Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Vous vous croyez protégé de toute forme de tracking car vous avez désactivé ou filtré le JavaScript, flash, les cookies…etc. ?

Eh bien détrompez-vous, car même si vous avez mis en place ce plugin qui permet de brouiller les pistes face à des méthodes de tracking non traditionnelles comme Panopticlik, il est toujours possible de vous suivre.

Comment ?

Et bien tout simplement en détournant l’utilisation des ETag.

Pour ceux qui ne seraient pas familiers avec ce concept, ETag est une fonctionnalité propre aux serveurs web type Apache, qui permet simplement d’identifier de manière unique un fichier (page web, image, CSS…Etc.).

Lorsque vous-vous rendez sur une page web, votre navigateur envoie au serveur Apache, l’ETag du fichier qu’il s’apprête à lui demander (et qu’il possède dans son cache). Si le numéro d’ETag du fichier présent sur le serveur est identique, cela signifie que celui-ci n’a pas changé et qu’il n’est pas nécessaire de le télécharger à nouveau. Si au contraire, le code ETag a changé, alors le navigateur récupérera la nouvelle version à partir du serveur.

  • HTTP/1.1 200 OK
  • Date: Mon, 26 Aug 2013 15:35:26 GMT
  • Last-Modified: Fri, 22 Aug 2013 15:21:41 GMT
  • Etag: « b44a244a-dba-d2a52130 »

etags

À partir de là, il devient alors relativement simple de tracker un internaute. Un genre de cookie sans cookie si vous préférez. Le bidouilleur Lucb1e a mis en ligne un code permettant de faire cela.

Pour que l’astuce fonctionne, il charge l’image qui contient le ETag, après que l’intégralité de la page soit chargée. Seule l’image contient l’ETag. Alors évidemment, toutes les infos que vous voyez apparaitre sur la page dans sa démo (Nombre de visite, date de dernière visite, texte stocké) sont des infos déjà mises en cache dans votre navigateur. Si sa démo m’indique que j’en suis à la 5e visite, il suffit que je rafraichisse la page « (F5) pour récupérer vraiment la dernière version de la page et me rendre compte que j’en suis à 6 visites.

Ce « problème » vient du fait que Lucb1e souhaite afficher les informations à l’internaute. Il aurait pu mettre à jour cette info via un JavaScript, mais il tenait vraiment à ce que tout se fasse sans JS.

Évidemment, dans la vie réelle, aucun tracker ne vous affichera ces informations donc tout ceci n’est pas vraiment un problème.

Alors, comment déjouer cette méthode de tracking ? La première solution qui vient à l’esprit est de désactiver tout simplement le cache. Pas de cache, pas d’ETag stocké, donc pas de tracking.

Une autre méthode consiste à installer cette extension Firefox : SecretAgent qui réécrit les ETag (entre autres choses) afin d’éviter tout tracking. Vous pouvez bien sûr mettre des sites en liste blanche pour leur autoriser la mise en cache des ETags.

Voilà, j’espère vous avoir éclairé sur cette nouvelle technique de suivi de l’internaute qui utilise uniquement des fonctions natives du serveur web et qui est donc totalement invisible du point de vue de l’Internaute. Impossible de savoir avec cette technique, si l’on vous traque ou pas.

@  — 

Je suis tombé sur le cul. La société LDLC vient de me contacter pour me demander si c’était bien moi qui avait demandé un prêt de matériel…

« Euuh non… »

C’est donc comme ça que j’ai appris qu’un escroc s’est fait passer pour moi afin de récupérer du matos (comprenez : voler du matos) à une grosse boite.

La technique est simple. Il contacte la société avec un email bidon : [email protected]

Bonjour,

Je vous contacte, car je suis l’heureux propriétaire d’un blog qui marche très bien (Korben.info) et sur ce même blog j’ai l’ambition de me lancer dans un test de produits high tech.

Vous l’avez compris, afin d’exercer ces tests je vais avoir besoin des produits, et c’est pour cela que je vous contacte, en effet si cela vous convient j’aimerais, bien entendu si vous le pouvez et voulez, exercer une entente entre Korben.info et Ldlc.com ou vous me fourniriez le produit, j’exercerais le test et bien entendu à la fin de l’article je n’oublierais pas de mettre une bannière ldlc redirigeant vers votre site afin que les intéressés puissent directement acheter le produit.

J’ai décidé pour mon premier test de commencer avec un Samsung Galaxy S4 et je vous fais cette demande, car vous entendez bien que n’ai pas les moyens de débourser 600€ pour un test.

Concernant Korben.info, le site engrange 27 000 visites par jour et plus de 800 000 par mois, la tranche d’âge des visiteurs se situe entre 16 et 25 ans, généralement des passionnés de nouvelles technologies.

J’attends donc votre réponse avec impatience.

Cordialement, Manuel Dorne.

LDLC lui a donc répondu gentiment, pensant que c’était moi, en demandant son adresse. L’escroc a donc répondu ceci :

Bonjour,

ça me fait aussi très plaisir que tu me répondes, mieux vaut tard que jamais !

Oui bien sur, ma demande tiens toujours, alors voici mes coordonnées complètes :

Manuel Dorne
xx rue Fernet
Maisons-Alfort
94700

Sinon concernant la réception à mon domicile, elle se fera par Colissimo aussi ? Bien entendu je n’oublierais pas le lien SEO et les remerciements à LDLC, par contre concernant le testé et approuvé, j’y réfléchis, encore je ne promets rien pour l’instant.

Cordialement, Manuel Dorne.

C’est fou non ?

Alors évidemment, rien de cohérent là-dedans. J’habite en Auvergne et pas à Maison Alfort, je ne réclame jamais de produits de cette manière, et surtout, le site fait beaucoup plus de trafic que ça 😉

Heureusement que la personne chez LDLC me connait un peu. L’adresse que l’escroc a donnée existe, mais je ne pense pas qu’il est assez con pour donner sa véritable adresse (quoique…). Je pense plutôt qu’il utilise cette méthode ancestrale qui consiste à attendre devant la porte de la maison que le facteur arrive en se faisant passer pour le destinataire. Ce sont les mêmes méthodes de voleur que celles qu’a connues le e-commerce dans ses belles années, mais cette fois appliquées aux blogs.

Bref, si vous recevez ce genre d’email de crevard de la part d’un blogueur, méfiez-vous et prenez contact via Twitter ou Facebook ou une boite mail « officielle » avec ce blogueur pour bien vérifier que c’est lui. Et si vous m’avez envoyé du matos ailleurs que chez moi en Auvergne, alors, vous vous êtes fait couillonner et j’en suis désolé.

@  — 

Bon, y’a quoi de bien en ce moment au cinoche ?

Je vais probablement aller voir Jobs car je pense que ça va être pas mal. J’avais beaucoup aimé The Social Network, le film sur Facebook, et j’espère qu’il sera dans la même veine.

Après y’a aussi Kick Ass 2, Elysium et insaisissables qui me font bien envie… Et puis surtout RIPD qui m’a l’air d’être une copie de Men In Black avec des gens décédés à la place des aliens. C’est surement très très con, mais ça doit détendre…

Surtout, mercredi y’a « Le dernier pub avant la fin du monde » avec Simon Pegg et Nick Frost qui sort et qui m’a l’air bien délire… Y’a aussi Red2 et bien que je conserve ma virginité pour Bruce Willis, le premier RED était tellement décevant que je m’abstiendrai d’aller voir la suite.

Ah et pour les excité(e)s, y’a aussi « One Direction, le film » qui sort… looool

Bref, tout ça pour dire qu’aujourd’hui, j’ai 10 places de cinéma à vous faire gagner grâce à MaPlaceDeCine.com, un excellent site réalisé par des amis, qui permet d’acheter ses places de cinéma moins cher. Pour participer au jeu, il suffit d’entrer votre email dans le widget Kontest ci-dessous :

Tirage au sort, mardi soir à minuit. On prendra contact avec vous et vous pourrez choper votre place.

Si vous n’avez pas la patience d’attendre et que votre cinéma est un PATHÉ GAUMONT, vous pouvez aller sur le site et choisir votre ville et votre cinéma pour connaitre le prix auquel vous pouvez obtenir vos places. Si vous utilisez le code KORBEN, c’est de 3 à 15% moins cher et ils vont prochainement étendre la couverture à d’autres cinémas que ceux de Pathé Gaumont.

Le cinéma étant devenu un luxe, grappiller quelques euros par-ci, par-là, grâce à MaPlaceDeCine.com, c’est plutôt malin !

Bonne chance à tous !

@  — 

Pour les déçus de Bluestack, sachez qu’il existe un autre portage d’Android sous Windows baptisé Windroy plutôt pas mal. Je viens de le tester et il s’agit ni plus ni moins d’un portage complet d’Android 4.0.3 optimisé pour Windows (pas de machine virtuelle ici).

Il supporte tous types de résolution jusqu’à 1920×1080, gère l’accélération matérielle, supporte le cache Dalvik, le clavier et la souris et tourne sans accroc sous Vista, 7 et 8.

Il s’agit d’une version identique à celle qu’on trouve sur les tablettes. Malheureusement, pas de Play Store sur cette version, vous devrez donc installer à la main vos APK. Pensez à autoriser l’installation d’application d’origine inconnue dans les paramètres puis rendez-vous sur le site AndroidDrawer pour installer les softs de votre choix.

Autre truc à savoir, Windroy se lance en plein écran, ce qui peut être vite relou. Pour le lancer en mode fenêtré, vous devrez vous rendre dans les variables d’environnement (Panneau de config -> Système et Sécurité -> Système -> modifier les Paramêtres -> Paramètres système avancés -> Variables d’environnement)

varaccess

Puis créez une nouvelle variable que vous appellerez WINDROY_RESOLUTION et donnez-lui comme valeur la taille de fenêtre désirée. Ici j’ai mis 1024×768.

var

Puis relancez Windroy !

menu

 Cette application vous permettra de tester des logiciels Android sans dégainer votre téléphone et surtout de jouer à des jeux en plein écran avec tout le confort qu’un clavier et une souris peuvent apporter.

@  — 

Vous connaissez surement Viber mais pour ceux qui auraient dormi pendant ces dernières années, je vais quand même vous re-expliquer ce que c’est. Viber est un logiciel qui fonctionne sous Android, iPhone, Balckberry, Nokia, Bada, Windows et Mac et qui permet d’envoyer des SMS et de passer des appels gratuitement à ses amis pour peu que ces derniers aient aussi installé Viber.

C’est de la VoIP gratuite similaire à Skype qui avait un gros intérêt à l’époque où nos appels et nos SMS sur mobile n’étaient pas illimités. Maintenant, ça a perdu un peu de son charme, sauf si vos amis sont tous à l’étranger.

Bref, tout ça pour vous dire que Viber vient d’annoncer une version native pour Linux qui une fois que vos contacts sont synchronisés, permet de passer des appels visio, d’envoyer des SMS ou des photos (MMS like) ou de transférer des appels entre vos appareils.

Pas besoin de vous créer un compte avec Viber, il vous « enregistre » uniquement grâce à votre numéro de mobile. Bref, à tester si ça vous manquait sous Linux… Pour info, cette version a été testée uniquement sur Ubuntu, Mint, Zorin OS et Fedora.