C'est un mauvais moment pour être un client de Verizon. Le titan des télécommunications a été pris en train d'injecter des «cookies-perma» dans le trafic réseau de ses clients. Ce mouvement hostile à la protection de la vie privée pourrait faire en sorte que l'activité de navigation des abonnés de Verizon soit correctement suivie sur Internet par des tiers. Et ils ne peuvent rien y faire.
L'attaque fonctionne en modifiant le trafic HTTP pour inclure un élément qui identifie de manière unique un utilisateur. Ceci est ensuite transmis à chaque site Web non crypté visité via leur connexion de données mobile.
Les utilisateurs n'ont pas la possibilité de désactiver ces cookies perma. En outre, la suppression des cookies du navigateur ou la navigation en mode privé n'empêchera pas le suivi de l'utilisateur.
Dans un article de blog, l'Electronic Frontier Foundation (EFF) a soulevé d'importantes inquiétudes à propos de ces cookies perma, les décrivant comme «dangereusement dangereux» et appelant Verizon à cesser immédiatement d'ajouter des métadonnées de suivi à leurs utilisateurs. trafic réseau.
S'adressant à MakeUseOf, le membre du conseil d'administration de l'EFF, Michael Geist, a déclaré: "Les rapports récents des FAI qui suppriment le cryptage des e-mails ou cherchent à suivre leurs utilisateurs renforcent les problèmes de confidentialité associés à l'activité en ligne. En l'absence de lois strictes sur la protection de la vie privée, les utilisateurs doivent fréquemment prendre des mesures en utilisant activement les technologies améliorant la confidentialité. "
Vous pouvez savoir si vous êtes à risque en visitant lessonslearned.org/sniff ou amibeingtracked.com. Mais comment fonctionne la technologie de suivi de Verizon, et y a-t-il d'autres façons pour votre FAI d'interférer avec votre trafic, ce qui pourrait diminuer votre vie privée?
Comment fonctionnent les cookies Perma de Verizon
Le protocole de transfert hypertexte est la pierre angulaire d'Internet. Un composant de ce protocole est 'HTTP Headers'. Il s'agit essentiellement de métadonnées envoyées chaque fois que votre ordinateur envoie une demande ou une réponse à un serveur distant.
Dans sa forme la plus simple, cela contient des informations sur le site demandé et quand la demande a été faite. Il contient également des informations sur l'utilisateur, notamment la chaîne User Agent, qui identifie le navigateur et le système d'exploitation de l'utilisateur sur le site Web.
Cependant, les en-têtes HTTP peuvent également contenir d'autres informations non standard.
Ce n'est pas toujours une si mauvaise chose. Certains champs d'en-tête sont utilisés pour protéger contre les attaques XSS (Cross Site Scripting) Qu'est-ce que le script XSS (Cross-Site Scripting) et pourquoi il s'agit d'une menace de sécurité Qu'est-ce qu'un Cross-Site Scripting (XSS)? vulnérabilités de script sont le plus gros problème de sécurité de site Web aujourd'hui. Selon le dernier rapport de White Hat Security, publié en juin dernier, 55% des sites Web contenaient des vulnérabilités XSS. Lisez la suite, tandis que Firefox propose un champ personnalisé qui demande à une application Web de désactiver leur application. suivi de l'utilisateur. Ceux-ci sont raisonnables et améliorent la sécurité et la confidentialité d'un utilisateur. Cependant, dans le cas de Verizon, ils utilisaient un champ (appelé X-UIDH) qui contenait une valeur propre à l'abonné, et qui était envoyé de manière indiscriminée à tous les sites Web visités.
Il est important de souligner que les cookies perma de Verizon ne sont pas ajoutés sur l'appareil utilisé pour naviguer sur Internet. Si c'était le cas, la solution serait plus simple. Au contraire, les modifications ont été apportées à la couche réseau à partir de l'infrastructure de Verizon. Cela fait de la protection contre cela un sérieux défi.
Ce n'est pas seulement Verizon
Ce n'est pas seulement Verizon qui a été surpris en train d'interférer avec le trafic de ses clients. Un rapport publié récemment a suggéré que certains FAI américains interféraient activement avec le cryptage des courriels de leurs utilisateurs.
Selon les allégations (qui ont été faites devant la Federal Communications Commission), ces FAI (non nommés) interceptent le trafic de messagerie et dépouillent un indicateur de sécurité crucial utilisé pour établir une connexion chiffrée entre le client et le serveur.
Il est à noter que ce n'est pas seulement un problème américain. Des allégations similaires ont également été soulevées par les deux plus grands FAI de Thaïlande, qui interceptent les connexions entre Gmail et Yahoo Mail.
Quand un client d'email 5 des meilleurs clients d'email de bureau qui ne coûtent pas un centime 5 des meilleurs clients d'email de bureau qui ne coûtent pas un centime Vous avez besoin d'un client d'email de bureau pour manipuler votre courrier entrant? Nous vous montrons les meilleurs clients de messagerie de bureau que vous pouvez obtenir gratuitement. Read More tente de récupérer le courrier électronique d'un serveur de messagerie, il établit une connexion sur le port 25 et envoie un indicateur STARTTLS. Cela indique au serveur de créer une connexion cryptée. Une fois que cela a été établi, le client envoie les détails d'authentification au serveur, qui répond ensuite en envoyant un courrier au client.
Alors, que se passe-t-il lorsque le drapeau STARTTLS est supprimé? Eh bien, plutôt que de refuser la connexion, le serveur continue comme d'habitude mais sans cryptage. Comme vous pouvez l'imaginer, il s'agit d'un problème de sécurité majeur, car cela signifie que les messages et les informations d'authentification sont transmis en texte brut et peuvent donc être interceptés par toute personne assise sur le réseau avec un renifleur de paquets.
Il est profondément troublant de voir à quel point certains FAI sont cavaliers quand il s'agit de la sécurité et de la confidentialité de leurs utilisateurs. Dans cet esprit, il vaut la peine de se demander comment vous protéger contre les FAI interférant avec vos e-mails et votre trafic Web.
Pour rester en sécurité, utilisez un VPN
Il existe un remède facile à ces deux menaces de sécurité.
Utilisez simplement un VPN. Un réseau privé virtuel crée une connexion sécurisée entre un serveur distant, auquel tout le trafic réseau est transmis. Soyez ce courriel, web ou autre.
En bref, il encapsulerait toutes les informations dans un tunnel crypté. Tout intermédiaire ne serait pas capable de dire ce qui est transmis ou quel type de trafic réseau il est. Par conséquent, il devient impossible pour Verizon d'identifier les en-têtes HTTP et d'ajouter leurs champs personnalisés.
De même, il devient également impossible d'identifier lorsque l'ordinateur se connecte à un serveur de messagerie, ce qui empêche un FAI de supprimer l'indicateur STARTTLS requis pour créer une connexion de messagerie chiffrée.
Il y a beaucoup d'options à choisir, mais nous adorons SurfEasy chez MakeUseOf.
SurfEasy est une société VPN basée au Canada, avec des terminaux à travers le monde. Ils vous permettent d'être anonymes et d'être protégés contre toute tentative d'infiltration sur votre trafic réseau. Un compte gratuit permet de traiter 500 mégaoctets de trafic sur un maximum de cinq appareils, et vous pouvez gagner des données supplémentaires en invitant des amis, en vous connectant à un second appareil ou simplement en utilisant le produit. L'abonnement d'un an à leur forfait Total VPN supprime la restriction du trafic et coûte 49, 99 $ (ils acceptent les principales cartes de crédit, PayPal, ainsi que Bitcoin).
Nous avons 10 plans SurfEasy Total VPN d'un an à offrir, plus un BlackBerry Z10.
Comment gagner un plan VPN TotalEasy Total d'un an?
SurfEasy + BlackBerry Z10
Le gagnant sera sélectionné au hasard et informé par e-mail. Voir la liste des gagnants ici.
Un régal spécial!
Jusqu'au 2 décembre, SurfEasy propose son plan premium Total VPN avec un rabais incroyable de 50%. Il suffit d'utiliser le code MAKEUSE50 à la caisse pour réduire les prix de moitié.
![Deux façons dont votre FAI vous espionne et comment être en sécurité [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway] BlackFriday](http://www.tipsandtrics.com/img/internet/143/two-ways-your-isp-is-spying-you-4.jpg)
Crédits photo: page d'accueil de courrier Google, page d'accueil Verizon, cookies Internet, menu Email