Le mouchard d'Amazon


Pour réagir à cet article, utilisez notre forum

 

Le 23/01/2000



Le New York Times rapporte le 30 décembre 1999, que la célèbre librairie en ligne aux 13 millions de clients, Amazon, a fait l'objet d'accusations publiques sur sa politique en matière de protection des données privées, après la découverte d'un mouchard dans zBubbles un compagnon logiciel pour Internet Explorer.

Au centre de la polémique la société Alexa et son plug-in du même nom, qui se greffe sur le navigateur Internet Explorer pour servir de « compagnon » à l'internaute : dès qu'il visite un site Web, Alexa le renseigne sur d'autres sites similaires. C'est l'équivalent du bouton « Related » (infos connexes) de Netscape 4 et qui fait défaut au navigateur de Microsoft.

Alexa est rachetée par le libraire quelques mois plus tôt pour devenir l'élément fondamental d'une nouvelle technologie chez Amazon : zBubbles. Ce moteur de comparaison des prix croise les habitudes de consommation avec les offres marketing des marchands en ligne. Par exemple si l'utilisateur sélectionne un titre de livre, le serveur d'Amazon lui proposera, en temps réel, une sélection de titres équivalente en genre.

De par son rôle Alexa, va être amenée a accumuler une quantité énorme de données nominatives.

C'est là qu'arrive notre héros : Richard Smith que l'on ne présente plus aux habitués de BBI. Consultant en sécurité chez Brookline Mass (Massachusetts) et directeur de Phar Lap Software, société éditrice de logiciels.

Armé de son inséparable analyseur de réseau (packet sniffer) il découvre que les fonctionnalités de zBubbles constituent une violation de deux lois américaines qui protègent l'internaute contre toute intrusion furtive dans leurs systèmes informatiques.

En effet Richard Smith a pu démontrer comme nous allons le voir qu'il rend possible la récolte de noms, adresses privées, e-mails, numéros de téléphone, etc. et même que ces informations peuvent-être communiquées aux sites marchands pour leurs statistiques !

Richard Smith décide de porter plainte devant la Federal Trade Commission (FTC) la commission de régulation des Télécoms. Les deux protagonistes, Amazon et Alexa se renvoient la balle. La FTC va devoir trancher.

Voici la traduction du contenu de la page Web de Richard Smith :


« Ce matin, j'ai téléchargé
zBubbles, le nouveau plug-in d'Amazon. En utilisant un analyseur de réseau qui peut analyser le trafic réseau entre mon ordinateur et l'Internet, j'ai découvert sous certaines circonstances, zBubbles envoie des données personnelles aux serveurs Web d'Alexa qui gère ce service pour Amazon, et qui en est d'ailleurs une filiale.

Je crois que la transmission de ces données personnelles est une infraction des règles d'utilisation de zBubbles. En outre, le logiciel peut également violer un certain nombre de lois fédérales...
[...] La fuite de données privées est extrêmement sérieuse...


Le problème de confidentialité est que le plug-in zBubbles, transmet directement la requête comprenant l'adresse URL du site visité. Pour certaines pages Web, la requête peut contenir des données personnelles telles que des noms, des adresses, des numéros de téléphone, et e-mail.

Les chaînes de caractères de requête peuvent également inclure des informations sur ce que les gens recherchent, quels produits ils achètent, et des réservations de voyages.

Aucun progiciel ne devrait jamais transmettre ce genre d'information personnelle à une autre partie sans connaissance et consentement de l'utilisateur.

Voici un exemple du problème. Sur AltaVista, il y a un lien vers une page Web pour rechercher des numéros de téléphone dans les Pages Jaunes. On peut limiter la consultation pour localiser seulement des entreprises près de son domicile. AltaVista demande aux utilisateurs leur adresse privée afin de déterminer des entreprises voisines. Cette information est alors stockée dans la chaîne de caractères de requête de l'URL d'AltaVista. Si le plug-in ZBubbles est en activité cette information transite via AltaVista, puis Alexa et Amazon.

Voici ce que mon analyseur de réseau a "vu" quand j'ai visité la page d'AltaVista :


GET /data?cli=10&dat=snbamz&url=live.av.com/scripts/search.dll
%3Fep%3D7%26gca%3Daddress%26orderby%3Ddistance%26sstreet%3D
172+mason+terr%26scity%3Dbrookline%26sstate%3DMA%26
szip%3D
02446%26scountry%3DUSA%26query%3Dfurniture%26qname
%3D%26sic%3D%26ck%3D%26userid%3D161421220%26userpw%3D.
%26uh%3D161421220%2C0%2C%26ccity%3Dbrookline%26cstate%3DMA
HTTP/1.0
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: data.alexa.com
Proxy-Connection: Keep-Alive crunch!

Cookie: aid=FKbUlpTAUbKfM2

Comme vous pouvez le voir (ici en gras), mon adresse privée complète (172 Mason Terr, Brookline, MA, 02446) apparaît encodée dans l'URL !

Je crois que la transmission de données personnelles par le plug-in zBubbles est une violation du contrat sur le respect de la vie privée de zBubbles, qui se trouve sur : (http://zbubbles.amazon.com/privacy.html) et qui fait partie de la licence et agréments d'usages (licence d'utilisation) de zBubbles sur : (http://zbubbles.amazon.com/terms.html). »



Quelques exemples, d'URL qui violent la vie privée des utilisateurs :


"Alexa récupère mon adresse complète quand je consulte les pages jaunes sur AltaVista :

GET /urlplus/=?live.av.com/scripts/search.dll?ep=7&gca=address&
orderby=distance&sstreet=
172+mason+terr&scity=brookline&sstate=MA&
szip=
02446&scountry=USA&query=furniture&qname=&sic=&ck=&
ccity=brookline&cstate=MA HTTP/1.0

 

Alexa recupère le nom de mon compte messagerie sur Hotmail :

GET /urlplus/=?lw3fd.law3.hotmail.msn.com/cgi-bin/compose?WCID=hmletterIN&
disk=209.185.240.65_d573&
login=avhunt&f=33792&curmbox=ACTIVE&_lang=&
msg=MSG945396515.110&src=k.law3.hotmail.com:/home/d1/surveys/
hmletterIN.991214:5965&type=f HTTP/1.0

 

Alexa récupère mon adresse e-mail personnelle :

GET /urlplus/=?hotwired.lycos.com/email/signup/wirednews-ascii.html?
listname0=wn_ascii&output=success&email=
smiths@tiac.net HTTP/1.0"
 

Nous avons posé des questions à Alexa par e-mail afin de savoir s'il existait un Patch pour les problèmes de violation de la vie privée dont zBubbles fait l'objet. En retour quelques URL issues d'une FAQ -Frequently Asked Questions- (Questions les plus posées) nous sont parvenues :

Est-ce que Alexa surveille tout ce que je fait ?
http://www.alexa.com/support/index.cgi?answer=privacy_issues.txt&index=21

Comment puis-je désinstaller Alexa ?
http://www.alexa.com/support/index.cgi?answer=how_to_uninstall.txt&index=14


Mais surtout, chose peu banal, chaqu'une de ces URL (que nous avons simplifiées ci-dessus) sont associées à un paramètre optionnel (subquestion) qui contient le corps du message envoyé contenant la question posée, signature inclus !!! Histoire d'identifier la personne qui se connecte aux FAQ afin d'obtenir la réponse à ses questions... Une chose est sûre... chez Alexa Big Brother is Watching You !

Le lien complet :
http://www.alexa.com/support/index.cgi?answer=how_to_uninstall.txt&index=14&subquestion=Hello,Where can i download the Patch for resolve zBubbles privacy problems ?Thanks. M. DUBOIS FRANCE

 Jeff Bezos le fondateur de la librairie en ligne Amazon.com vient d'être élu Homme de l'année par le magazine Times pour sa vision avant gardiste du e-commerce...


Denis Dubois.



Pour en savoir plus :


La page de Richard Smith sur zBubbles-Amazon

Le site Web d'Alexa (où télécharger zBubbles)

L'article de ZDNet du 5 janvier 2000



Page précédente


Les marques et logos mentionnés sont déposés par leurs propriétaires respectifs.