Pixel espion

A l’échine des accrocs aux nouvelles technologies qui se sentent une âme d’un John Le Carré en version 2.0, et provoque des coulées de sueurs froides dans les rangs des DSSI et RSSI de toutes les organisations publiques comme privées aux quatre coins de la planète… Appartenant à la grande famille des APT (Advanced Persistent Threat ou, si vous le préférez en version française, attaques persistantes), le cyber-espionnage a pour but premier (et ultime) de récolter massivement des données en injectant divers virus « dormants » – que dans le jargon spécialisé on appelle les malware – sans être bien évidemment détectés par les outils de sécurité employés par les entreprises ciblées. Pourtant, à côté de ces redoutables malware généralement télécommandés par des États, des grands groupes industriels ou des hackeurs très structurés, se profile une autre forme de suivi et de pistage particulièrement insidieuse parce que quasi imperceptible : le pixel de tracking, plus communément baptisé pixel espion. Principalement utilisé pour le marketing, celui-ci pourrait bien s’avérer, à en croire certains experts en cyber-sécurité, une nouvelle « arme » de frappe pour les cybercriminels.

Depuis maintenant une décennie, cette technologie dite des pixels de suivi ou de pistage se déploie dans des fichiers Office de type Word, Excel et PowerPoint, tout simplement parce que ces derniers peuvent se lier à une image située sur un serveur web distant. Insérer un pixel de ce genre dans un document Office permet ainsi de suivre l’activité d’un document au fur et à mesure qu’il se déplace au sein d’une organisation. Bref, à priori pas de quoi s’inquiéter outre mesure sur l’existence d’une éventuelle face sombre d’un procédé paraissant tout ce qu’il y a d’inoffensif.

Sauf qu’aujourd’hui, ce que l’on appelle communément et avec un brin d’ironie dans la sphère du marketing le pixel espion en clin d’œil à son aspect de minuscule image de lxl pixel, Gif ou ONG, peut se cacher sur un site ou dans un e-mail. Partiellement ou totalement transparent, ou bien encore camouflé dans l’arrière-plan coloré d’une page web, ce pixel de suivi ou de pistage permet de comptabiliser le passage de l’internaute sur une page. Une manière pour les services commerciaux d’acquérir par ce biais des données statistiques pour le marketing online, l’analyse web ou le marketing e-mail. On parle alors de pixel de tracking, de web beacon, de tracking beacon, de pixel invisible, ou encore de web bug. Lequel fichier image envoie une chaîne de code à un serveur web extérieur. Ce code de suivi d’un pixel peut également être écrit pour capturer des informations telles que les adresses IP, les noms d’hôtes, les systèmes d’exploitation, les types de navigateur web, les dates de visualisation de l’image, l’utilisation de cookies et d’autres informations. Si les marketeurs se servent de ces données pour affiner leur stratégie, ce fournisseur mondial en solutions de sécurité du système d’information qu’est Checkpoint Software Technologies estime qu’un cybercriminel peut parfaitement en prendre le contrôle. « Il a, en effet, la possibilité d’utiliser les informations pour identifier les composants de la plateforme Cloud dans l’optique de rechercher les vulnérabilités de logiciels connues qu’il sera ensuite en mesure d’exploiter à des fins d’espionnage ou d’attaque » nous dit cet éditeur.

Un tracking au-delà des limites autorisées

Certes jusqu’à présent, les pixels de suivi n’ont pas été considérés comme la cause directe d’une violation de sécurité. Mais, ainsi que l’affirment les experts de Checkpoint, après avoir constater l’implication de ces pixels espions dans des attaques contre des entreprises, la donne s’est inversée. L’équipe de recherche de sécurité de l’éditeur souligne en effet que les cybercriminels n’hésitent pas à utiliser des pixels espions, y compris là où ces derniers étaient originellement affectés, à savoir dans les fichiers Microsoft Office de type documents Word, les feuilles de calcul Excel, et les présentations PowerPoint. Pour contrer une éventuelle menace, le experts ne sauraient trop conseiller aux organisations de déployer des contrôles de sécurité par courrier électronique et anti-phishing dans leur dispositif Cloud. Ils préconisent, en outre, de conserver tout logiciel fonctionnant dans un univers Cloud et, surtout, d’avoir pour règle générale avant de télécharger des visuels de regarder attentivement l’écran afin de déceler d’éventuels espaces réservés à des image anormales. Celles-ci pourraient s’avérer des pixels qui veulent espionner l’entreprise !

N’y voyons pas seulement une pure spéculation émanant d’esprits un brin affectés de paranoïa aigüe… Il y a quelques semaines, la presse belge dévoilait que les sept sites Internet d’institutions dépendant des autorités flamandes faisaient usage du pixel espion Facebook, qui ne cesse décidemment plus de se trouver au cœur de bien des tourmentes. Un outil uniquement destiné à suivre les visiteurs d’une page web et, ensuite, de les recibler avec des publicités, a tenté de justifier Lisbeth Homans, la ministre flamande de la Fonction publique. Une déclaration qui lui a valu une volée de bois vert de la part de la députée socialiste Katia Segers pour qui l’utilisation d’un tel pixel espion s’avère « inacceptable dans la mesure où le gouvernement flamand facilite une pratique qui a été condamnée par un tribunal pour violation des lois sur la vie privée ». La députée en question n’en a pas moins reconnu l’utilisation par son propre parti de ce fameux pixel espion sur son site officiel ! Cet exemple, qui fleure bon un parfum kafkaïen, révèle que dans la pratique, quasiment aucune entreprise ne demande une autorisation préalable aux destinataires de ses campagnes d’emailing pour leur expliquer ce qu’est un pixel de suivi, comment il est utilisé dans le cadre de celles-ci, et quelles sont les informations récoltées. S’il existe concrètement peu de recours de l’internaute lambda pour s’opposer à être la cible de tels pixels, ce dernier a la possibilité toutefois d’y apporter un garde-fou dans le cas où il utilise le navigateur Chrome et le fournisseur de messagerie électronique Gmail.

Une parade nommée PixelBlock en forme d’extension pour Chrome qui signale à l’utilisateur la présence d’un pixel espion inséré dans un email. Elle lui indique aussi quelle est la source de ce tracking, en affichant une înfobulle lorsqu’il clique sur l’icône rouge de l’œil barré symbolisant le blocage du monitoring de ses activités sur sa boîte de réception. Ne soyons toutefois pas candides ! Même si l’on utilise Chrome et Gmail, il ne faut guère s’imaginer que nos données de navigation seront à l’abri d’une quelconque sorte d’«espionnite ». Google ne reste-t-il pas l’une des entreprises qui traquent le plus les habitudes de ses utilisateurs ?