Les publicités Amazon dans Ubuntu ne respectent pas votre vie privée


Amazon
Les publicités d'Amazon dans Ubuntu ont fait couler pas mal d'encre ces derniers temps. Vous êtes d'ailleurs environ 80% de lecteurs de Tux-planet à ne pas trop apprécier ce système. Et bien sachez que l'histoire n'est pas encore terminée. Le site Electronic Frontier Foundation vient de mettre en évidence un sérieux problème concernant le respect de la vie privée des utilisateurs d'Ubuntu.

Pour bien comprendre le sujet, il faut s'attarder un peu sur le fonctionnement de ces publicités. Lorsque vous faites une recherche dans le Dash d'Unity, une requête sécurisée (HTTPS) est envoyée au serveur productsearch.ubuntu.com. Celui-ci s'occupe alors d'interroger Amazon et vous retourne ensuite une liste de résultats. L'utilisation d'un serveur mandataire permet ici d'assurer votre anonymat auprès d'Amazon, et jusque là tout va bien (à condition de faire confiance aux serveurs d'Ubuntu, mais on le fait déjà pour les mises à jour).

Schéma du fonctionnement des requêtes de Unity vers Amazon

Le problème de vie privée concerne la deuxième phase de traitement de ces données. Une fois que le système a détecté que votre recherche doit comporter des résultats d'Amazon, votre ordinateur est invité à télécharger une liste d'images en HTTP auprès de leurs serveurs, qui seront affichées sur votre écran. La communication passe alors en clair sur le réseau et à partir de là, il est assez facile pour une personne mal intentionnée de sniffer le trafic réseau (ex: sur un réseau Wifi), et de deviner ce que vous avez saisi sur votre ordinateur, en se basant sur la liste des images retournées.

Les publicités Amazon dans Ubuntu

Ce genre de problème est à mon avis assez facile à corriger, il suffit que les développeurs d'Ubuntu et d'Amazon fassent en sorte de chiffrer toutes les connexions en HTTPS et le tour est joué. En attendant, je vous rappelle que ce système de publicité se désactive assez facilement, il suffit de consulter cette page et de suivre les indications.

Bonus : Proof of Concept (PoC)

Allez, je vous rajoute un petit PoC pour vous montrer que le problème est bien réel et facile à exploiter. Nous allons ici utiliser le logiciel Driftnet, qui est spécialisé dans la capture d'images sur un réseau non sécurisé. Il suffit simplement d'utiliser les deux commandes suivantes pour l'installer et le mettre en place :

sudo apt-get install driftnet
sudo driftnet -i eth0

Une fois le logiciel lancé, une nouvelle fenêtre s'ouvre et vous affiche en direct toutes les images qui passent par votre réseau. Un exemple après avoir saisi le mot "sexe" dans le dashboard 'Unity :

Poc avec Driftnet

A partir de là, il est facile d'espionner les utilisateurs d'Ubuntu 12.10 et de savoir ce qu'ils font sur leur ordinateur.


11 Commentaires pour "Les publicités Amazon dans Ubuntu ne respectent pas votre vie privée"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Le problème soulevé est plus un problème de sécurité qu'un problème de vie privée.
    Par contre, Tux-Planet pourrait-il éviter de confondre volontairement résultat de recherche et publicité ?
    Ah moins bien sûr qu'un peu d'objectivité soit moins vendeur que les titres sensationalistes comme celui de cet article.

    Cordialement

    RépondreRépondre
    Winael , le 30 octobre 2012 à 03:48
  •  

    @Winael : "Tux-Planet pourrait-il éviter de confondre volontairement résultat de recherche et publicité ?"
    Franchement, chacun sa définition de la publicité mais à partir du moment ou tu te retrouves avec un truc que tu n'as pas demandé et un prix dessus, c'est clairement de la pub.

    "Ah moins bien sûr qu'un peu d'objectivité soit moins vendeur que les titres sensationalistes comme celui de cet article."
    Ridicule.

    RépondreRépondre
    Talva , le 30 octobre 2012 à 08:10
  •  

    @Winael : à mon tour, peux-tu arrêter de te voiler la face et prendre conscience qu'il s'agit ici bien de publicités.

    Je persiste et je signe en reprenant mon commentaire sur un article du même sujet :

    "quand tu tape "bbq" dans le dashboard et qu'on te propose d'acheter un Barbecue à 39,99€, livraison gratuite, dès le premier résultat, ça s'appel de la publicité et pas autrement !!!"

    A partir de là, je ne suis pas près d'arrêter d'utiliser le terme publicité pour aborder ce sujet.
    Désolé, mais j'ai vraiment l'impression que c'est toi qui fait fausse route là-dessus... :-/

    RépondreRépondre
    pti-seb , le 30 octobre 2012 à 09:06
  •  

    @pti-seb : Salut. C'est le fait qu'il y a ait de la publicité dans les résultats de tes recherches qui te dérange ou juste son implémentation (niveau sécu, UI ...) ?
    Personnellement, si elle n'est pas trop intrusive, centralisée, et respecte ma vie privée, je pense que c'est une bonne solution sur la question du financement du développement de la distribution.

    RépondreRépondre
    MartialGeek , le 30 octobre 2012 à 09:32
  •  

    @MartialGeek : ce qui me dérange, c'est de rechercher quelque chose et d'être spammé par des résultats qui non rien à voir. Mais ça, faut le tester pour le comprendre (visiblement tu n'as pas pris le temps de le faire...).

    Pour moi, ce système devrait être désactivé par défaut, avec à la rigueur une option à l'installation à cocher pour ceux qui trouve ça bien, un peu comme pour l'ajout de dépôts tiers.

    RépondreRépondre
    pti-seb , le 30 octobre 2012 à 12:10
  •  

    Je ne comprends pas.

    Les requêtes de recherchent passent par le proxy chez Canonical, mais les résultats de recherche vont directement sur la machine de l'utilisateur ?

    RépondreRépondre
    hr0 , le 30 octobre 2012 à 12:18
  •  

    @hr0 : tout passe par les serveurs de Canonical, sauf la récupération des miniatures des images, qui elles passent par les serveurs d'Amazon en HTTP. Le problème est là.

    RépondreRépondre
    pti-seb , le 30 octobre 2012 à 12:20
  •  

    @all : je viens de rajouter un Proof of Concept (PoC) pour montrer à quel point ce problème est réel et facile à exploiter.

    RépondreRépondre
    pti-seb , le 30 octobre 2012 à 12:50
  •  

    Donc si la récupération des vignettes se fait directement chez Amazon, l'utilisateur est exposé. Sa vie privée n'est pas respectée.

    RépondreRépondre
    hr0 , le 30 octobre 2012 à 19:30
  •  

    Le problème n'est pas les publicités mais plutôt la non utilisation du chiffrement à partir du client.
    Dans ton PoC, je suis d'accord avec toi, mais le sniffing est également dangereux si l'utilisateur n'est pas en httpS, ce avec n'importe quel OS... Publicité ou pas.

    RépondreRépondre
    obei1knobe , le 30 octobre 2012 à 21:46
  •  

    Sur le principe, le fait de proposer de la pub dans les recherches ne me choque pas, Ubuntu est une distro commerciale, il faut bien qu'elle vive. Ceux qui ne sont pas contents désactivent cette fonctionnalité ou changent de distro. Je dirais même que ce n'est vraiment pas grand chose que Canonical touche un pourcentage des achats sur Amazon via Ubuntu vu le nombre de personnes qui n'ont jamais contribué (financièrement ou autre) à Ubuntu bien qu'ils l'utilisent depuis des années.

    Mais effectivement les serveurs de Canonical ne font le boulot qu'à moitié et c'est d'autant plus pernicieux que lorsqu'ils ont annoncé que les communications étaient chiffrées, je supposais comme (presque) tout le monde que c'était le cas dans les 2 sens alors qu'en l'occurrence ça ne l'est pas.

    Qu'Ubuntu soit un portail vers Amazon ou Steam ou tout autre site marchand oui, mais qu'ils le fassent bien.

    RépondreRépondre
    DocGreen , le 30 octobre 2012 à 21:52
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum