de Mat Janson Blanchet

Radio-Canada doit rehausser le niveau de sécurité de son site web

Publié le 15 mars 2018

Le site de Radio-Canada utilise une connexion non sécurisée

Ces derniers temps, la propagande et les fausses nouvelles (fake news) sont sous la loupe de plusieurs journalistes. Les médias tentent de rassurer leur public en étant le plus transparents possible. Par exemple, Jeff Yates chez Radio-Canada publie plusieurs articles dans lesquels il déboulonne des mythes populaires qui circulent. Ces efforts sont complètement louables, puisqu’en tant que diffuseur public, Radio-Canada a la responsabilité d’éduquer la population qu’il dessert. Mais dans un monde dans lequel il est reconnu que l’information est primordiale, un diffuseur a également la responsabilité de s’assurer de l’intégrité (au sens de l’état de quelque chose qui contient toutes ses parties, qui n’a pas été altéré) de ce qu’il transmet. Par la présente, je demande à Radio-Canada de se conformer à ses responsabilités et de rehausser le niveau de sécurité de son site web, et par la bande de considérer ne plus diffuser de publicités qui collectent des informations personnelles de ses visiteurs.

Appel à sécuriser les informations publiées

Afin que les lecteurs puissent comprendre l’argumentaire qui suit, il m’est nécessaire de vulgariser et d’expliquer en gros comment les données circulent sur internet. Lorsqu’une adresse web (URL) est entrée dans un navigateur, une requête est faite à un ordinateur distant, le serveur, pour envoyer des fichiers (texte, images, vidéo, etc.) à l’ordinateur de la personne qui veut accéder à un site. Entre le serveur et l’ordinateur personnel, les fichiers passent à travers de multiples serveurs, à plusieurs endroits différents, avant de pouvoir enfin être affichés à l’écran.

Si la requête a été faite uniquement avec HTTP (ex. : http://www.exemple.com), les fichiers peuvent être interceptés et modifiés par n’importe quel serveur ou intervenant avant d’arriver à l’ordinateur personnel. C’est ce qu’on appelle une attaque de l’homme du milieu (man-in-the-middle attack). En gros, il serait possible de changer ce qui est affiché à l’écran, ou dans un cas extrême et rare, de contrôler l’ordinateur personnel.

Dans le cas où la requête est faite avec HTTPS (ex. : https://www.exemple.com), la connexion est sécurisée (d’où l’ajout du « s »), et il devient en gros impossible pour une tierce partie de modifier les données et les fichiers transférés.

Pourquoi tout ceci est-il important ? Actuellement, le site de Radio-Canada n’utilise pas cette technologie essentielle. Cela veut dire qu’il serait possible pour un serveur ou un fournisseur malicieux de changer ou de bloquer certaines nouvelles, sans que Radio-Canada ou vous-même ne le sachiez ! Des internautes ont déjà relaté des situations analogues.

Afin de pouvoir utiliser HTTPS, il faut obtenir un certificat d’une autorité reconnue. Il fut un temps où ce processus était laborieux, compliqué et coûteux. Entendons-nous, Radio-Canada aurait quand même les ressources pour en obtenir un. Il est maintenant possible d’en obtenir un gratuitement et facilement grâce à LetsEncrypt, un organisme à but non lucratif.

Il important de noter qu’à partir de juillet, le navigateur Chrome indiquera que les pages HTTP ne sont pas sécuritaires. Le navigateur de Google représente actuellement presque 60% des utilisateurs du web. Même si ces chiffres peuvent être différents chez les visiteurs de Radio-Canada, les autres navigateurs ne tarderont pas à emboiter le pas.

Sur sa page À propos, Radio-Canada affirme que « [nos] produits et services sont reconnus pour leur excellence et leur caractère indispensable. » Le diffuseur n’a pas d’excuse pour ne pas être à jour et ne pas s’assurer de l’intégrité des informations qu’il publie en ligne, cela fait même partie de ses responsabilités envers son public.

Appel à ne pas faciliter l’invasion de la vie privée par les publicitaires

Comme plusieurs médias, Radio-Canada diffuse également des publicités. Son statut de diffuseur public rend cette situation particulièrement problématique, surtout en ligne. D’ailleurs, plusieurs intervenants ont depuis des années mentionné que le diffuseur devrait se passer des publicitaires. Michael Geist, professeur spécialisé en propriété intellectuelle à l’université d’Ottawa, a écrit un article à ce sujet. Plus récemment, Alain Saulnier, professeur invité à l’université de Montréal, a plus succinctement tweeté ceci :

En plus du problème philosophique que soulève l’idée d’un diffuseur public qui reçoit de l’argent des publicitaires, il y a une facette technique qui s’ajoute. Lorsqu’on parle de l’argent de la publicité, on pense souvent qu’il s’agit simplement de ce que paie un publicitaire afin d’être visible sur un site. Toutefois, la réalité est plus complexe. Les compagnies ne font pas affaire directement avec les sites sur lesquels leurs publicités sont affichées. Des groupes louent un espace sur le site en question, et selon les informations obtenues grâce à la navigation d’un visiteur, une publicité est choisie et affichée. Ces informations sont glanées à travers des cookies et trackers, de petits fichiers textes que le navigateur conserve et que les sites mettent à jour durant la navigation.

En chargeant uniquement la page d’accueil du site de Radio-Canada, une dizaine de trackers sont activés. Afin de mieux comprendre, les voici. À noter que les descriptions ont été rédigées à partir des informations disponibles sur le site de Better, un outil qui permet de bloquer ces trackers.

Adobe (2o7.net, Demdex.net)

Adobe, la compagnie propriétaire de Photoshop et autres outils créatifs, offre également un service qui collecte de l’information sur la navigation web. Ces informations peuvent être vendues à des tiers. Ces informations peuvent contenir des adresses email, des informations de profil Facebook, incluant des noms et des photos.

Chartbeat (chartbeat.com)

Chartbeat offre des services analytiques aux diffuseurs. En d’autres mots, une autre compagnie qui collecte des informations.

ClickTale (clicktale.net)

Une autre compagnie qui collecte des informations.

Full Circle Studies, Inc. (scorecardresearch.com)

Ce service offre à ses clients une recherche de marketing à grande échelle afin de créer le profil comportemental des utilisateurs de site et d’applications mobiles.

Facebook Pixel (facebook.net)

Facebook, l’omniprésent média social, analyse et emmagasine également des informations sur les visiteurs.

Google Tag Manager (googletagservices.com)

Service d’analyses et de collecte d’informations de Google.

Lotame (crwdctrl.net)

Lotame collecte des informations et offre un accès payant à ses données grâce à son Data Management Platform pour des données de marketing. Si on considère que l’URL du tracker a omis les voyelles, on peut le lire crowd control (contrôle de foule), ce qui est un peu menaçant.

Ajout (2018–03–26): Avec le service Web Privacy Check (un service open source), il est possible d’y entrer l’URL d’un site et d’obtenir un aperçu complet. Il y a beaucoup de choses que Radio-Canada pourrait améliorer pour s’assurer que des tierces parties n’ont pas accès à nos informations personnelles.

Capture d’écran du résultat de l’analyse de Web Privacy Check

Toutes ces tierces parties sont présentes au premier chargement du site. De plus, certains de ses services tentent d’ajouter d’autres trackers avec les mêmes intentions d’invasion de la vie privée afin d’en tirer du profit.

Évidemment, plusieurs auront comme premier réflexe de balayer ces collecteurs d’information du revers de la main en se disant qu’ils n’ont rien à cacher, et que de toute façon ses informations sont anonymes. Toutefois, rien n’a moins de valeur que notre nom. Ce qui a de la valeur pour les publicitaires, c’est le comportement et les habitudes des gens, et c’est en fait grâce à ces habitudes qu’on peut identifier quelqu’un de façon précise. De plus, certaines méthodes de collecte d’informations réussissent à collecter des informations sensibles, tels les noms d’utilisateurs et les mots de passe !

Actions à prendre

Radio-Canada veut être à l’affût des nouvelles tendances en technologies, qu’il s’agisse de déboulonner les fausses nouvelles, de s’impliquer en intelligence artificielle, ou même de tenter de participer directement à la concurrence de la culture techno. J’avoue même que les journalistes et les intervenants qui participent à La Sphère soulèvent souvent des questions très actuelles. En plus, l’émission Tout le Monde en Parle a même tenté d’amener ces sujets au grand public avec la présence du journaliste Patrick Lagacé et Luc Lefebvre, président de Crypto.Québec.

Le diffuseur a la responsabilité de protéger le grand public, autant des fausses nouvelles que des risques inhérents à une sécurité laxe. Je réitère donc ma demande à Radio-Canada : prenez les mesures nécessaires afin de vous assurer que vos sites, autant de nouvelles que de divertissement, diffusent tous avec HTTPS. Enfin, veuillez considérer ne plus diffuser de publicités qui tirent profit de votre audience.

-30-

Ce texte a originalement été publié sur Medium.

Mis à jour le 9 juin 2019


Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *