les widgets des réseaux sociaux sont des chevaux de troie

Partager

 

Le mouvement est venu naturellement : pour être "in", tout site Internet ou page web est obligé de proposer les "+1 Google", les "tweet this" ou les "like" de Facebook.

C'est vrai, il faut le dire, ces petits gadgets ont de la gueule : tout de suite la page web est plus classe. Et si ce qui s'y raconte est intéressant, 1 clic suffit pour propager l'info à des milliers (non, des dizaines de milliers) de personnes qui se précipiteront pour amener du trafic, alimenter le buzz et faire péter les chiffres dans Google Analytics.

des supers mouchards

Le hic dans tous ces gadgets/widgets, c'est que ce sont de super mouchards : grâce à ces widgets, les Google, Twitter et Facebook (pour ne prendre qu'eux), savent quels sites vous consultez... et ce même si vous ne cliquez pas sur le "like" de la page intitulée "Samantha dans sa baignoire avec ses derniers toys high-tech". Les grandes oreilles de Google, Twitter ou Facebook n'en perdront pas une goutte. Mr. Michu est démasqué... :-)

Vous allez me dire, "il se fait un délire du dimanche après-midi le père Audenard"... Et non : le cri d'alarme a été lancé par le site Allemand Heise.de qui s'est mis en croisage contre ces widgets qui envahissent les sites.... et qui propose une solution permettant de conserver sa vie privée.

widgets, widgets... Vous avez dit widgets ?

Ces petits boutons permettent de partager avec vos amis et membres de vos réseaux sociaux une information, le tout en 1 clic et sans se prendre la tête. Effectivement c'est super pratique et nous l'utilisons souvent.

Mais ces widgets, de part leur façon de s'intégrer dans la page web dans laquelle ils s'affichent, envoient des informations sur vous, et tout cela sans que vous le sachiez ni le vouliez ! Le culte du "je communique mes infos en connaissance de cause et uniquement avec mon consentement préalable" vient de prendre un coup dans les gencives.

La plupart de ces widgets sont intégrés dans la page web via des balises HTML qui déclenchent leur chargement lors du chargement initial de la page dans laquelle elles se trouvent.  Elles vont ainsi automatiquement envoyer au site concerné (Google, Facebook ou Twitter) une requête contenant, entre-autres, votre "cookie" Google, Facebook ou Twitter (et bien sur le "referer HTTP" qui va avec)... simple, efficace, redoutable... Souriez, vous êtes pistés ! Pour plus de détails sur comment ces widgets sont intégrés, voir la page de Facebook ICI, celle de twitter ICI et celle de Google+ ICI.

1 clic et j'active le widget, 1 autre clic et je partage

La proposition du site Heise est simple et efficace : les boutons de partage via les réseaux sociaux ne sont activés que de façon explicite (via un interrupteur "on/off") ou suite à un choix par défaut que l'utilisateur aura fait lui-même préalablement.

taginlineimport

Avec ce système, les widgets ne sont intégré au code source de la page web que suite à un consentement explicite de l'utilisateur.... tout est fait dynamiquement. L'utilisateur reprends donc le contrôle. Les réseaux sociaux ne seront donc informés que si l'utilisateur le souhaite : fini l'espionnage !

les widgets des réseaux sociaux : des chevaux de troie

Le danger des réseaux sociaux va donc bien au delà des photos de soirée trop arrosées et publiées sur son compte Facebook. Ces réseaux, de part leur intégration "naturelle" dans le paysage du web par les propriétaires des sites web, se retrouvent dans une position idéale pour collecter des informations  personnelles sur un nombre croissant de personne.

Certains diront que les régies de bannières publicitaires font de même : oui, ils ont tout à fait raison. Mais la grosse différence c'est que les widgets des réseaux socieux sont présents sur des sites sans aucune publicité et qu'ils y sont intégrés tout à fait naturellement par les webmasters.... Comme cheval de troie, c'est super fort ! Très fort !

Oui, ces widgets 'réseaux sociaux"  sont des chevaux de troie. Appelons un chat un chat.

intégrer les widgets "2-clics" dans son site

Le site Heise indique avoir reçu un très grand nombre de demandes concernant ces "widgets" modifiés. En attendant qu'ils publient officiellement un guide de mise en place afin que d'autres sites puissent faire de même, je vous encourage à satisfaire votre curiosité via ce fichier javascript "social_bookmark.js" et la feuille de style CSS "socialshareprivacy.css" : le code est clair et relativement facile à comprendre.

Comme cela n'est pas pour plaire aux réseaux sociaux (tu m'étonnes), Facebook aurait commencé à dire que ces pratiques sont contraires à leur contrat... Le débat est ouvert, on verra bien si les réseaux sociaux sont aussi "sociaux" que cela. De toute façon, comme ce sera une démarche volontaire de chaque site, cela devrait être globalement neutre pour ces géants.

Le top serait d'avoir un plugin dans le navigateur Internet qui modifie à la volée le code HTML et JavaScript afin de modifier les pages web consultées et y intégre cette fonction de choix sélectif.

A suivre...

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)