Version TL; DR:
- Les modules complémentaires de navigateur pour Chrome, Firefox et probablement d'autres navigateurs surveillent chaque page que vous visitez et renvoient ces données à une société tierce qui les paie pour vos informations.
- Certains de ces modules ajoutent également des publicités aux pages que vous visitez, et Google le permet spécifiquement pour une raison quelconque, à condition que cela soit «clairement divulgué».
- Des millions des personnes sont suivies de cette façon et elles n’ont aucune idée.
Appelons-nous officiellement un logiciel espion? Eh bien… ce n’est pas si simple. Wikipedia définit les logiciels espions comme "Logiciel aidant à collecter des informations sur une personne ou une organisation à son insu et pouvant envoyer ces informations à une autre entité sans le consentement du consommateur".Cela ne signifie pas que tous les logiciels qui rassemblent des données sont nécessairement des logiciels espions, ni que tous les logiciels qui renvoient des données à leurs serveurs sont nécessairement des logiciels espions.
Mais lorsque le développeur d'une extension dissimule le fait que chaque page visitée est stockée et envoyée à une entreprise qui les paie pour ces données tout en les enterrant dans les paramètres en tant que "statistiques d'utilisation anonymes", il est un problème, au moins. Tout utilisateur raisonnable présumerait que si un développeur souhaite suivre les statistiques d'utilisation, il ne fera que suivre l'utilisation de l'extension elle-même, mais l'inverse est vrai. La plupart de ces extensions suivent tout ce que vous faitessauf en utilisant l'extension. Ils ne font que suivrevous.
Cela devient encore plus problématique car ils l’appellent «anonyme Statistiques d'utilisation ; le mot «anonyme» implique qu'il serait impossible de déterminer à qui appartiennent ces données, comme si elles effaçaient les données de toutes vos informations. Mais ils ne le sont pas. Oui, bien sûr, ils utilisent un jeton anonyme pour vous représenter plutôt que votre nom complet ou votre courrier électronique, mais chaque page que vous visitez est liée à ce jeton. Tant que vous avez cette extension installée.
Suivez l’historique de navigation de quiconque suffisamment longtemps pour savoir exactement qui ils sont.
Combien de fois avez-vous ouvert votre propre page de profil Facebook, votre page Pinterest, Google+ ou une autre page? Avez-vous déjà remarqué comment l'URL contient votre nom ou quelque chose qui vous identifie? Même si vous n'avez jamais visité aucun de ces sites, il est possible de savoir qui vous êtes.
Je ne sais pas pour vous, mais mon historique de navigation estmien,et personne ne devrait y avoir accès que moi. Il existe une raison pour laquelle les ordinateurs ont des mots de passe et que tout le monde de plus de 5 ans sait comment supprimer l’historique de son navigateur. Ce que vous visitez sur Internet est très personnel, et personne ne devrait avoir la liste des pages que je visite sauf moi, même si mon nom n’est pas spécifiquement associé à la liste.
Je ne suis pas avocat, mais les règles du programme de développement de Google pour les extensions de Chrome indiquent spécifiquement qu'un développeur d'extensions ne doit pas être autorisé à publier mes informations personnelles:
We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.
Exactement comment mon historique de navigation n’est-il pas une information personnelle? Ce n’est définitivement pas accessible au public!
Oui, beaucoup de ces extensions insèrent des annonces aussi
Chaque fois que vous traitez des publicités, des cookies seront également impliqués. (Il convient de noter que ce site est financé par la publicité et que les annonceurs placent des cookies sur votre disque dur, comme tous les sites Internet.) Nous ne pensons pas que les cookies représentent un problème énorme, mais si vous le faites, ils sont jolis. facile à traiter.
Les extensions des logiciels publicitaires posent en réalité moins de problèmes, si vous pouvez y croire, car ce qu'elles sont en train de faire est très évident pour les utilisateurs de l'extension, qui peuvent alors déclencher un tumulte à ce sujet et tenter de faire arrêter le développeur. Nous souhaitons certainement que Google et Mozilla modifient leurs politiques ridicules pour interdire ce comportement, mais nous ne pouvons pas les aider à avoir du bon sens.
Le suivi, en revanche, est effectué en secret, ou est essentiellement secret car ils essaient de cacher ce qu'ils font en langage juridique dans la description des extensions, et personne ne fait défiler l'écran vers le bas du fichier Lisez-moi pour savoir si cette extension est correcte. va suivre les gens.
Cet espionnage est caché derrière les CLUF et les politiques de confidentialité
Ces extensions sont «autorisées» à adopter ce comportement de suivi car elles le «divulguent» sur leur page de description ou à un moment donné dans leur panneau d'options. Par exemple, l'extension HoverZoom, qui compte un million d'utilisateurs, indique ce qui suit dans leur page de description, tout en bas:
Hover Zoom uses anonymous usage statistics. This can be disabled in the options page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties.
Où exactement dans cette description explique-t-il qu'ils vont suivre chaque page que vous visitez et renvoyer l'URL à un tiers, qui les paie pourvotre Les données? En fait, ils affirment partout qu'ils sont parrainés par des liens d'affiliation, ignorant complètement le fait qu'ils vous espionnent. Ouais, c’est vrai, ils injectent également des publicités partout. Mais qu'est-ce qui vous intéresse le plus, une annonce qui apparaît sur une page ou qui prend votre historique de navigation dans son intégralité pour le renvoyer à quelqu'un d'autre?
Cette extension particulière a eu une longue histoire de mauvais comportement, remontant à assez longtemps. Le développeur a récemment été surpris en train de collecter des données de navigation. comprenant données de formulaire… mais il a également été surpris l'année dernière en vendant des données sur ce que vous avez saisi dans une autre société. Ils ont ajouté une politique de confidentialité maintenant qui explique plus en détail ce qui se passe, mais si vous devez lire une politique de confidentialité pour savoir que vous êtes espionné, vous avez un autre problème.
En résumé, un million de personnes sont espionnées par cette seule extension. Et c’est justeunde ces extensions - il y en a beaucoup plus qui font la même chose.
Les extensions peuvent changer de mains ou mettre à jour à votre insu
Pour aggraver les choses, beaucoup de ces extensions ont changé de mains au cours de la dernière année - et quiconque a déjà écrit une extension est inondé de demandes de vente de son extension à des personnes louches, qui vous infecteront ensuite avec des publicités ou vous espionneront. Comme les extensions ne nécessitent aucune nouvelle autorisation, vous n’aurez jamais la possibilité de déterminer celles qui ont ajouté le suivi secret à votre insu.
Bien sûr, à l'avenir, vous devrez soit éviter d'installer des extensions ou des addons, soit êtretrès Faites attention à ceux que vous installez. S'ils demandent des autorisations sur tout ce qui se trouve sur votre ordinateur, vous devez cliquer sur le bouton Annuler et exécuter.
Code de suivi masqué avec un commutateur d'activation à distance
Nous avons testé l'une de ces extensions, appelée Autocopy Original, en lui faisant croire que le comportement de suivi était censé être activé, et nous avons pu voir immédiatement une tonne de données renvoyées à leurs serveurs. Il y avait 73 de ces extensions dans le Chrome Store, et certaines dans le magasin de modules complémentaires de Firefox. Ils sont facilement identifiables car ils proviennent tous de «wips.com» ou de «partenaires de wips.com».
Vous vous demandez pourquoi nous sommes inquiets au sujet du code de suivi qui n’est même pas encore activé? Parce que leur page de description ne dit pas un mot sur le code de suivi, il est enfoncé sous forme de case à cocher sur chacune de leurs extensions. Les gens installent donc les extensions en supposant qu’elles proviennent d’une entreprise de qualité.
Et ce n’est qu’une question de temps avant que ce code de suivi ne soit activé.
Enquête sur cette horreur d'espionnage
La personne moyenne ne saura même jamais que cette espionnage est en cours - elle ne verra pas de demande adressée à un serveur, elle n’aura même pas le moyen de le savoir. La grande majorité de ces millions d’utilisateurs ne seront aucunement affectés… sauf que leurs données personnelles ont été volées. Alors, comment vous en sortez-vous? Il s’appelle Fiddler.
Fiddler est un outil de débogage Web qui agit comme un proxy et met en cache toutes les demandes afin que vous puissiez voir ce qui se passe. C’est l’outil que nous avons utilisé - si vous souhaitez dupliquer chez vous, installez simplement l’une de ces extensions d’espionnage telle que Hover Zoom et vous obtiendrez deux requêtes sur des sites similaires à t.searchelper.com et api28.webovernet.com pour chaque page que vous visualisez. Si vous cochez la case Inspectors, vous verrez un tas de texte codé en base64… en fait, il a été codé en base64 deux fois pour une raison quelconque. (Si vous voulez le texte d'exemple complet avant le décodage, nous l'avons caché dans un fichier texte ici).
s=1809&md=21& pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q= https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go
Vous pouvez déposer api28.webovernet.com et l'autre site dans votre navigateur pour voir où ils mènent, mais nous vous épargnons le suspense: ce sont en fait des redirections pour l'API d'une société appelée Similar Web, qui est l'une des nombreuses sociétés faire ce genre de suivi et vendre les données afin que d’autres sociétés puissent espionner ce que font leurs concurrents.
Si vous êtes du type aventureux, vous pouvez facilement trouver le même code de suivi en ouvrant votre page chrome: // extensions et en cliquant sur le mode développeur, puis sur "Inspecter les vues: html / background.html" ou un texte similaire. vous dit d'inspecter l'extension. Cela va vous permettre de voir ce que cette extension fonctionne tout le temps en arrière-plan.
Empêcher une extension de se mettre à jour automatiquement (avancé)
Si vous souhaitez toujours le faire, ouvrez le panneau Extensions, recherchez l'ID de l'extension, puis rendez-vous dans% localappdata% google chrome User Data default Extensions et recherchez le dossier qui contient votre extension. Modifiez la ligne update_url dans le fichier manifest.json pour remplacer clients2.google.com par localhost.Remarque:nous n’avons pas encore pu tester cela avec une extension réelle, mais cela devrait fonctionner.
Alors, où cela nous laisse-t-il?
Nous avons déjà établi que de nombreuses extensions sont en cours de mise à jour pour inclure le code de suivi / d’espionnage, l’injection d’annonces et qui sait quoi d'autre. Ils sont vendus à des entreprises peu fiables, ou les développeurs sont achetés avec une promesse d'argent facile.
Une fois que vous avez installé un module complémentaire, il n’ya aucun moyen de savoir qu’il ne va pas y avoir de logiciel espion par la suite. Tout ce que nous savons, c'est qu'il existe de nombreux add-ons et extensions qui font ces choses.
Les gens nous ont demandé une liste, et comme nous avons enquêté, nous avons trouvé tellement d’extensions réalisant ces tâches, nous ne sommes pas sûrs de pouvoir en faire une liste complète. Nous allons en ajouter une liste à la rubrique du forum associée à cet article afin que la communauté puisse nous aider à générer une liste plus longue.
Afficher la liste complète ou donnez-nous votre avis
