Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé cookies. Afficher tous les messages
Aucun message portant le libellé cookies. Afficher tous les messages

vendredi 5 avril 2024

Chrome met en place une nouvelle sécurité contre le vol de cookies avec DBSC

 Chrome met en place une nouvelle sécurité contre le vol de cookies avec DBSC

@KORBEN  —  2 AVRIL 2024


Vous aimez les cryptomonnaies ❤️ Korben.info, alors cliquez ici pour me soutenir ! Merci !


Imaginez un monde où vos précieux cookies d’authentification, ces petits fichiers qui vous permettent de rester connecté à vos sites préférés, seraient à l’abri des vilains pirates informatiques. Et bien, mes chers amis geeks, ce monde est sur le point de devenir réalité grâce à notre cher Google et sa nouvelle fonctionnalité révolutionnaire pour Chrome : Device Bound Session Credentials (DBSC) !



Fini le temps où ces satanés cybercriminels pouvaient subtiliser nos cookies et prendre le contrôle de nos comptes en un clin d’œil. Avec cette nouvelle fonctionnalité qui arrive dans Chrome et qui s’appelle Device Bound Session Credentials (DBSC), vos cookies seront liés cryptographiquement à votre appareil, rendant leur vol aussi utile qu’un sabre laser sans piles.



Lors d’un processus d’authentification, une paire de clés publique/privée unique est générée en utilisant la puce TPM (Trusted Platform Module) de votre appareil. Ainsi, la clé privée reste bien au chaud dans votre machine, impossible à exfiltrer, tandis que la clé publique est partagée avec le serveur. Comme ça, même si un hacker met la main sur vos cookies, sans la clé privée associée, il ne pourra pas accéder à vos comptes.


Bien sûr, DBSC ne sera pas parfait dès le départ et les chercheurs en sécurité tenteront sûrement de trouver un moyen de contourner cette protection comme à chaque fois, mais Google est confiant.


Kristian Monsen, ingénieur de l’équipe Chrome Counter Abuse, affirme que DBSC devrait « considérablement réduire le taux de réussite des malwares voleurs de cookies« . Les attaquants seront donc obligés d’agir localement sur l’appareil, ce qui rendra la détection et le nettoyage plus efficaces. En gros, ça va leur mettre des bâtons dans les roues comme jamais !



Selon leur calendrier prévisionnel, DBSC devrait être pris en charge, fin 2024, par environ la moitié des appareils Desktop équipés de Chrome. En attendant le grand jour, vous pouvez déjà tester DBSC en allant dans chrome://flags/ et en activant le flag « enable-bound-session-credentials » sur Windows, Linux et macOS.


Bonne nouvelle non ?


Source; https://korben.info/chrome-revolution-dbsc-contre-vol-cookies.html?fbclid=IwAR1xGfLWRKq2nXNED_3VfIxfKYfEdG_DxLtIdPcCi-ekj1RWUAttPoKf5Pc_aem_AWGK5xS0qEDtk-BkmaCqtCvSuADsVp2EpntdrN9tio9XCixyYGcQOI0bxXoWMixDH7OKVtxhl4otbU8rWEsieUru

mardi 13 février 2024

Chrome le "plus grand spyware du monde"...

 Chrome le "plus grand spyware du monde"... 


À quoi sert cette curieuse icône en forme d'œil dans la barre d'adresse de Chrome ?



Par: Fabrice Brochain

10/02/24 13:54

Depuis quelques semaines, une étrange icône en forme d'œil apparaît dans la barre d'adresse de Chrome, le navigateur de Google. Et bien que discrète, elle vous donne une information très importante sur votre navigation.


Vous ne l'avez peut-être pas encore remarquée, même si vous êtes un utilisateur régulier de Chrome. Pourtant, depuis quelques semaines, une nouvelle icône est discrètement apparue dans l'interface du navigateur Internet de Google. Plus précisément, dans la barre d'adresse, à droite, près de l'étoile de favori. Une icône en forme d'œil, Opéra et bien d'autres fureteurs ont ça,qui ne s'affiche pas tout le temps, pas sur toutes les pages Web, et pas chez tout le monde, mais qui va progressivement se généraliser. Une icône mystérieuse, qui pourrait même paraître inquiétante pour certains. 




Son rôle ? Il suffit de laisser le curseur dessus sans cliquer pour commencer à l'entrevoir. La petite bulle qui s'affiche alors indique Protection contre le suivi. Autrement dit, contre le pistage sur Internet.


En effet, comme vous le savez sans doute, la plupart des sites Web que vous visitez laissent des cookies sur votre ordinateurs ou votre appareil mobile. Ce sont de petits fichiers contenant du texte avec des informations permettant de vous identifier pour vous reconnaître lors de votre prochaine visite. Mais à côté de ces cookies "légitimes", également appelés cookies propriétaires, il y a des cookies tiers, qui sont créés par d'autres sites – des sites "tiers" donc – qui contiennent également des informations vous concernent. Souvent créés par des régies publicitaires, ils servent à analyser votre comportement lors de votre navigation et donc à vous suivre sur Internet pour connaître vos goûts et vos habitudes. 


Or, pour en finir avec ce pistage permanent de site en site, Google a décidé il y a quelques temps d'en finir ces fameux cookies tiers, tout en incitant les sites et les régies à utiliser d'autres méthodes de ciblage publicitaires, plus respectueuses de la confidentialité des internautes. Et pour accélérer ce changement important, Chrome va progressivement bloquer ces cookies suiveurs. 


Et c'est là qu'intervient l'œil dans la barre d'adresse. Il est là pour vous indiquer les cookies tiers sont bloqués ou pas sur le site que vous visitez. En pratique, si l'icône en forme d'œil est barrée, cela signifie que Chrome bloque les cookies tiers sur la page affichée. En d'autres termes, vous n'êtes pas suivi sur ce site par des cookies provenant d'un autre site. En revanche, si l'icône en forme d'œil n'est pas barrée, Chrome ne bloque pas les cookies tiers sur la page affichée et vous pouvez donc être pisté par des cookies provenant d'autres sites. 


Ce changement de politique de Google est progressif. Depuis le début 2024, le blocage des cookies tiers est activé pour un petit nombre d'utilisateurs de Chrome (1%, ce qui représente tout de même des millions d'utilisateurs dans le monde). Il s'agit surtout de tester l'efficacité de la fonction. Elle devrait être généralisée pour tous au cours du second semestre 2024. Selon Google, cette phase de test à grande échelle "aidera les développeurs à mener des expériences en conditions réelles pour évaluer l'état de préparation et l'efficacité de leurs produits sans cookies tiers".



La désactivation des cookies tiers est d'ores et déjà intégrée dans la dernière version de Chrome, mais pas activée pour tout le monde. Si vous souhaitez tenter l'expérience et la mettre en œuvre, c'est possible. Ouvrez Chrome puis saisissez chrome://flags dans le champ d'adresse et validez. Recherchez l'option Test Third Party Cookie Phaseout et cliquez sur le bouton associé pour le passer  en position Enabled. Après un redémarrage de Chrome, la nouvelle icône en forme d'œil apparaîtra dans le champ d'adresse.Et puisqu'il est possible que l'affichage des pages soit perturbé par le blocage des cookies tiers, vous pouvez heureusement désactiver la fonction. Cliquez sur l'œil et puis désactivez l'interrupteur Cookies tiers. 



Notons pour finir qu'il est assez amusant de voir Google prôner la fin des cookies de suivi, quand on sait que la majorité de ses revenus proviennent de la publicité. En outre, cookies tiers ou pas, Google continuera de vous suivre continuera de vous suivre à la trace et de collecter les données qui l'intéresse, avec votre accord bien entendu : ce n'est pas par hasard que certains qualifient Chrome de "plus grand spyware du monde"... 


REF.: commentcamarche.net

mardi 8 mars 2022

Fin des cookies tiers: comment ajuster sa stratégie marketing?

 

 Fin des cookies tiers: comment ajuster sa stratégie marketing? 

23 février 2022

 

Après plusieurs années à pouvoir facilement suivre les consommateurs, les stratèges marketing doivent revoir leurs pratiques. La fin imminente des témoins de navigation (cookies tiers ou third-party cookies) compromet gravement l’efficacité des stratégies d’acquisition client. Pour vous aider à y voir plus clair, R3 Marketing et Dialog Insight vous ont préparé un dossier complet sur le sujet.

 
Sommaire :
Quels sont les changements dans les réglementations?
Quelles sont les différences entre les types de cookies?
Quel est l’impact sur votre organisation ou votre marque?
Quelles sont les étapes pour ajuster vos stratégies marketing à la fin des cookies?
Quels sont les éléments à considérer dans votre nouvelle stratégie?
Conclusion : que devez-vous retenir?

 

Quels sont les changements dans les réglementations?

Le sentiment d’urgence lié à la collecte des données zéro (zero-party data, ZPD) survient alors que le marché s’éloigne des méthodes de profilage traditionnelles. Tout est déjà en place pour limiter la capacité des spécialistes du marketing à suivre le comportement de navigation et d’achat des consommateurs.

En Europe, l’Union européenne (UE) a intensifié sa législation dans ce domaine. Certains changements sont déjà en place aujourd’hui et d’autres devraient l’être d’ici la fin de 2023. Au début de 2020, Google a annoncé son intention d’éliminer les cookies tiers de son navigateur Chrome d’ici 2022. Cette date a été depuis repoussée à fin 2023. Apple a leur déjà mis fin au printemps dernier sur Safari et a également modifié sa politique d’adoption de l’utilisation de l’identification des annonceurs publicitaires (IDFA) avec la sortie de iOS14. Les utilisateurs de téléphones mobiles Apple doivent désormais consentir au suivi (opt-in) sur une base individuelle.


Ces changements sont dus au fait que les consommateurs sont exacerbés et deviennent de plus en plus méfiants des marques qui prennent leurs données pour les vendre aux plus offrants.

Pour le consommateur, l’utilisation des témoins de navigation (et le « retargeting ») par les marques a généré beaucoup de bruit et de distorsion que nous ressentons tous dans nos boîtes de réception, en ligne et sur nos appareils mobiles. C’est pourquoi les réglementations sur la confidentialité des données continueront de se multiplier dans le monde entier.

 

Quelles sont les différences entre les types de cookies?

Alors que les consommateurs sont plutôt au fait de l’existence des témoins de navigation (ou cookies tiers), il existe en fait quatre sortes de cookies.


Données zéro et de première main

Les données comportementales traditionnelles sont désormais appelées les données de première main (1st party data, FPD) et les données obtenues par le biais des communications, interactions et dialogues avec les clients ont été baptisées les données zéro (zero-party data, ZPD).

Forrester1 définit les données zéro comme « les données qu’un client partage intentionnellement et de manière proactive avec une marque, ce qui peut inclure les données de préférences, les intentions d’achat, le contexte personnel et la façon dont l’individu veut que la marque le reconnaisse. »

Vous ne serez peut-être pas surpris de savoir que les données zéro ne sont pas le type d’informations que les clients sont pressés de partager! Toutefois, si vous posez des questions aux gens dans un contexte qui les intéresse et de façon transparente (en comprenant pourquoi vous posez ces questions), ils sont beaucoup plus disposés à répondre et à partager des informations.

Pour mieux comprendre, prenons l’exemple d’un consommateur sur le site Internet d’un constructeur automobile. Pour sa recherche, l’utilisateur opte pour l’outil de recherche afin de trouver un modèle de voiture précis. Cette action crée un historique de recherche, soit une donnée de première main (1st party data). Afin de quitter le site, le potentiel client utilise le clavardage en direct (chat) afin de connaître les véhicules assez spacieux pour cinq personnes. On parle ici d’une donnée zéro (zero-party data). Même si elles ne sont pas dans la même catégorie, ces données appartiennent toutes au constructeur automobile.

La principale différence dans leur classification est en quelque sorte la valeur de l’information. Dans les cas de données zéro, le client est disposé à partager davantage d’information dans le but d’obtenir un meilleur service ou un produit plus approprié et personnalisé.

Données de deuxième partie

Moins communes, les données de deuxième partie (2nd party data, SPD) représentent le partage (ou la vente) de données de première main d’un client, d’une marque ou d’une compagnie à une autre entreprise. Par exemple : le courriel d’un client d’Air Canada qui procède (ou considère) l’achat d’un billet d’avion est partagé à une chaîne d’hôtel partenaire à la ligne aérienne.

À retenir

Les principales différences à noter sont les suivantes :

Données zéro et de première main (zero et 1st party data)
Témoins de navigation (cookies tiers ou 3rd party data)
Reconnaissance de vos clients et identification de vos prospects
Capacité de rétention de la clientèle
Meilleure connaissance des clients et de leur parcours (consumer decision journey)
Données non partagées et non accessibles par d’autres entreprises
Obtention des données en toute transparence
Gratuites
Votre propriété
Stratégie d’acquisition
Données génériques et non complètes
Données partagées avec une multitude de compagnies, dont vos compétiteurs
Récolte de données sans consentement
Payantes
 

 

Quel est l’impact sur votre organisation ou votre marque?

1. La péremption des stratégies d’acquisition de nouveaux clients

Puisque les cookies tiers servent les stratégies marketing d’acquisition, il deviendra de plus en plus difficile et coûteux d’utiliser ce type de stratégie comme vecteur de croissance.

De nouvelles législations sur la confidentialité des données sont à anticiper. Les attentes croissantes des consommateurs en matière de respect de la vie privée ne feront que contribuer à l’adoption de nouvelles lois et pratiques en termes d’utilisation de données tiers pour des fins d’acquisition de clients.

Une stratégie de croissance basée sur l’acquisition de nouveaux clients ne constitue donc pas une approche viable à moyen ou long terme. Il est impératif pour les entreprises et marques de mettre l’accent sur l’obtention de données zéro et de première main.

2. L’engagement doit devenir une priorité

La COVID-19 a apporté de nombreux changements de comportements chez les consommateurs. Ces derniers n’auront jamais été aussi infidèles tel que le démontre une étude de McKinsey & Compagnie2 :

«Consumers are switching brands at unprecedented rate. The crisis has prompted a surge of new activities, with an astonishing 75 percent of consumers trying a new shopping behavior in response to economic pressures, store closings, and changing priorities. This general change in behavior has also been reflected in a shattering of brand loyalties, with 36 percent of consumers trying a new product brand and 25 percent incorporating a new private-label brand. Of consumers who have tried different brands, 73 percent intend to continue to incorporate the new brands into their routine. Gen Z and high earners are most prone to switching brands.»

Pour survivre à la fin des cookies, une stratégie marketing doit se concentrer sur les relations et l’expérience client. Les dernières années ont démontré que la notion d’engagement client est directement liée à l’augmentation des ventes.

Investir dans des stratégies qui favorisent cet engagement, par le biais des données zéro et de première main, s’avère beaucoup plus efficace et rentable que de consacrer son budget à l’acquisition de nouveaux clients. Les cookies tiers ne permettent pas de développer cet engagement. Même que les consommateurs sont devenus sceptiques à leur sujet. Les entreprises doivent trouver des moyens de développer des relations beaucoup plus authentiques.

Au final, une stratégie de marketing relationnel basée sur la connaissance des clients permettra de contrer la perte de revenus causée par la fin des cookies tiers.

 

Quelles sont les étapes pour ajuster votre stratégie marketing à la fin des cookies tiers?


Étape 1 : Revoir votre stratégie, tactiques d’acquisition et de rétention

Les répercussions du retrait des cookies tiers annoncent une réorganisation de la collecte de données chez bon nombre d’entreprises et d’annonceurs ainsi que chez les agences spécialisées en stratégies et marketing numérique.

L’équipe de Dialog Insight a d’ailleurs écrit un article qui permet de guider les entreprises vers un pivot de leur stratégie numérique pour exploiter les données zéro et de première main.

Puisque l’utilisation des témoins de navigation (et le « retargeting ») deviendra rapidement caduque, il deviendra donc de plus en plus difficile et coûteux de maintenir une stratégie de croissance des revenus en misant principalement sur l’acquisition de nouveaux clients.

L’objectif est de passer graduellement d’un modèle d’affaires basé sur l’acquisition de nouveaux clients à un modèle basé sur une meilleure stratégie relationnelle. Pour y arriver, vous devez augmenter la part ou le pourcentage de vos nouveaux revenus qui provient des clients actuels (grâce à l’augmentation de leur fréquence d’achat et de la valeur du panier moyen). Ne mettez plus votre énergie à chercher à acquérir de nouveaux clients. Une approche relationnelle structurée est toujours plus rentable et vous permet d’atteindre vos objectifs de croissance.

Une stratégie de marketing relationnel repose sur la connaissance des clients qui, elle, repose sur les données client (zéro et de première main) : profil, préférences, comportements d’achat, catégories de produits achetés, etc. Ces données servent à mieux personnaliser vos communications (contenus, offres et promotions) qui sont destinées à vos différents segments de clientèle. Cette personnalisation permet de :

  • Améliorer l’expérience client
  • Augmenter l’engagement
  • Augmenter les taux de conversion (ouverture de l’infolettre, lecture des contenus et redirection vers votre site pour un achat éventuel ou une visite en magasin).
À titre d’exemple, une chaîne de magasins qui vend des produits électroniques de diverses catégories pourrait segmenter ses communications (courriel avec offres/promotions ou infolettre) en fonction des préférences du client ou encore de son historique d’achat. Ce qui veut dire qu’un client dont 80% des achats sont effectués dans la catégorie photographie ne recevra pas une infolettre dont le titre est « Nos nouvelles montres intelligentes sont arrivées », mais bien « Découvrez les meilleurs appareils photo de 2022 ». Idéalement, l’infolettre intégrerait aussi un visuel ainsi que du texte mettant en vedette la photographie.

Développez donc un plan d’action afin de commencer à recueillir des données zéro et de première main sur vos clients (et prospects), et ce, de manière authentique et transparente. Plusieurs tactiques peuvent être utilisées afin de recueillir ces données : demande de complétion de profil, sondages, analyses des données de Google Analytics, analyse RFM des données de ventes en ligne, analyse des données POS, etc. Spécifiez clairement à vos clients comment leurs données seront utilisées. Évidemment, assurez-vous que la provenance de vos données est conforme aux lois sur la protection et l’utilisation des renseignements personnels.


Étape 2 : Faire un audit de votre performance relationnelle

Commencez par vous demander où en vous en êtes d’un point de vue relationnel et ce que vous savez ou ne savez pas sur vos clients. Procédez à un audit de votre stratégie relationnelle. Identifiez les éléments à améliorer et à prioriser en considérant les meilleures pratiques de l’industrie. Quelles sont les tactiques à mettre en place pour obtenir des données client et comment allons-nous utiliser quelles données pour mieux personnaliser nos initiatives de communication?

Quels ressources, consultants ou employés peuvent vous aider pour appliquer les pistes d’amélioration identifiées?

L’équipe de R3 dispose de différents outils d’analyse qui permettent de faire un audit de votre stratégie de marketing relationnel avant la fin des cookies. Nous sommes disponibles pour vous accompagner dans cette démarche.

Étape 3 : Mesurer l’impact d’une meilleure stratégie relationnelle

Posez-vous ensuite les questions suivantes : Comment pouvez-vous créer de la valeur pour vos clients et prospects? Comment une meilleure stratégie relationnelle et la personnalisation peuvent contribuer à vos objectifs de revenus et de croissance?

Pour trouver les réponses à cette dernière question, réalisez l’exercice suivant :

  • Déterminez quel pourcentage de vos investissements marketing devrait être consacré à l’acquisition et la rétention
  • Évaluez combien pourraient vous rapporter annuellement une augmentation du taux de rétention de vos meilleurs clients et de la fréquence d’achat de certains segments
  • Comparez la performance de vos investissements en acquisition clients versus une stratégie relationnelle

Voici en exemple le type d’hypothèse qui permet d’évaluer les revenus additionnels et la rentabilité d’une stratégie relationnelle :

Quel serait l’impact sur l’augmentation des ventes et les marges brutes si…

  • X% de votre meilleur segment de clientèle augmentait sa fréquence d’achat de deux transactions par année?
  • Le taux de rétention annuel de nos deux meilleurs segments augmentait de X%?
  • La valeur de la transaction moyenne des deux principaux segments augmentait de X%?

Étape 4 : Choisir les bonnes solutions technologiques

Il existe de plus en plus de solutions de personnalisation ou de segmentation des communications, et les coûts ne cessent de diminuer. Ne tombez toutefois pas dans le piège courant de choisir ou acheter une (ou plusieurs) solution technologique sans avoir défini vos besoins. Avant même de commencer à échanger avec des partenaires ou fournisseurs potentiels, faites vos devoirs et définissez clairement les éléments suivants :

  • Vos objectifs en matière de collecte de données client et de personnalisation
  • Vos besoins technologiques (centralisation des données client, solution développement et de gestion de campagnes ciblées, outil de « reporting » et de suivi des KPI, outil marketing automation, etc.)
  • Les types de données (zéro et de première partie) que vous souhaitez recueillir et utiliser
  • Le niveau de segmentation et de personnalisation des communications désiré

Considérez pour cet exercice un horizon de trois ans. Les erreurs en matière de choix et d’implantation de solutions technologiques sont souvent coûteuses et « essouflantes » pour les gestionnaires. Prenez donc le temps de bien définir vos besoins et d’évaluer différentes solutions.

Étape 5 : Implanter, tester et ajuster

Votre stratégie de contenu doit fournir de la valeur ajoutée. Donnez envie à vos clients et prospects de passer du temps avec votre marque et de revenir vous voir. Apportez-leur des réponses à leurs questions et répondez à leurs besoins.

Utilisez les données zéro pour :

  • Créer un lien émotif
  • Susciter l’engagement
  • Inspirer la confiance
  • Identifier des ambassadeurs de la marque.

Déterminez quelles tactiques relationnelles sont à prioriser et quelles sont les phases d’implantation de votre stratégie relationnelle. N’oubliez pas de tester et mesurer la performance de vos initiatives de communication grâce à un groupe contrôle ou des tests A/B. Ajustez votre stratégie et vos investissements en conséquence.

 

Quels sont les éléments à considérer dans votre nouvelle stratégie?

Personnalisation

Les données de première main proviennent souvent de vos clients les plus engagés. Ce sont eux qui ont le lien émotif le plus grand parmi votre clientèle et ils représentent une opportunité d’engagement très fort. C’est à ce moment qu’entre en jeu la personnalisation de vos offres et de vos communications. Elle est essentielle pour optimiser votre impact sur vos clients en rendant vos communications pertinentes et pour augmenter vos taux de conversion.

Pour y arriver, il est capital de s’équiper des bons outils pour favoriser une relation avec votre cible. Plusieurs plateformes de marketing relationnel sont à votre portée et permettent d’améliorer l’expérience client.

Des plateformes comme celle de Dialog Insight permettent de gérer vos données clients en un seul endroit. Ainsi, vous pouvez générer des communications pertinentes et personnalisées pour répondre aux besoins de chacun de vos clients, et ce, de manière automatisée en fonction des canaux que vous désirez.

La première impression n’aura jamais été aussi importante. Sur votre site Internet, accueillez vos visiteurs avec des messages de bienvenue uniques ou des visuels personnalisés. Présentez différents avantages pour le client : contenu, essai gratuit, offre spéciale, etc. Personnalisez son expérience en fonction de ses achats passés, son historique de navigation ou de ses clics. Vous favoriserez ainsi vos inscriptions (sign up) et le partage de données.

Ajoutez des fonctionnalités à votre site web comme des filtres produits ou des questionnaires de préférences et de complétion de profil. Elles recueillent ainsi plus d’informations, vous permettant par la suite de mieux segmenter et de personnaliser vos communications au retour des visiteurs.

Référencement et parrainage

Les stratégies de référencement ou de parrainage connaissent un regain de popularité. Nous sommes à une époque où tout le monde est un influenceur à un degré ou à un autre, et les gens aiment partager et parler de ce qui les passionne.

Plusieurs compagnies offrent de généreuses récompenses à ceux qui leur recommandent des clients. Par exemple : chèque-cadeau de 20$, 10 000 points bonis, gratuité, etc. Il est même possible de suivre les codes individuels de référencement afin de développer davantage les profils des consommateurs.

 

Conclusion : que devez-vous retenir?

À la lumière des nouveaux comportements des consommateurs, des changements sur l’utilisation des cookies tiers ainsi que des nouvelles législations à venir en matière d’utilisation des données, acquérir de nouveaux consommateurs deviendra de plus en plus complexe et coûteux. Les entreprises qui tablent sur des stratégies d’acquisition devraient revoir leur approche et possiblement leur modèle d’affaires.

Les changements sont déjà amorcés et les entreprises qui vont tarder à bouger risquent d’être exclues de la discussion numérique. Questionnez-vous dès maintenant sur la répartition de vos efforts et budgets marketing en acquisition.

Et il n’est pas encore trop tard pour passer à une approche plus relationnelle. Sans cookies tiers, votre stratégie marketing doit se tourner vers les données zéro et de première main. Elle devrait se concentrer sur la connaissance des clients, leur rétention et l’augmentation de leur engagement et de leurs achats.

 

REF.:  https://r3marketing.ca/fin-cookies-tiers-comment-ajuster-strategie-marketing/?fbclid=IwAR3dS7BhLuRdMkjnd_DIY-ebopeBGXHrBjssH3o6koM_otUVq15y8yU44mM_aem_ActUjFd_A5plgpEAEuzxqL-bhnQQyUnJy4E2NTLo5isjFgLabfZ6fg11Y5x548rAA_Susjuobnk2vAfo4eQzBtqtoFq19XOnVykWlwtEyGvyni9yER5dNVef8yUMy-jWlkY

jeudi 3 février 2022

L’inventeur des cookies plaide pour leur encadrement sur le Web

 

 

L’inventeur des cookies plaide pour leur encadrement sur le Web

Lou Montulli, l'inventeur des témoins de connexion.

Agence France-Presse

Les célèbres témoins de connexion (cookies), au cœur du débat sur la protection de la vie privée sur Internet, n'ont jamais été conçus comme des outils d'espionnage des activités numériques, selon ce qu'a affirmé leur inventeur dans une entrevue accordée à l'Agence France-Presse.

L'entrepreneur Lou Montulli explique que les témoins de connexion, qu'il a créés en 1994 alors qu'il était ingénieur pour Netscape, ont été conçus dans l'idée de faciliter le fonctionnement d'Internet en permettant aux sites de mémoriser les visites.

« Mon invention est désormais au centre des stratégies publicitaires en ligne, mais ce n'était pas le but, plaide-t-il. Il s'agit simplement d'une technologie de base qui permet au web de fonctionner. »

— Une citation de  Lou Montulli, ingénieur

Les témoins de connexion sont des fichiers grâce auxquels un site peut reconnaître un navigateur précis. Ils rendent possibles des opérations comme l'ouverture automatique de sessions, la publication de commentaires ou l'ajout d'articles dans un panier d'achats en ligne, selon M. Montulli.

Sans les témoins dits internes (first-party cookies, en anglais), utilisés par les sites pour interagir avec les internautes et mémoriser certaines données, chaque visite serait considérée comme la première.

Les témoins tiers dans la ligne de mire

Pour M. Montulli, les vrais coupables sont les témoins tiers (third-party cookies), créés par des sites externes et intégrés aux navigateurs et aux régies publicitaires sur Internet.

C'est seulement grâce à la collusion entre de nombreux sites et les régies publicitaires que les publicités ciblées sont possibles, explique-t-il.

Les sites partagent en effet des données sur les habitudes et les préférences des internautes avec des régies publicitaires, qui les utilisent ensuite pour faire du ciblage.

« Si vous faites une recherche sur un produit de niche un peu bizarre et que vous vous retrouvez bombardés de publicités pour ce produit sur différents sites, c'est une expérience étrange. »

— Une citation de  Lou Montulli, ingénieur

Il est naturel de se dire que si l'on sait que je cherche des chaussures en daim bleu, ça doit vouloir dire qu'on sait tout sur moi, et donc de vouloir sortir de ce système, mentionne-t-il.

Si un site collecte des informations personnelles, comme un nom ou une adresse courriel, il est possible que ces données fuitent et qu'un navigateur se retrouve associé à une personne.

C'est un effet de réseau par le biais duquel tous ces différents sites sont de mèche avec des outils de suivi publicitaire, résume M. Montulli.

À l'instar d'autres groupes technologiques, Google, qui tire la majeure partie de ses recettes de la publicité, a présenté cette semaine un nouveau projet pour bloquer les témoins de connexion tiers.

Amende salée en France

Une annonce faite peu après une amende de 150 millions d'euros (220 millions de dollars canadiens) infligée par la Commission nationale de l'informatique et des libertés (CNIL), gardienne de la vie privée en France, à Google, pour sa politique en matière de témoins de connexion. Facebook a pour sa part écopé d'une sanction de 60 millions d'euros (85,2 millions de dollars canadiens).

M. Montulli tient à rappeler que de nombreux services gratuits sur Internet, comme une recherche Google, sont en réalité payés par la publicité en ligne.


Les «cookies» sont sévèrement encadrés en Europe.

Photo : Getty Images / Leon Neal

Une option serait de cesser le ciblage publicitaire et de le remplacer par des abonnements payants.

L'inventeur n'a rien contre la suppression progressive des témoins tiers, mais prévient qu'une élimination totale de ces fichiers conduirait les publicitaires à recourir à des stratégies plus sournoises.

« La publicité trouvera une solution. Cela deviendra une course à l'armement technologique étant donné les milliards de dollars en jeu, et l'industrie publicitaire fera ce qui est nécessaire pour garder le navire à flot. »

— Une citation de  Lou Montulli, ingénieur

La suppression des témoins tiers, et donc de la publicité ciblée, pourrait par ailleurs pénaliser les sites les plus modestes en les privant de leur principale source de revenus tout en renforçant des géants comme Apple, Google et Meta, la maison mère de Facebook.

Pour M. Montulli, la seule solution viable à long terme est probablement une réglementation qui maintiendrait les témoins tout en instaurant des outils de contrôle, comme la possibilité d'accepter ou de refuser le partage de données.

Le web serait vraiment inutilisable sans les témoins, juge-t-il. Mais il va falloir faire évoluer la façon dont ils sont utilisés par les publicitaires.

 

 REF.:  https://ici.radio-canada.ca/nouvelle/1857793/inventeur-cookies-encadrement-lou-montulli?fbclid=IwAR165KzHeuYtCtCeKT25KInF3ayGs6xZlMu2qwcksryyc_hhLFbOZ4zG8lU

vendredi 31 décembre 2021

Cookie Factory : une expérience pour prendre conscience du pistage publicitaire

 

 

Cookie Factory : une expérience pour prendre conscience du pistage publicitaire

Thomas Coëffé / Publié le 6 décembre 2021 à 11h07

L’Unesco propose une expérience étonnante et bien pensée pour visualiser l’impact du pistage publicitaire.


La plupart des sites web et applications récoltent des données sur leurs visiteurs. Ils les transmettent ensuite à des régies qui personnalisent les publicités. Les professionnels du web le savent, mais les internautes en ont-ils vraiment conscience ? Comprennent-ils vraiment ce qu’il se passe lorsqu’ils cliquent sur « Tout accepter » ? Pour les aider à réaliser l’impact du pistage publicitaire, l’Unesco lance une expérience ludique sur Google Chrome. Il suffit de télécharger l’extension Cookie Factory puis de choisir un persona, parmi près de 40 profils très spécifiques – vous pouvez même créer le vôtre.


Ensuite, l’extension se charge de… simuler la navigation du profil sélectionné, en mode accéléré. Vous avez choisi un hacker ? Préparez-vous à visionner des vidéos YouTube, des résultats de recherche Google et des articles sur le sujet, pendant une minute environ. Pendant ce temps, vous mangez de nombreux cookies, ces derniers contribuant à construire votre « nouvelle identité ».


Une fois la récolte des données terminée, vous pouvez à nouveau parcourir vos sites préférés sur le web. Vous prendrez alors conscience du degré de personnalisation des annonces visualisées ; des publicités sur-mesure, basées sur des cookies conçus très artificiellement. Vous pouvez quitter l’expérience à tout moment et retrouver vos données d’origine (cookies, favoris, historique de navigation, etc.).

Bonjour hacker cracker, comment allez-vous aujourd’hui ? © Capture de Cookie Factory (Unesco)

Avec cette expérience, l’Unesco réussit à expliquer un phénomène complexe par l’exemple. Pour aller plus loin, les internautes intéressés par les impacts du ciblage publicitaire, et par les mécanismes associés basés sur l’intelligence artificielle, peuvent accéder à du contenu pointant du doigt les risques liés à ces technologies. Vous pouvez notamment consulter les recommandations de l’Unesco à ce sujet.

 

REF.:   https://www.blogdumoderateur.com/cookie-factory-experience-unesco/?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

mercredi 1 avril 2020

Cookieviz, une dataviz en temps réel du tracking de votre navigation



Cookieviz, une dataviz en temps réel du tracking de votre navigation


[Nouvelle version 2020] -


 

cookies, cookieviz, traqueurs, web,


 Les experts de la CNIL, dans le cadre d'un des premiers projets du laboratoire d'innovation, ont développé Cookieviz, un outil de visualisation pour mesurer l'impact des cookies et autres traqueurs lors de votre propre navigation. Premier logiciel à destination du grand public développé en interne par la CNIL, CookieViz est en outre un logiciel libre (licence GPLv3) qui peut-être repris par tout un chacun, et auquel vous êtes tous invités à contribuer si vous le souhaitez.
La version de l'outil a été mise à jour en janvier 2020.
Cookieviz 2

Cookieviz est de nouveau opérationnel ! Vous trouverez toutes les informations ci-dessous pour installer et utiliser la nouvelle version de l'outil.

Le logiciel Cookieviz, à télécharger gratuitement depuis le compte Github de la CNIL, analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l'installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations.

Comment l’utiliser ?

1.    Téléchargez Cookieviz sur votre ordinateur : pour Windows (version 64 bits ou version 32 bits), Linux (version 64 bits ou version 32 bits) et pour Mac.
2.    Visitez différents sites (information, réseau social ou plateforme de e-commerce) au moyen du navigateur intégré à l’application.
3.    Cookieviz identifiera un à un les acteurs du web qui ont accès à vos données de navigation. Plus vous naviguez, plus vous verrez le nombre de ces acteurs augmenter sur le graphe !
Si vous êtres webmasters ou éditeurs de site, Cookieviz peut vous permettre d'identifier précisément les régies publicitaires auxquelles votre site web est lié.

Développeurs et experts du web, contribuez au projet open source !

Le code source du logiciel Cookieviz est librement accessible et peut être enrichi par les développeurs. Les plus expérimentés pourront améliorer la version initiale de l'outil, corriger d'éventuels bugs ou développer de nouvelles fonctionnalités...
Vous avez une idée que vous souhaitez partager avec nous pour améliorer ce projet ? Vous avez envie de vous appuyer sur cette base pour construire un projet de pédagogie de la traçabilité numérique ? Contactez l’équipe du laboratoire CNIL par le formulaire de contact sur notre page "à propos de LINC", ou sur le compte GitHub du LINC !

REF.:

jeudi 12 mai 2016

Comment les sites web vous suivent a la trace ?




Les webmasters peuvent suivre toutes vos activités sur Internet - même si vous avez déjà effacé votre historique de navigation et supprimé tous les cookies enregistrés.Un chercheur a démontré deux failles non patchées qui peuvent être exploitées pour suivre des millions d'utilisateurs d'Internet, ce qui permet malveillants propriétaires de site Web:

    
Liste de construction: Pour compiler une liste de domaines visités par les utilisateurs, même si elles ont effacé leur historique de navigation
    
Suivi des cookies: Pour marquer les utilisateurs avec un cookie de suivi qui persisteront même après avoir supprimé tous les cookiesCes deux techniques Navigateur de dactyloscopie abus HTTP Strict Sécurité des transports (HSTS) et contenu Politique de sécurité - nouvelles fonctionnalités de sécurité déjà intégré dans Mozilla Firefox et Google Chrome, et devrait rendre leurs moyens à d'autres navigateurs grand public dans un avenir proche.SI, Les propriétaires de sites Web font de ces fonctions de sécurité contre toi?Un chercheur en sécurité a prouvé exactement le même week-end dernier lors de la conférence de sécurité ToorCon à San Diego.Yan Zhu, un chercheur en sécurité indépendant, a démontré comment les sites Web peuvent abuser des protections HSTS et contenu politique de sécurité pour suivre l'utilisateur le plus paranoïaque, permettant à un site Web pour renifler les domaines visités précédemment d'un utilisateur.Lire aussi: HTML5 Canvas Fingerprint - Web Unstoppable largement utilisé les technologies de suivi.Oui, en dépit de sa relation évidente avec «Rigueur» et «Sécurité», HTTP Strict Sécurité Transport (HSTS) peut être abusé de garder une trace de chaque fois que vous visitez un site Web, même si elle prétend garder votre communication avec ce site plus sécurisé.Difficile à croire?Visitez cette page web

  http://zyan.scripts.mit.edu/sniffly/  
vous dans Chrome, Firefox ou Opera et vous finirez probablement avec une liste précise des sites Web que vous avez et ne l'avez pas visité.Comment fonctionne Sniffly travail?L'exploit des tentatives d'inclure des images non-existantes de divers domaines de HSTS-protégées sur HTTP.Sniffly utilise ensuite JavaScript pour détecter si oui ou non votre navigateur Web peut établir une connexion sécurisée avec ces sites.Comment les sites Web Êtes-vous un suivi en ligneSi vous avez visité le site Web de HSTS avant, il se connecte en quelques millisecondes. Mais, si cela prend plus de temps à se connecter, il y a une chance que vous avez jamais visité le site HSTS avant.Cette technique navigateur d'empreintes digitales est une méthode simple pour renifler une liste rapide des sites qui sécurisé un utilisateur et n'a pas visité. 

Vidéo de démonstration



Zhu a développé ce site proof-of-concept de l'attaque, qu'elle a surnommé Sniffly, pour présenter son attaque, et également affiché son code source sur GitHub. Vous pouvez également regarder la vidéo de sa présentation ci-dessous.
Certificat Épingler Vous Tracks même après suppression des cookiesOutre le suivi de l'historique du navigateur, Zhu a également démontré comment un site peut suivre les utilisateurs de Google Chrome, même s'ils suppriment tous les cookies après chaque visite.Au lieu d'exploiter HSTS, le 'Supercookie' abus de la technique des faiblesses dans HTTP épinglage clé publique (HPKP), également connu sous le nom de certificat épinglage.HPKP est une mesure de sécurité destinée à protéger les utilisateurs contre les certificats faux en permettant des sites Web pour spécifier les autorités de certification ont émis certs valides pour leurs sites Web, plutôt que d'accepter une quelconque des centaines de certificats racine intégrés.Sniffly peut abuser de la norme en épinglant texte qui est unique à chaque visiteur, en lisant ce texte lors de visites ultérieures et en utilisant le texte unique, il serait d'utiliser un cookie de navigateur pour suivre les habitudes du site d'un utilisateur.Peu de Limitations;Cependant, contrairement à un cookie de navigateur, la broche de certificat reste intact même après que les cookies sont supprimés.L'attaque d'empreintes digitales renifleurs développé par le chercheur, par exemple, enregistre uniquement le domaine et sous-domaines, au lieu d'une URL complète. En outre, il ne fait pas le suivi des visites à HSTS-protégées des sites pour le moment.En outre, les résultats ne sont pas exactes pour les personnes utilisant le HTTPS Everywhere plugin navigateur, cependant, ces insuffisances peuvent probablement être surmontés avec des modifications de code et des améliorations à l'avenir.Pour plus de détails en profondeur, vous pouvez vous diriger sur les diapositives PDF.



Source.:

vendredi 3 avril 2015

Les Cookies Monster sont Google et FB

Facebook, comme Google, traque les utilisateurs passifs sans consentement...

Analyse : Que vous soyez utilisateur Facebook ou non, le réseau social suit votre activité sur le Web. Pour cela, il dispose d'un très efficace outil de collecte : les boutons "J'aime" disséminés partout. Mais Facebook est tenu en principe d'obtenir un consentement, sauf à enfreindre le droit européen.

En début d'année, Facebook a mis à jour ses conditions d'utilisation et sa politique de confidentialité. Seule option pour les utilisateurs : approuver ces changements ou renoncer aux services de la plateforme.
Si le réseau social a à cette occasion vanté les avancées dont bénéficieraient les internautes, l'Article 29 a ouvert une enquête à l'encontre de Facebook. Et dans ce cadre, l'équivalent belge de la Cnil a commandé une étude à des chercheurs.

Le bouton J'aime est partout et il collecte

Une première version du rapport a été publiée en février. Le document a été mis à jour le 31 mars, et il enfonce le clou. La BBC relève notamment l'intérêt porté par Facebook aux utilisateurs passifs du réseau social qui font eux aussi l'objet d'une collecte de données.
Non connectés ou tout simplement pas inscrits sur Facebook, ces utilisateurs n'échappent pas pour autant au réseau social. Comment ? Grâce aux plugins sociaux, comme le bouton "Like", disséminés partout sur le Web.
En tout, rappellent les chercheurs belges, ce sont plus de 13 millions de sites, y compris gouvernementaux ou de santé, qui intégreraient sur leurs pages de tels boutons. Et ceux-ci permettent donc, en les couplant à des cookies, à Facebook de collecter des données personnelles - ce même si l'internaute n'interagit pas directement avec ces plugins.
Problème : l'internaute, en particulier lorsque celui-ci n'est pas même membre de Facebook, a-t-il connaissance de ce fait ? Son consentement est-il recueilli par la firme ? L'information figure dans la politique de confidentialité de Facebook, version 2015. La référence à la durée de conservation de 90 jours, autrefois présente, a en revanche été retirée.
Facebook peut-il légalement, de cette façon, collecter les données personnelles des utilisateurs passifs ? Pour les responsables de l'étude belge, la réponse est tout simplement non car le service viole ainsi un point de la législation européenne, et plus précisément l'article 5(3) de la Directive relative à la vie privée.

Pas sur Facebook ? Tant pis pour vous 

En effet, avant de placer tout cookie en lien avec des plugins de cette nature, Facebook devrait en principe obtenir au préalable le consentement de l'internaute. Il n'en est rien. Et pour un non-utilisateur, sauf à lire malgré tout la politique de confidentialité de Facebook, l'information relative à cette collecte ne lui est pas communiquée.
L'analyse juridique de ces chercheurs fait-elle consensus ? Elle est au moins partagée par le gendarme français des données personnelles, la Cnil. Cette dernière, comme le G29, a déjà été amenée à se prononcer sur le sujet des plugins sociaux, mais concernant un autre acteur : Google.
Et cet examen était alors intervenu à l'occasion d'un changement de politique de confidentialité. Ainsi dans le document établi en octobre 2012, la Cnil parvenait à la conclusion suivante : "Pour les utilisateurs passifs, Google ne respecte par l'article 5(3) de la Directive […] concernant les cookies envoyés par DoubleClick, les boutons "+1" ou les services Google Analytics sur des sites Web tiers. Un consentement informé est nécessaire avant que ces cookies puissent être utilisés à des fins de combinaison de données entre services".
Et l'exigence d'un consentement informé s'applique également à une utilisation à des fins de publicité puisque seules deux exceptions sont tolérées. La publicité n'en est pas une. C'est pourtant justement une des finalités déclarées par Facebook de ces cookies. Or les données collectées hors du réseau social grâce à ces plugins sont de plus en plus importantes pour celui-ci alors qu'il développe ses activités et recettes publicitaires en-dehors de ses seuls services et applications.
L'Article 29 avait ainsi considéré en 2012 qu'aucune base légale ne permettait par le biais des cookies associés aux plugins de collecter les données personnelles de non-membres. Et cette base légale fait tout autant défaut pour les membres dès lors qu'ils sont déconnectés. Une analyse que ne partage donc pas, entre autres, Facebook qui dans la version 2015 de sa politique de confidentialité fait état de cette collecte et de son usage à des fins publicitaires, notamment.

Source.:

mercredi 1 avril 2015

Comment Facebook collecte illégalement des données sur tous les internautes ?


Des chercheurs ont décortiqué la surveillance induite par les fameux boutons «Like». Résultat : il est presque impossible de ne pas se faire piéger par les filets publicitaires du réseau social. Et bien sûr, tout ceci est strictement illégal en Europe.


Chargés de réaliser un rapport approfondi sur la collecte de données personnelles de Facebook, les chercheurs de l’université de Leuven (Belgique) viennent de publier une mise à jour (version 1.2), accompagnée d’un rapport technique édifiant sur l’usage du fameux bouton « Like ». Ces deux nouveaux documents montrent les efforts de Facebook pour capter la moindre petite donnée non seulement de ses utilisateurs, mais aussi de tous les autres internautes.
Les premiers - on peut s’en douter - n’ont pratiquement aucune chance d’échapper à l’œil inquisiteur de la firme de Mark Zuckerberg. A chaque fois qu’un utilisateur se connecte à une page qui intègre un bouton « Like », une dizaine de cookies - ces petits fichiers mouchards - sont déposés ou mis à jour sur son ordinateur, que le fameux bouton social soit activé ou non. De cette manière, le réseau sait quels utilisateurs visitent quelles pages, et avec quels navigateurs. Et le fait de se déconnecter de Facebook avant de visiter une page ne change rien : les cookies sont toujours actifs.  Pire : un utilisateur qui décide de désactiver son compte pour sortir de l’univers Facebook a intérêt à bien effacer ses cookies, car Facebook ne le fera pas pour lui et continuera de les utiliser pour le suivre à la trace.

Des cookies qui collent automatiquement aux baskets

Pas grave, me direz-vous, vous faites partie des rares personnes qui n’ont jamais eu de compte Facebook. Vous n’avez donc rien à craindre. Grave erreur ! Il suffit de visiter une page du domaine facebook.com pour recevoir - sans rien n’avoir demandé - une palanquée de cookies qui colleront désormais à vos baskets. Evidemment, le réseau social ne saura pas exactement qui vous êtes, mais il vous assignera un identifiant unique qui sera utilisé dans toutes les analyses marketing futures, et cela, pendant au moins deux ans. Super pratique pour recevoir des publicités sur mesure !
Pour échapper à la pieuvre Facebook, certains d’entre vous auront peut-être le réflexe d’effacer tous les cookies, de vider tous les fichiers temporaires, de réinstaller Windows et de ne plus jamais se connecter sur une page Facebook. Eh bien, ils pourront quand même récupérer des cookies Facebook, grâce à des partenariats noués avec des sites tiers. Une connexion sur les sites myspace.com, okcupid.com, mtv.com, prenatal.es,  digitalnest.in ou kateleong.com, par exemple, va générer un cookie à identifiant unique. Là encore, le code déclencheur est le bouton « Like », voire même le bouton « Connect ».  
Donnez-moi des cookies!!
© Michelle O'Connell (CC)
Donnez-moi des cookies!!

Même le mécanisme d’ « opt-out » est douteux

Mais qu’en est-il alors des utilisateurs qui choisissent volontairement de ne plus être suivis ? Facebook, avec une série d’autres sites, propose en effet un mécanisme de « opt-out » au travers du site European Interactive Digital Advertising Alliance. Mais désactiver le suivi publicitaire de Facebook ne va pas effacer pour autant les cookies déjà présents dans l’ordinateur, et ces derniers continueront d’être utilisés lors de la navigation. Pire : dans le cas d’un profil totalement vierge, un cookie de suivi Facebook est même créé. Certes, dans les deux cas, Facebook rajoute également un cookie qui indique le « opt out » de l’utilisateur. On peut donc supposer que cela signifie que les données récoltées ne seront pas utilisées pour des analyses marketing. Mais le réseau social continue néanmoins sa surveillance. 
Conclusion cinglante des chercheurs : Facebook est clairement hors la loi en Europe. « La législation européenne est vraiment claire sur ce point. Pour être licite, la publicité basée sur le suivi comportemental doit être choisie par l’utilisateur (opt-in). Facebook ne peut pas s’appuyer sur l’inaction de ses utilisateurs pour en déduire un quelconque consentement. Quant aux non-utilisateurs, il n’y a aucune base légale qui pourrait justifier une telle pratique de surveillance », explique Brendan Van Alsenoy, l’un des auteurs de ces rapports, auprès du journal The Guardian. Pour sa part, Facebook estime que ce rapport contient des « imprécisions factuelles  » et souligne que les auteurs ne l’ont « jamais » contacté pour vérifier les hypothèses faites. En même temps, les expériences décrites dans le rapport technique sont suffisamment parlantes...

Comment se protéger ?

Pour ceux qui ne veulent plus se faire suivre à la trace, sachez qu’il existe des extensions de navigateurs qui permettent de bloquer les mouchards publicitaires tels que le bouton Facebook, par exemple Ghostery, Privacy Badger et Disconnect. La configuration est un peu laborieuse, mais ça fonctionne.   
 
 
Source.:

samedi 18 octobre 2014

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.




Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

Voici un exemple:



Si possible, réglez la version minimale de SSL pour votre navigateur (mettons I.E.)qui soutiendra le plus sécure qui est le TLS a la version 1. Autrement dit,si ton navigateur soutient la dernière version du très sécure TLS 1.0(ci-dessus la propriété de internet explorer) ,mais que ton site web lui le SSL 3.0, bien tu es dans marde !(faut mettre minimum le SSL en version 1.0 ou 2.0 lol ! )

Scott Helme a utilement décrit comment désactiver SSL 3.0 dans tous les principaux navigateurs et plates-formes de serveur ICI .




Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: Dans le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir la figure 1). Elle devrait ressembler à quelque chose comme ceci (notez l'espace entre exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1: Désactiver SSL 3.0 support dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci modifié. Lancement du navigateur à partir des icônes de lancement inédites ne fournira pas de protection de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le droit raccourci.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2: Pour désactiver SSL 3.0 support de Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans Internet Explorer, cliquez sur l'icône d'engrenage (paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres à la catégorie de sécurité, et ensuite chercher Utiliser SSL 3.0. Décochez la case (voir la figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les PC sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Windows Components \ Internet Explorer \ Internet \ Page avancée).
Disable SSLv3 in IE
Figure 3 Dans IE, décochez "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; s'attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un simple test, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle n'existe pas. D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, de créer une clé appelée "SSL 3.0." Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez une valeur DWORD appelée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais de caniche exploits.



REF.: