Votre curseur vous espionne !
Pour réagir à cet article, utilisez notre forum
Le 20/01/2000
Une affaire qui remonte au 30 novembre 1999 relate qu'un petit logiciel gratuit qui permet de transformer le curseur de votre souris en personnage de dessin animé (Star Trek, Batman, personnages de Warner Bros...), lors de la visite de certains sites Web supportant le Plug-in Comet Cursor, assignait un numéro de série unique et récupérait des informations à votre insu.
Chaque fois que Comet Cursor entre en fonction, le numéro de série ainsi que l'adresse du site visité est envoyé discrètement à son éditeur Comet Systems, permettant à ce dernier de retracer le parcours de leurs utilisateurs.
C'est en visitant le site de Dilbert, la BD des intellos, que Richard Smith (encore lui !), déjà à l'origine de la découverte du mouchard de Windows 98, RealJukebox et Amazon-zBubbles, à découvert ce nouveau mouchard et analysé son mode de fonctionnement.
Il remarque qu'à chaque fois qu'il visite ce site Web, son ordinateur envoie des informations vers un serveur Web sur "host1.net". Il trouve cela très étrange...
Scott Adams, le créateur de Dilbert, reconnaît avoir installé récemment sur son serveur un Plug-in pour Internet Explorer venant d'une société nommée Comet Systems. Cet add-on qui est distribué sous forme d'un contrôle ActiveX, substitue la forme du curseur par une image qui change selon le site Web visité. Par exemple, sur le site "http://www.dilbert.com", on obtient la tête de Dilbert !
Les gens de Comet System croient que les visiteurs seront plus enclins à cliquer sur les bannières publicitaires si on remplace leur vieux curseur ennuyeux par un curseur humoristique...
Cependant la fonction la plus intérressante est celle qui est cachée ! Cet add-on envoie tranquillement en arrière-plan, les adresses des sites visités au serveur de Comet Systems lorsque le Comet Cursor est actif.
Les programmeurs intelligents de Comet Systems utilisent une commande POST du protocole HTTP afin d'envoyer les informations à travers les Firewalls (barrières de protection). Par exemple voici ci-dessous les commandes POST de www.dilbert.com :
POST /bin/a/p_l_i2 HTTP/1.1
Content-type: application/x-comet-log
Comet-key: 2834ae3baba25bae2ab2b648492e221f
Comet-url: http://www.dilbert.com/
User-Agent: Comet Cursor
Host: host1.net
Content-Length: 325
@id_c,@id_client,@id_v,@id_cust,@u_page,@e_fl,@l_fl,@up_p,@up_v,
@id_entry,@u_cc
52364320,be34724ad-a283-11d3-a67f002078900337,"1,5,0,182",177,
http://www.dilbert.com/,0,1,0,"",-39609727243380943645173,
http://umweb1.unitedmedia.com/cometcursor/cursors/dilbert.cur|
http://umweb1.unitedmedia.com/cometcursor/cursors/dilberth.cur
Richard Smith a obtenu ces informations en utilisant son analyseur de réseau (packet sniffer) afin d'observer quelles données sont envoyées et reçues par son ordinateur. Les commandes POST apparaissent après que la page d'accueil de Dilbert soit complètement téléchargée par l'Internet Explorer.
Vous noterez que les commandes POST vont vers host1.net, un serveur Web de Comet Systems. Les informations incluent l'URL (l'adresse) du site Web de Dilbert et le numéro de client de Richard Smith chez Comet Systems ("be34724ad-a283-11d3-a67f002078900337").
Ce numéro de client est un GUID (identifiant unique) généré par l'ordinateur du visiteur et qui contient l'adresse MAC (unique) de sa carte réseau Ethernet ! (tiens, tiens, on dirais que le mouchard de Windows 98 a fait des émules).
Voici quelques autres sites Web qui utilisent le curseur de Comet :
AT&T --
http://www.worldnetnow.com/
Hitchcock -- http://www.hitchcock100.com/mainsite.html
Doonesbury -- http://www.doonesbury.com/ieindex.html
Garfield -- http://www.garfield.com/
Le Site Web de Garfield est particulièrement intéressant. Il oblige pratiquement les gens a installer le contrôle ActiveX Comet Cursor. Chaque fois que vous visitez le site avec Internet Explorer, il persiste à vous demander si vous voulez installer le Plug-in ! la seule façon de cesser cette demande est de répondre "oui" !
Pour Comet
Systems le but était seulement
de connaître le nombre d'utilisateurs et leur fréquence d'utilisation.
"Nous ne demandons jamais ni nom, ni adresse e-mail ni d'autres informations
personnelles lors du téléchargement et de l'installation de Comet
Cursor" se défendent-ils. De plus, certains sites seraient payés
en fonction du nombre de visiteurs qui en font usage.
Bien sur, il n'y a aucune mention de ce système de surveillance sur le
site Web de Comet Systems... Mais depuis cette affaire, ils ont publié
une charte du respect de la vie privée qui décrie les modes opératoires
de leurs logiciels sur
http://www.cometsystems.com/contact/privacy.shtml
Il serait facile pour l'éditeur d'apposer des informations personnelles à coté des numéros de série selon les sites visités et de revendre le tout.
A ce jour plus de 60 000 sites utilisent le Comet Cursor, pour 20 millions d'internautes, soit 20% des ordinateurs connectés au Web...
Vous trouverez le patch dans notre rubrique Téléchargement
Denis Dubois
Pour en savoir plus :
La page de Richard Smith sur Comet Cursor
Les marques et logos mentionnés
sont déposés par leurs propriétaires respectifs.