#ConfinementJour21 - Analyse de l'attestation numérique fournie par le gouvernement 🇫🇷👇
- Les premières analyses de Numérama sont correctes:
numerama.com/tech/615592-co…
- Pas d'envoi de données
- QR Code en clair avec date de génération
En revanche... 1/
- Les premières analyses de Numérama sont correctes:
numerama.com/tech/615592-co…
- Pas d'envoi de données
- QR Code en clair avec date de génération
En revanche... 1/
Une requête de téléchargement du formulaire vierge est envoyée à chaque téléchargement, avec deux cookies:
incap_ses_467_783176
visid_incap_783176
Le premier est lié à la session, et regénéré lorsqu'on ferme et rouvre la page.
Le second en revanche est valable pour un an. 2/
incap_ses_467_783176
visid_incap_783176
Le premier est lié à la session, et regénéré lorsqu'on ferme et rouvre la page.
Le second en revanche est valable pour un an. 2/
C'est donc inquiétant: grâce au cookie visid_incap_783176, le gouvernement peut pister les requêtes de génération de formulaires, avec un identifiant unique par visiteur valable pour un an.
Il y a également un 3e cookie: ___utmvc, qui contient un paquet de données.. 3/
Il y a également un 3e cookie: ___utmvc, qui contient un paquet de données.. 3/
Ce cookie ne dure pas longtemps, quelques secondes à peine. C'est plus son utilisation qui est intéressante: un pixel de tracking !
Plus précisément, vers une route /_Incapsula_Resource
4/
Plus précisément, vers une route /_Incapsula_Resource
4/
Incapsula est un service Américain qui peut servir à la mitigation d'attaques DDoS, ou à la livraison optimisée d'applications web. En l’occurrence ici, je ne vois pas trop ce que le pixel de traçage vient faire là.
en.wikipedia.org/wiki/Incapsula
5/
en.wikipedia.org/wiki/Incapsula
5/
Qui plus est, media.interieur.gouv.fr résoud vers l'IP 152.199.19.183, qui est située...
En Virginie, aux USA 🇺🇸
Sûrement car le service d'Incapsula utilise ses propres serveurs.
6/
En Virginie, aux USA 🇺🇸
Sûrement car le service d'Incapsula utilise ses propres serveurs.
6/
Donc en gros, ça sent moyen bon tout ça:
- Les cookies peuvent pister la génération des formulaires
- L'info de génération est envoyée à une entreprise Américaine
(pour une fois, ce n'est pas Google)
Positif:
- Les infos personnelles restent en local
7/
- Les cookies peuvent pister la génération des formulaires
- L'info de génération est envoyée à une entreprise Américaine
(pour une fois, ce n'est pas Google)
Positif:
- Les infos personnelles restent en local
7/
Comment utiliser ce service de manière privée et sécurisée ?
- Passez en mode incognito sur votre navigateur (ça règle le problème des cookies)
- Fermez la page une fois le formulaire généré
- Rouvrez une nouvelle page pour chaque génération, toujours en incognito
8/
- Passez en mode incognito sur votre navigateur (ça règle le problème des cookies)
- Fermez la page une fois le formulaire généré
- Rouvrez une nouvelle page pour chaque génération, toujours en incognito
8/
Alors oui, c'est relou de re-rentrer ses informations à chaque fois. Mais n'oublions pas:
- Un confinement strict est la seule manière de réduire l'exposition au COVID-19
- Ces dérogations doivent être exceptionnelles
En gros: #RestezChezVous 😘
- Un confinement strict est la seule manière de réduire l'exposition au COVID-19
- Ces dérogations doivent être exceptionnelles
En gros: #RestezChezVous 😘
Pour ceux qui se poseraient la question du RGPD et de la légalité du pistage sans opt-out, le point est soulevé dans la politique de confidentialité:
media.interieur.gouv.fr/deplacement-co…
Cela dit, vu qu'ils utilisent des cookies limités au bon domaine, pas sûr que ces réglages s'appliquent..
media.interieur.gouv.fr/deplacement-co…
Cela dit, vu qu'ils utilisent des cookies limités au bon domaine, pas sûr que ces réglages s'appliquent..
🧑💻 Pour info, le code source de l'application a été publié et est disponible ici:
github.com/LAB-MI/deplace…
github.com/LAB-MI/deplace…
