Un script permet de savoir si les internautes sont connectés à des services Web

Vers des problèmes de confidentialité ?

Un développeur Web anglais vient de trouver un moyen simple de savoir si les visiteurs de son site sont connectés à Gmail, Facebook, Twitter ou Digg.

Mike Cardwell a ainsi écrit un script JavaScript assez simple qui utilise les codes de statut retournés par de nombreux services. Ces retours diffèrent selon que l’utilisateur est connecté ou non. Conséquence, en analysant la réponse, il est possible de connaitre leur statut (connecté ou non).

Le Script fonctionne de manière assez fiable pour Twitter, Facebook et Digg.

Dans ces trois cas, Cardwel exploite le statut HTTP qui est retourné lorsque le navigateur du visiteur rencontre le lien qui se trouve dans son script. Cardwel estime que ce procédé est très efficace car il est très difficile d'éviter l’envoi des codes d’état HTTP.

Pour Gmail, Cardwel, utilise une autre méthode. Il met en ligne une photo dans un dossier public, mais uniquement consultable par les utilisateurs connectés à Gmail. Le Script essaye ensuite de voir si l'image est renvoyée (statut connecté) ou pas (déconnecté).

Ces méthodes fonctionnent sous Chrome, Safari ou Firefox.

Ces Scripts ne sont en aucun cas des exploits (ils ne permettent pas d'accéder aux services avec le compte de l'utilisateur). Mais ils posent question au moment où Firefox et Chrome tentent de trouver des parades au ciblage comportemental publicitaire. Savoir si un visiteur utilise tel ou tel service peut en effet rentrer dans ce genre d'analyse – cachée – des visiteurs.

Autre souci souligné par Mike Cardwell, étendre cette méthode permettrait de tracer un internaute, même de manière partielle, en sachant quel site il visite régulièrement (ceux pour lesquels il a choisi de se connecter automatiquement par exemple). Des plus évidents (Facebook, Gmail, etc.) aux plus « sensibles ».

Source : Blog de Cardwel

En collaboration avec Gordon Fowler