.1 a écrit :



Je suis certain que David nous prépare un tuto sur les regexp en Javascript. <img data-src=" />






Le meilleur cours sur les Regex :&nbsp;     





https://medium.com/@sniperovitch/la-mauvaise-utilisation-des-expressions-rationnelles-pour-filtrer-les-tld-1c7d8518ca2b









David_L a écrit :



Pense à vérifier si tu as des bloqueurs actifs, parce que cela peut “minimiser” le résultat. Il faut que je vois si ça ne peut pas être intéressant de relever les requêtes en amont d’un éventuel blocage.









boogieplayer a écrit :



Oui c’est lié, dans mon cas à ublock origin et disconect, qui bloquent en amont les scripts. Du coup kimetrak qui regarde le code “après” ne vois pas les traqueurs. Il faudrait se positionner effectivement avant ublock et consorts, mais je ne suis pas sur que se soit si simple (je vais regarder ce we).





C’est plus intéressant de laisser les choses en l’état, comme ça il est possible de savoir quels sont les trackers résiduels après le passage d’un bloqueur en faisant 2 tests (activé, désactivé).



Bonne idée, bravo pour le boulot fait !


On pourrait proposer les deux, mais dans tous les cas je doute que ce soit facilement faisable car il faudrait pouvoir distinguer une requête bloquée d’une qui n’a pas été finalisée, de mémoire je ne peux pas. A creuser, donc :)


Je pense que plutôt qu’une extension, il faut taper dans le fichiers hosts. C’est simple, universel, mais il manque vraiment un outil pour le maintenir et exploiter son potentiel (hostsman fait le boulot façon The IT Crowd, AdAway sur Android est assez convivial mais à chaque fois “faut s’y connaître”), ce qui n’est pas normal. Il y a de quoi faire couler des vendeurs de contrôle parental avec hein :-P


Je pense que tu n’as pas compris le but de l’extension <img data-src=" />


Amélioration avant distribution directe, mais ici on trouve une foule de gens près à jouer les beta-testeurs <img data-src=" />


Ou tu te prends genre une version portable du navigateur avec Kimetrak pour tes analyses, ça évite de tout changer sur ton navigateur installé.


Cool! Moi qui ne suis pas fan des bloqueurs de pubs (après tout, il faut bien que les sites trouvent des sources de revenus) je trouve le côté pédagogique de cette extension géniale!

J’ai installé depuis quelques mois ghostery, je le désactiverais peut être pour voir ce qu’est devenu le net.



Je ne pense pas qu’il faille agir avant le bloqueur de pub. Il faudrait dans ce cas parser le code source de la page mais ce serait biaiser étant donné que certaines parties peuvent être en commentaire etc.

Lister les requêtes qui passent permet de rendre compte du vrai état, c’est ce qui compte



Si quelqu’un a des conseils pour l’installer sur FireFox, je suis preneur!



@David, Merci pour le boulot!


Joli travail.



&nbsp;Sur marca.es (équivalent espagnol de l’équipe) 132 trackers, qui dit mieux ?



:-)


Utiliser un autre profil est quand même plus simple.


Merci pour cet outil, j’en avais marre d’aller dans la console pour vérifier que mes CDN étaient bien chargés ^^



Sinon trêve de plaisanterie :




  • Analyse des scripts récurrents parmi tous les sites visités = Super

  • Savoir en instant T ce que les Ad Blocker laissent passer = Super

  • Méfiance sur l’analyse, car certains chargements correspondent à des CDN, et cela pourrait porter à confusion pour un non initié (j’imagine bien la réaction de Mr tout le monde, pensant qu’on le&nbsp;piste de partout…. “Mais non, je vous dit que c’est juste pour mettre des belles couleurs sur le site!!!” <img data-src=" />&nbsp;) Mais dans le cas du PoC cela ne pose évidemment pas de soucis.

  • Dommage de ne pas pouvoir pour le moment pérenniser cette analyse au travers de plusieurs sessions, tout en restant “local” cela permettrait d’avoir une vue à long terme, mais j’imagine que c’est déjà dans les tuyaux.


Bonne idée, merci la team ;)

Je viens de l’installer, on en reparle apres quelques temps d’utilisation :harou:


Le lien sur le projet Safari (en début d’article) est mort.








Aloyse57 a écrit :



Pas pour FF <img data-src=" />





Ca marche pas non plus sur NCSA Mosaic&nbsp;&nbsp;<img data-src=" />



Ca se positionne comment globalement face a un Privacy Badger ? Qui alerte des tracker tiers et permet de&nbsp; bloquer si l’on veut ceux qui communiquent des infos.

Couplé a un Ghostery, je trouve que c’est plutot pas mal comme remonté d’informations. Sachant qu’on peut avoir l’information sans pour autant la bloquer, tout comme ki-kimetrak si j’ai bien compris <img data-src=" />



Je ferai un petit test depuis Opera, mais la sur FF pas possible, donc j’ai du mal à me rendre compte :)

L’initiative est louable en tous cas, a voir dans que sens le projet évolue.

&nbsp;


Sinon, pour ceux qui ne veulent pas attendre la version FF, avec µBlock, vous pouvez aller dans les options, paramêtres, et cocher “Activer les fonctionnalités avancées”.

Ca fait exactement pareil. <img data-src=" />


ou en mode incognito sur Chrome avec juste Kimetrak d’activé. <img data-src=" />


Salut,



Whaou super, <img data-src=" />

Vous êtes même cités dans Techcrunch !! voir ici



A+


L’initiative est à saluer, y a du boulot, mais… réinventage de la roue, de nombreuses extensions permettent déjà de visualiser et d’obtenir des stats des trackers rencontrés.

&nbsp;Au pire tu partirais du code d’une de ces extensions pour l’améliorer selon ta vision.

&nbsp;

Essaye l’extension DuckDuckGo plus par exemple, elle assigne un code couleur (vert, orange, rouge) en fonction du niveau de tracking d’un site, elle fait des stats sur les trackers les plus rencontrés,…

&nbsp;

Pourquoi repartir de zéro alors qu’il serait plus simple et plus logique de contribuer à ce genre d’extension open-source ?


J’avoue que c’est une super initiative, et je serais ravis de le mettre sur mon firefox quand cela sort.


Excellente initiative.&nbsp; J’espère que cette extension sera utilisée massivement par les internautes.



D’un point de vue juridique, le problème avec les cookies tiers réside plutôt dans les modalités pratiques du recueil de consentement. Le cadre juridique n’impose pas son recueil express. Il peut se déduire des comportements et pratiques de l’internaute.

&nbsp;

Aujourd’hui, le recueil express du consentement n’est pas obligatoire. Il peut être implicite&nbsp; : “accord [de l’internaute] peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle” (article 32 II de la Loi de 78). La version initiale du projet de règlement E-privacy&nbsp; de la Commission repend cette possibilité.



Et, surtout,&nbsp; la CNIL considère que ce consentement peut se déduire du comportement et des interactions de l’internaute avec le site ( cf. CNIL, Délibération n° 2013-378du 5 décembre 2013 : “le consentement doit se manifester par le biais d’une action positive […]selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques ). Si l’internaute poursuit sa navigation après avoir été une première fois informé et n’a pas cliqué sur le bouton “j’accepte” le dépôt et la lecture des cookies, la CNIL considère que ce comportement vaut acceptation.



Pour la CNIL, les modalités de recueil sont moins importantes que la qualité de l’information préalable délivrée par les sites . “La validité du consentement est liée à la qualité de l’information reçue. Celle-ci doit être visible, mise en évidence et complète”, cf. même délibération).



Or, en droit&nbsp; civil, et&nbsp; en droit de la consommation, la validité du consentement est tout autant conditionnée&nbsp; à la délivrance d’une information pré-contractuelle exacte et pertinente, que sur un recueil express du consentement : par ex.&nbsp; formalisme dit “du double clic” de&nbsp; l’article 1127-2&nbsp; du Code civil, lors de l’achat en ligne pour les consommateurs, qui institut une confirmation obligatoire du consentement déjà donné).



En fonction&nbsp; de la version définitive du règlement e-privacy, l’ European Data Protection Board (EDPB) qui remplacera&nbsp; bientôt le G29 devrait, a mon avis, se pencher sur les modalités pratiques du recueil .


Je trouve l’initiative très intéressante. Petite remarque à propos de ‘réinventer la roue’ : Écrire le code en partant de zéro permet de contrôler ce qui de passe vraiment et de maîtriser le sujet d’un bout à l’autre.


Une colorisation ou un indicateur de niveau de “dangerosité ” voir “nuisibilité ” de ces trackers serait envisagé?



Sinon , je cherchais une solution de ce style intéressant.



Sinon +1 à faire so ntaff en amont des blockeurs et consorts


Merci à l’équipe, je vais tester!


<img data-src=" />



C’est assez frustrant de voir que ce projet de directive e-privacy semble plutôt aller dans le sens du maintient de la situation alors que la GDPR part plutôt dans l’idée opposée en protégeant un minimum les gens contre ce qui est presque de l’extorsion par rapport à leurs données.

J’appréhende un peu cette version définitive du e-privacy.



J’ai vraiment hâte de voir par contre dans quelle mesure l’unification de la protection des données personnelles au niveau européen permettra une meilleure mise en oeuvre de la loi (en particulier avec un champ d’application aussi étendu).


Voir ma réponse précédente. On a un besoin qui n’est pas celui d’un bloqueur, hors toutes les extensions proposent massivement ça plus qu’autre chose (et sérieusement on s’en tape complet pour le projet).



Ghostery avait l’intérêt d’être une bonne source d’info, c’est pour ça qu’on s’était penché dessus au départ, mais vu que ce n’est pas facilement exploitable, autant faire les choses nous même afin de pouvoir contrôler de bout en bout ce qui est fait, comment c’est relevé, etc.&nbsp;

&nbsp;







jurinord a écrit :



Excellente initiative.&nbsp; J’espère que cette extension sera utilisée massivement par les internautes.







&nbsp;En fonction&nbsp; de la version définitive du règlement e-privacy, l’ European Data Protection Board (EDPB) qui remplacera&nbsp; bientôt le G29 devrait, a mon avis, se pencher sur les modalités pratiques du recueil .





RGPD est quand même déjà une bonne source de renforcement de la question du consentement, même si les analytics, et donc Google Analytics passent encore entre les mailles du filet.&nbsp;



Note que comme détaillé dans un précédent papier, il n’y a AUCUN recueil du consentement, on voit assez bien que tout se passe dès le chargement de la page sans la moindre action, que ce soit pour les domaines tiers ou les cookies qui y sont rattachés.&nbsp;



La CNIL a certes été laxiste suite à tout le bordel lors de la mise en place des “bandeaux” malgré le fait que rien ne soit respecté, mais les choses vont un minimum devoir changer.

&nbsp;



sksbir a écrit :



Je trouve l’initiative très intéressante. Petite remarque à propos de ‘réinventer la roue’ : Écrire le code en partant de zéro permet de contrôler ce qui de passe vraiment et de maîtriser le sujet d’un bout à l’autre.





Voilà :)

&nbsp;



Papa Panda a écrit :



Une colorisation ou un indicateur de niveau de “dangerosité ” voir “nuisibilité ” de ces trackers serait envisagé?



Sinon , je cherchais une solution de ce style intéressant.



Sinon +1 à faire so ntaff en amont des blockeurs et consorts





Pour la colorisation & co ça pourra venir avec la mise en place de la BDD d’identification, donc dans un second temps ;)



Par acquis de conscience, j’ai vérifié avec nextinpact, et c’est bon, il y a rien&nbsp;<img data-src=" /><img data-src=" />


Ah je vois plus loin que détecter les trackers, je veux les bloquer !! :-P


Entendu ;) . Je sens que bcp vont prendre peur en voyant ce que les navigateurs / extension crachent sur leur réseau …


J’aimerais juste connaître la raison qui vous amène à faire des requêtes vers core.unit-sense.net à partir du site Next Inpact.



Au plaisir de vous lire !



Denis.


@Mihashi



La question était&nbsp; de savoir quelle était la raison de l’utilisation de requêtes vers ce domaine.


La réponse est dans le billet de blog et ma réponse précédente, c’est notre ad server que l’on utilise justement pour diffuser de la publicité en nous assurant qu’aucun tracking n’est assuré.


Bonjour,



Idée louable sur le fond, mais il serait sans doute intéressant de permettre l’accès à tous les lecteurs aux dossiers au bas de l’article (rubrique Pistage des internautes en ligne), le but étant d’informer le plus grand nombre, comme souhaite le faire l’extension Kimetrak.



&nbsp;