|
LA PREHISTOIRE
Au début du Web, publicité et commerce n'étaient pas représentés sur Internet. Les seuls dangers qui existaient, pour la confidentialité des données en transit, se situaient essentiellement au niveau de l'e-mail et de la protection des serveurs connectés en permanence au Réseau (et de l'IRC, dans une certaine mesure). De fait, lorsqu'un e-mail est envoyé vers un correspondant, il doit passer par plusieurs routeurs qui l'aiguilleront vers la bonne direction. Et sur chacun d'entre eux, il existe un risque d'interception (volontaire, ou involontaire en cas d'erreur ou de dysfonctionnement du serveur). La parade était, et reste toujours, compliquée : il faut crypter tout ce que vous envoyez, avec des logiciels spécialisés dont le fonctionnement n'est pas toujours simple à comprendre, si vous voulez être vraiment sûr que vos messages restent confidentiels.
En ce qui concerne la sécurité des serveurs sur Internet, les hackers existaient bien avant le Web et les intrusions concernaient uniquement de véritables serveurs et réseaux, et non les machines des particuliers (des postes isolés). Mais, avec le temps, une nouvelle vague d'intrusions est apparue, plus vicieuse. Et cette fois-ci, elle s'en prend plus particulièrement aux machines des particuliers, et non aux serveurs ou réseaux privés connectés à Internet.
Pour commencer, certaines techniques ressemblaient plus à de la "bidouille". Et dès 1996, on pouvait déjà exploiter certaines spécificités techniques à partir du navigateur Netscape. Citons, par exemple, la récupération d'une adresse e-mail d'un internaute qui visite un site Web. La méthode ? Elle n'a rien d'exceptionnelle et marche une fois sur deux : il suffit de placer une image, stockée sur un serveur FTP, dans une page Web. De cette façon, lorsque l'utilisateur transfère le document à partir du serveur HTTP, une connexion de type anonyme s'établit dans le même temps sur le serveur FTP pour récupérer l'image et l'afficher sur la page. Or, certains le savent peut-être déjà, Netscape transmet par défaut votre adresse de courrier électronique, si vous l'avez inscrite dans les paramètres de configuration du programme, lorsque vous vous connectez sur des serveurs FTP en mode anonyme. Dès lors, il suffisait ensuite de programmer un petit script (en Perl, généralement) pour extraire automatiquement les adresses e-mail et IP des fichiers log du serveur FTP. Puis, il devenait ainsi aisé, à partir du fichier log http, par exemple, de reconstituer toute la navigation des clients sur votre site, dont vous connaissiez pour certains l'adresse e-mail. Très utile pour le département marketing qui peut ainsi exploiter ces données dans leurs statistiques et autres études. Mais, comme nous l'avons souligné, cela ne marchait pas toujours. Et comme vous vous en doutez, les techniques ont beaucoup évoluées depuis.
|
