|
|
|
|
Il existe deux façons d'identifier un
utilisateur sur Internet, l'adresse
E-mail et son adresse IP. En effet, l'adresse E-mail est un moyen de
reconnaître une personne sur Internet, ainsi certains services
demandent comme identification que vous leur communiquiez votre
adresse E-mail, ils vous envoient un mail et demandent une
réponse à leur mail en provenance de l'adresse que vous leur
avez communiquée. Toutefois, avec la montée des services
d'E-mail gratuit il devient très facile d'ouvrir une boîte aux
lettres électronique en fournissant des informations bidons...
L'adresse IP est quant à elle à la base de la communication sur
Internet. Elle est, pour la plupart des gens, fournie par votre
fournisseur
d'accès à Internet, et change donc à chaque nouvelle
connexion. Cependant, votre fournisseur d'accès garde des logs
(fichiers journaux) des connexions et permet donc de garder une
correspondance entre vous et l'adresse IP. Toutefois avec les
fournisseurs d'accès à Internet gratuits il devient possible
de se connecter de façon plus ou moins anonyme (seul le numéro
de téléphone d'appel permet une correspondance entre vous et
internet...). Enfin, il existe une technique (le
spoofing IP) qui permet d'usurper une adresse IP afin de se
faire passer pour un autre ordinateur...
- L'adresse E-mail peut-être occultée grâce à des
réexpéditeurs anonymes, ou des services de messagerie
gratuite
- L'adresse IP est quant à elle difficile à dissimuler,
car c'est elle qui permet d'être reconnu comme une machine
sur Internet. Ainsi certaines personnes usurpent l'identité
d'une autre machine, c'est la technique dite du spoofing IP,
qui s'appuie sur les relations d'approbation entre les
machines d'un même réseau. D'autre part, avec les
fournisseurs d'accès Internet gratuits, la relation
personne/adresse IP risque de devenir trouble...
Le courrier peut être envoyé de manière
anonyme grâce à des services appelés "réexpéditeurs anonymes"
qui acceptent les messages arrivants, suppriment l'en-tête et
l'adresse source du message, et insèrent la leur. Cette pratique
est très controversée car certaines personnes l'utilisent à des
fins illégitimes. Toutefois, la période où l'on pouvait
exploiter une faille grâce à un e-mail est révolue.
Dissimuler son adresse
IP est
une tâche extrèmement plus ardue. En effet, l'adresse
IP
d'une machine est unique.
Grâce au protocole
Telnet
il est possible de simuler le fait que l'on est sur une autre
machine, cependant grâce aux journaux (logs) des machines, il
est possible de remonter jusqu'à la source.
Il existe une technique dite du "spoofing" ("usurpation
d'identité") permettant de s'octroyer une adresse IP qui n'est
pas sienne, cela dit cette technique est très compliquée.
|
Depuis que le World Wide Web
existe, les ressources se sont démocratisées et
le flux d'informations circulant sur le réseau
des réseaux n'a cessé d'augmenter. Cependant le
contenu de ces informations n'a pas toujours
évolué dans le bon sens et de nombreuses
personnes se sont vite servies abusivement de
ces ressources...
Ainsi on appelle "spam"
(le terme de pourriel est parfois
également utilisé) l'envoi massif de courrier
électronique à des destinataires ne l'ayant pas
sollicité.
Le Spam consiste à envoyer
plusieurs E-mail identiques (souvent de type
publicitaire) à un grand nombre de personnes sur
le réseau. Le mot "Spam" provient du mot "Spam"
qui est une marque de la compagnie Hormel de
jambonneau.
Pourquoi cette expression?
L'association de ce mot au postage excessif
provient à priori d'une pièce des Monty Python
(Monty Python's famous spam-loving vikings) qui
se déroule dans un restaurant viking dont la
spécialité est le jambonneau "spam". C'est alors
qu'un client commande un plat différent, les
autres client chantent alors tous en choeur
"spam spam spam spam spam ..." si bien que l'on
entend plus le pauvre client...
Les personnes pratiquant l'envoi massif de
courrier publicitaire sont appelées
"spammers", (en français spammeurs), un
mot qui a désormais une conotation péjorative !
Le but premier du Spam est de
faire de la publicité à moindre prix par "envoi
massif de courrier électronique non sollicité" (junk
mail) ou par "multi postage abusif" (EMP).
Les spammeurs prétendent parfois, pour leur
défense, que le courrier est facile à supprimer,
et qu'il est par conséquent un moyen écologique
de faire de la publicité.
Cela est tel, que certains spammeurs défendent
la cause même du spam.
La détermination du Spam se
fait sur un critère de volume. Un courrier
électronique envoyé à 5 ou 6 personnes grâce à
la fonction
CC ne peut pas être considéré comme du "Spam".
On considère en effet qu'un envoi supérieur à 20
messages constitue un spam.
L'indice de Breidbart est une formule
permettant de déterminer si un message constitue
un spam:
D'après cette formule,
lorsqu'un message à atteint un indice Breidbart
de 20 il s'agit nécessairement d'un spam...
Cependant elle ne prend pas en compte la durée
pendant laquelle ces messages ont été envoyés,
il n'est donc pas évident de déterminer si un
message constitue un spam ou non...
Le principal inconvénient du
spamming est l'espace qu'il occupe sur le
réseau, utilisant inutilement une bonne partie
de la bande passante, rendant Internet moins
rapide.
des exemples:
- L'église de Scientologie aurait envoyé
1200 spams en 15 jours sur un groupe de
discussion
- AOL prétend recevoir 1.8 million de
spams provenant de Cyberpromotion par jour
Cela induit des coûts
supplémentaires pour les Fournisseurs d'Accès à
Internet (FAI) car ils doivent:
- mettre en place une plus grande largeur
de bande
- acheter des ordinateurs supplémentaires
- disposer d'un plus grand espace disque
- engager du personnel supplémentaire
Du coup ces frais
supplémentaires se répercutent sur les abonnés,
de par le prix supplémentaire de l'abonnement,
et du temps perdu inutilement...
La chose la plus importante
est de ne pas répondre à ces abus, cela ne
ferait qu'empirer les choses, et rentrer dans le
même jeu que les spammers.
Il ne faut donc pas:
- Menacer les spammers (cela ne ferait
que les énerver)
-
Bombarder les spammers de courrier
électronique
- Pirater le site des spammers
- Utiliser le spamming contre les
spammers (dépourvu de bon sens...)
- Utiliser toute attaque
Inspiré d'un texte de
Eric LABBE |
|
|
|
Quels sont ces
étranges gateaux qu'un site internet
vous a sûrement déjà proposé? La plupart
du temps un serveur vous propose de
placer un cookie, vous ignorez ce terme
et cliquez sur "OK" sans vous préoccuper
de son devenir. Ce cookie est en fait un
fichier qui est stocké sur votre
disque et qui permettra que le
serveur vous reconnaisse la prochaine
fois que vous revenez sur le site de
telle façon à connaître vos préférence
(par exemple les options que vous aurez
coché) pour vous éviter de les resaisir.
|
Le problème de ces cookies
est qu'ils contiennent des informations vous
concernant. En effet, lorsque vous vous
connectez à un site personnalisable, celui-ci va
vous poser quelques questions afin de dresser
votre profil, puis stocker ces données dans un
cookie. Selon le site sur lequel vous vous
connectez cela peut être à votre avantage ou
non...
En effet, si vous vous connectez sur le site
d'un magasin permettant d'acheter en ligne, il
pourra, par le biais d'un questionnaire,
connaître vos goûts et vous proposer des
articles pouvant vous intéresser. Par exemple,
en sachant si vous êtes un homme ou une femme il
pourra vous aiguiller directement au rayon
approprié pour vous faire économiser du temps
(et surtout pour mieux vendre), et s'il sait que
vous êtes amateur de tennis il vous proposera
les derniers articles en la matière. En
revanche, refusez de céder des informations sur
vous à un site ne vous inspirant pas
confiance... il n'a aucune raison de collecter
des informations vous concernant.
En réalité un cookie n'a rien
de dangereux en soi car c'est le navigateur qui
le gère en écrivant dans un fichier des paires
clés valeurs.
D'autre part, les données
stockées dans un cookie sont envoyées par le
serveur, ce qui signifie qu'il ne peut en aucun
cas contenir des informations sur l'utilisateur
que celui-ci n'a pas donné, ou en d'autres
termes: le cookie ne peut pas collecter des
informations sur le système de l'utilisateur.
Ces cookies sont généralement
stockés dans un fichier cookies.txt, vous pouvez
par exemple le mettre en lecture seule pour ne
plus être ennuyé par les serveurs vous les
proposant.
Les cookies font partie des
spécifications du
protocole HTTP, c'est-à-dire le
protocole permettant de surfer sur des pages
web. Le protocole HTTP permet d'échanger des
messages entre le serveur et le client à l'aide
de requêtes HTTP et de réponses HTTP.
Les requêtes et réponses HTTP
contiennent des en-têtes permettant d'envoyer
des informations particulières de façon
bilatérale. Un de ces en-têtes est réservé à
l'écriture de fichiers sur le disque: les
cookies.
L'en-tête HTTP réservé à
l'utilisation des cookies s'appelle
Set-Cookie, il s'agit d'une simple ligne de
texte de la forme:
Set-Cookie : NOM=VALEUR; domain=NOM_DE_DOMAINE; expires=DATE
Il s'agit donc d'une chaîne de caractères
commençant par Set-Cookie : suivie par
des paires clés-valeur sous la forme
CLE=VALEUR et séparées par des virgules.
Voici un tableau des
principales clés (appelées attributs
possibles pour un cookie:
| Attribut |
Valeur |
Syntaxe |
Description |
| NOM_DU_COOKIE |
VALEUR |
Le nom et la valeur ne peuvent pas
contenir les caractères point-virgule
(;), virgule (,) et espace (). Pour
mettre de telles valeur il faut recourir
à l'encodage
URL |
Cet attribut est obligatoire
(c'est d'ailleurs le seul) |
| expires |
DATE |
Jour, DD-Moi-YYYY HH:MM:SS GMT |
L'attribut expires permet de
définir la date à laquelle le cookie ne
doit plus être stocké sur le disque, et
ne doit plus être pris en compte par le
serveur |
| domain |
nom_du_domaine |
xxx.xxx.xxx |
Le nom de domaine est généralement
laissé vide car le nom du serveur est
assigné par défaut (c'est ce que l'on
désire généralement). Lorsqu'il est
indiqué, le nom de domaine doit contenir
au moins deux points (ie www.commentcamarche.net).
Une machine provenant d'un domaine
spécifique ne peut spécifier qu'un nom
de sous-domaine ou son propre nom de
domaine |
| path |
/repertoire |
/chemin/ |
L'attribut path (traduisez
chemin) permet de définir un
sous-répertoire ou un fichier du serveur
sur lequel le cookie est valide, afin de
réduire son champ d'action |
| secure |
aucun |
|
L'attribut secure est
optionnel. Il permet de spécifier que le
cookie sera envoyé uniquement si la
connexion est sécurisée (par
SSL ou
S-HTTP |
 |
- Un cookie ne peut pas dépasser
4Ko
- Un client ne peut pas avoir plus
de 300 cookies sur son disque
- Un serveur ne peut créer que 20
cookies maximum chez le client
|
Lorsqu'un client se connecte
à un site (donc au serveur), les cookies pour le
domaine et le chemin spécifié sont
automatiquement envoyés dans les en-têtes de la
requête HTTP. L'en-tête se présente alors sous
la forme:
Cookie : NOM1=VALEUR1; NOM2=VALEUR2; ...
Un
script CGI (ou autres tel que
ASP ou
PHP) peut alors vérifier la présence du
cookie:
- en analysant les en-têtes dans le cas du
CGI
- en utilisant l'objet
Request dans le cas du script ASP
- en utilisant les variables $NOM1,
$NOM2,... créés automatiquement par le
moteur de script
PHP
| |
- Le cookie n'est pas visible
avant le prochain chargement de
page.
- Il faut savoir que certains
navigateurs ne traitent pas bien les
cookies
- Microsoft Internet
Explorer 4 avec le
Service Pack 1 ne traite pas
correctement les cookies qui ont
le paramètre chemin défini.
- Inversement Netscape
Communicator 4.05 et
Microsoft Internet Explorer 3.x
ne traitent pas correctement les
cookies qui n'ont pas les
paramètres chemin et expiration
définis.
|
|
|
|
