Deux façons pour votre FAI de vous espionner et d’être en sécurité [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway]
C'est un mauvais moment pour être un client Verizon. Le titan des télécommunications s'est fait prendre à injecter des «cookies permanents» dans le trafic réseau de leurs clients. Cette démarche non respectueuse de la vie privée pourrait permettre de suivre l'activité de navigation des abonnés de Verizon avec précision sur Internet par des tiers. Et ils ne peuvent rien faire à ce sujet.
L'attaque fonctionne en modifiant le trafic HTTP pour inclure un élément identifiant de manière unique un utilisateur. Cette information est ensuite transmise à chaque site Web non chiffré visité via sa connexion de données mobile..
Les utilisateurs n'ont pas la possibilité de désactiver ces cookies permanents. En outre, ni la suppression des cookies du navigateur, ni la navigation dans un mode de navigation privé n'empêcheront l'utilisateur de faire l'objet d'un suivi..
Dans un billet de blog, Electronic Frontier Foundation (EFF) a exprimé de vives inquiétudes à propos de ces cookies permanents, les décrivant comme: “choquant d'insécurité”, “dangereux pour la vie privée” et appelant Verizon à mettre immédiatement fin à la pratique consistant à ajouter des métadonnées de suivi au trafic réseau de leurs utilisateurs.
S'adressant à MakeUseOf, Michael Geist, membre du conseil de l'EFF, a déclaré, “Des rapports récents de fournisseurs de services Internet supprimant le chiffrement du courrier électronique ou cherchant à suivre leurs utilisateurs améliorent les problèmes de confidentialité associés aux activités en ligne. En l'absence de lois strictes en matière de protection de la vie privée, les utilisateurs doivent souvent prendre des mesures en utilisant activement les technologies renforçant la protection de la vie privée..”
Vous pouvez savoir si vous êtes à risque en visitant lessonslearned.org/sniff ou amibeingtracked.com. Mais comment la technologie de suivi de Verizon fonctionne-t-elle et y at-il d’autres moyens que votre FAI interfère avec votre trafic, ce qui pourrait réduire votre confidentialité??
Comment fonctionnent les Perma-Cookies de Verizon
Le protocole de transfert hypertexte est la pierre angulaire d’Internet. Un composant de ce protocole est les "en-têtes HTTP". Il s’agit essentiellement de métadonnées envoyées chaque fois que votre ordinateur envoie une demande ou une réponse à un serveur distant..
Dans sa forme la plus simple, il contient des informations sur le site demandé et la date à laquelle la demande a été faite. Il contient également des informations sur l'utilisateur, y compris la chaîne de l'agent d'utilisateur, qui identifie le navigateur et le système d'exploitation de l'utilisateur sur le site Web..
Cependant, les en-têtes HTTP peuvent également contenir d'autres informations non standard..
Ce n'est pas toujours une si mauvaise chose. Certains champs d'en-tête sont utilisés pour protéger contre les attaques XSS (Cross Site Scripting) Qu'est-ce qu'un script XSS (Cross-Site Scripting), et Pourquoi est-ce une menace pour la sécurité? Qu'est-ce qu'un script XSS (Cross-Site Scripting), et Pourquoi? C'est une menace pour la sécurité, Cross-site Les vulnérabilités de script sont le plus gros problème de sécurité de site Web aujourd'hui. Des études ont révélé qu'elles étaient extrêmement courantes: 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin… Lire la suite, alors que Firefox propose un champ personnalisé qui demande à une application Web de désactiver leur suivi l'utilisateur. Celles-ci sont raisonnables et renforcent la sécurité et la confidentialité d'un utilisateur. Cependant, dans le cas de Verizon, ils utilisaient un champ (appelé X-UIDH) qui contenait une valeur unique pour l'abonné et était envoyé sans distinction à tous les sites Web visités..
Il est important de souligner que ces cookies permanents de Verizon ne sont pas ajoutés à l'appareil utilisé pour naviguer sur Internet. S'ils l'étaient, il serait plus simple d'y remédier. Les modifications ont plutôt été apportées à la couche réseau à partir de l'infrastructure de Verizon. Cela fait de la protection contre cela un défi sérieux.
Ce n'est pas juste Verizon
Verizon n’est pas le seul à être surpris en train d’interférer dans le trafic de ses clients. Un rapport publié récemment suggère que certains FAI américains interfèrent activement avec le cryptage de messagerie de leurs utilisateurs.
Selon les allégations (qui ont été faites devant la Federal Communications Commission), ces FAI (non nommés) interceptent le trafic de courrier électronique et suppriment un indicateur de sécurité crucial utilisé pour établir une connexion cryptée entre le client et le serveur..
Il convient de noter que ce n’est pas seulement un problème américain. Des allégations similaires ont également été formulées contre deux des plus importants fournisseurs d'accès à Internet en Thaïlande, qui intercepteraient des connexions entre Gmail et Yahoo Mail..
Quand un client de messagerie Les 5 meilleurs clients de messagerie de bureau qui ne coûtent pas un sou Les 5 meilleurs clients de messagerie de bureau qui ne coûtent pas un centime Vous avez besoin d'un client de messagerie de bureau pour gérer votre courrier entrant? Voici les meilleurs clients de messagerie de bureau que vous pouvez utiliser gratuitement. Read More essaie de récupérer le courrier électronique d'un serveur de messagerie, établit une connexion sur le port 25 et envoie un indicateur STARTTLS. Cela indique au serveur de créer une connexion cryptée. Une fois que cela a été établi, le client envoie les détails de l'authentification au serveur, qui répond ensuite en envoyant un courrier au client..
Alors, que se passe-t-il lorsque l'indicateur STARTTLS est supprimé? Bien, plutôt que de refuser la connexion, le serveur continue normalement mais sans le cryptage. Comme vous pouvez l'imaginer, il s'agit d'un problème de sécurité majeur, car cela signifie que les messages et les informations d'authentification sont transmis en texte clair et peuvent donc être interceptés par toute personne assise sur le réseau avec un renifleur de paquets..
Il est profondément troublant de voir à quel point certains fournisseurs de services Internet sont cavaliers en ce qui concerne la sécurité et la confidentialité de leurs utilisateurs. Dans cet esprit, il convient de se demander comment se protéger contre les FAI qui interfèrent avec votre courrier électronique et votre trafic Web..
Pour rester en sécurité, utilisez un VPN
Il y a un remède facile à ces deux menaces de sécurité.
Utilisez simplement un VPN. Un réseau privé virtuel crée une connexion sécurisée entre un serveur distant, par lequel tout le trafic réseau est transmis. Que ce soit un email, web ou autre.
En bref, il encapsulerait toutes les informations dans un tunnel crypté. Aucun intermédiaire ne serait en mesure de dire ce qui est transmis ou quel type de trafic réseau il s'agit. Par conséquent, il devient impossible pour Verizon d’identifier les en-têtes HTTP et d’ajouter leurs champs personnalisés..
De même, il devient également impossible d'identifier lorsque l'ordinateur se connecte à un serveur de messagerie, ce qui empêche un fournisseur de services Internet de supprimer l'indicateur STARTTLS requis pour créer une connexion de messagerie cryptée..
Il y a beaucoup d'options à choisir, mais nous aimons beaucoup SurfEasy chez MakeUseOf.
SurfEasy est une société de réseau privé virtuel basée au Canada, avec des terminaux dans le monde entier. Ils vous permettent d’être anonyme et d’être protégé contre le trafic sur votre réseau. Un compte gratuit autorise 500 mégaoctets de trafic sur un maximum de cinq appareils et vous pouvez gagner des données supplémentaires en invitant des amis, en vous connectant avec un deuxième appareil ou simplement en utilisant le produit. Un abonnement d'un an à leur forfait Premium Total VPN supprime la restriction de trafic et coûte 49,99 $ (ils acceptent les principales cartes de crédit, PayPal et Bitcoin).
Nous avons dix plans SurfEasy Total sur un an, ainsi qu'un BlackBerry Z10..
Comment gagner un plan VPN total SurfEasy d'un an?
SurfEasy + BlackBerry Z10
Le gagnant sera sélectionné au hasard et informé par courrier électronique. Voir la liste des gagnants ici.
Un régal spécial!
SurfEasy propose, dès le 2 décembre, son plan Premium Total VPN avec un rabais incroyable de 50%. Il suffit d'utiliser le code MAUSEUSE50 à la caisse pour réduire les prix de moitié.
Crédits photos: page d'accueil Google Mail, page d'accueil Verizon, cookies Internet, menu Email
Explorer plus sur: FAI, Concours MakeUseOf, Sécurité en ligne, Violation de la sécurité, VPN.