Sur sa page web, l’éditeur Web Of Trust (WOT) se présente comme le bon samaritain, toujours prêt à aider l’internaute lors de ses pérégrinations sur la Toile. Son extension de navigateur indique quels sont les sites dignes de confiance et lesquels sont à éviter. Elle protège également contre les tentatives de fraudes, les malwares et les liens piégés. Bref, on pourrait croire qu’il s’agit là d’un service pratique et parfaitement louable. Mais derrière cette belle devanture se cache en réalité un business basé sur les données personnelles des utilisateurs.
Une enquête réalisée par des journalistes de Panorama et Zapp, deux émissions audiovisuelles allemandes, montre que l’extension WOT collecte en douce les données de navigation de ses 140 millions d’utilisateurs pour les revendre à des entreprises tierces, sans prendre la peine de les rendre réellement anonymes. Les journalistes ont pu consulter ces données refourguées et ont constaté qu’elles pouvaient parfois révéler des informations intimes ou confidentielles: les passions sado-masochistes d’un juge, les revenus d’une entreprise média, les recherches web sur les drogues, etc. Dans un cas, ces données permettaient même d’accéder au compte de stockage en ligne d’un manager, avec à la clé des relevés de banques, des scans de pièces d’identité, des documents financiers, des numéros de téléphones, etc.
Piégé par un faux prestataire Big Data
Pour mettre la main sur ces données, les journalistes ont créé une entreprise qui s’est fait passer pour un spécialiste en Big Data. D’emblée, une myriade de prestataires ont proposés de leur fournir des flux de données. Et parmi ces données figuraient celles collectées par WOT. Comment le savaient-ils? Avec l’aide d’un chercheur en sécurité, les journalistes ont créé au préalable un site Internet test, puis ils ont commencé à surfer sur le web au travers d’un navigateur doté de l’extension WOT. Ils se connectaient à tout type de site, tout en se rendant régulièrement sur le site qu’ils venaient de créer. Ainsi, ils ont pu voir que leurs URLs de connexion se retrouvaient dans les bases de données des prestataires quelques jours après.
Le problème, c’est que ces URL sont transmises telles quels, avec tous les paramètres HTTP, y compris les identifiants de sessions. Ces paramètres se trouvent dans les caractères de l’URL situés après le point d’interrogation. Dans certains cas, il est donc tout à fait possible d’identifier les utilisateurs qui se cachent derrière, voir même d’accéder à des comptes. « Au final, j’ai réussi à me déanonymiser moi-même grâce à ces données. Ça fait froid dans le dos », souligne le chercheur en sécurité dans une note de blog.
L’éditeur fait profil bas
Certes, les conditions d’usage de WOT précisent que l’extension procède à une collecte d’informations et que celles-ci peuvent être transmises à des tiers. Mais elles assurent aussi que ces données sont strictement anonymes. L’enquête journalistique prouve que ce n’est finalement pas le cas. Pour sa part, l’éditeur a fait profil bas. Dans une note de forum, il annonce qu’il procédera à une refonte de son extension, en incluant un meilleur filtrage des données collectées. A l’avenir, les utilisateurs pourront également choisir de désactiver la collecte de données (opt-out). Mais ce qui veut dire implicitement qu’elle restera activée par défaut…
WOT n’est certainement pas le seul éditeur à faire un tel trafic de données en s’appuyant sur des extensions de navigateur. Avant d’utiliser un tel logiciel, il est donc conseillé de bien lire les conditions d’usage.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
