La sécurité sur internet est une notion très abstraite, on clique sur un lien mais qu’est-ce qui se passe exactement à ce moment. Un outil amusant permet de voir la carte des connexions qu’on établit en cliquant sur ce lien et de comprendre facilement quels sont les problèmes de sécurité sur le web d’aujourd’hui.
Fonctionnement d’internet
Au début d’internet pour afficher une page web le navigateur établissait la connexion au serveur, chargeait 1 fichier HTML et éventuellement quelques fichiers images.
Aujourd’hui quand on clique sur un lien on se connecte au moteur d’un serveur qui assemble des centaines de fichiers (ou des milliers selon le site) pour construire la page demandée en fonction du demandeur. Ça se fait presque instantanément et chacun reçoit une page construite selon ses besoins.
Mais les fichiers ne viennent plus seulement du site qu’on visite, on se connecte à un écosystème.
Image d’une connexion
Voici par exemple la carte de toutes les requêtes (connexions) faites pour afficher la page du site de la municipalité de Chertsey (Web Page Test: résultat request map):

Un visiteur connecté à son compte Facebook (ou autre) a en plus déjà établi la connexion vers ce service qui le suit dans sa navigation.
On voit tout de suite qu’en appelant la page de Chertsey on se connecte en fait aussi à une constellation de services reliés au site de Chertsey. Pour pouvoir indiquer le danger d’incendie en temps réel le site est directement relié à celui de SOPFEU; c’est légitime même si ça crée automatiquement une menace de sécurité potentielle.
Mais pourquoi toutes ces connexions vers YouTube, DoubleClick, Google Analytics, CyberImpact, etc… Il y a tellement de connexions établies vers YouTube qu’il est représenté plus gros que chertsey.ca. Ça fait beaucoup de monde qui surveille notre navigation sur le site d’une administration qui devrait être le plus neutre possible.
Écosystème d’un site
L’écosystème de mon site est beaucoup plus simple. J’ai toujours pris grand soin de n’utiliser que des services que je peux contrôler pour ne pas exposer les visiteurs à un traquage publicitaire. Dans la politique de confidentialité j’explique en détail ce qui se passe; tous les liens sont directs et légitimes.
Les sites chertsey.ca et montrealbb.ca ont été construits avec le même logiciel (WordPress). C’est le webmaster qui fait le choix de son écosystème en ajoutant des scripts à son site, pas une fatalité.
Voici quelques autres exemples de sites connus pour bien visualiser; chaque site a son propre écosystème.



On voit la différence entre un site indépendant comme Wikipedia qui ne dépend d’aucune source extérieure et les sites commerciaux actuels qui sont reliés à une multitude de services dont ils n’ont pas le contrôle (c’est le problème).
Socialement responsable
Google a développé un petit outil de statistiques gratuit et très utilisé par les webmasters. Il suffit d’installer un petit fichier et on a des statistiques très sophistiquées pour pouvoir analyser le comportement de ses visiteurs. Il faut quand même accepter les conditions d’utilisation en cochant une case pour que Google en profite aussi.
C’est utile à une compagnie qui veut faire du marketing, sinon un outil simple et indépendant est suffisant, il y en a. Par paresse ou ignorance les webmasters préfèrent aider Google à savoir tout ce qui se passe sur internet mais ce n’est pas une obligation.
Chaque fois qu’on établit une connexion vers un service qu’on ne contrôle pas il y a un risque de sécurité. Aujourd’hui les sites sont de plus en plus complexes et le risque augmente automatiquement.
La municipalité de Chertsey a sans doute installé les scripts de YouTube et Google sur son site par ignorance, je suis persuadé que le but de la municipalité n’est pas d’aider les compagnies privées YouTube ou Google. Mais le webmaster d’une administration devrait savoir ce qu’il fait et être socialement responsable.
Il faudrait aussi bien sûr qu’on nous explique dans une politique de confidentialité affichée sur le site ce qui se passe exactement avec nos données personnelles quand on visite ce site.
Pour protéger ma navigation j’utilise des extensions de navigateur pour bloquer les publicités et les mouchards, voici ce qu’elles affichent quand je visite le site de Chertsey:


C’est quand même anormal de devoir se protéger pour visiter le site de sa municipalité!
La galaxie Facebook
C’est tellement beau que je remets l’image sur un fond transparent.
Et j’insiste, on clique sur le lien Facebook mais en fait on se connecte à tous ces petits points.

C’est tellement complexe que même Facebook a du mal à tout sécuriser, des fuites de données sont régulièrement rapportées.
Pas surprenant que l’internet… est une toile !
Au début c’était une toile qu’on pouvait explorer, aujourd’hui c’est une toile où on se sent de plus en plus pris dans un piège.