En 2016, si les résultats de recherches sont moins nombreux, on peut toujours accéder à de nombreux contenus similaires.
On a trop vite tendance à l'oublier: tout ce que l'on place sur Internet, ce qu'on balance en dehors de nos disques durs sur des serveurs qui ne dépendent en rien de nous, sans prendre plus de précaution, est potentiellement accessible à tous. Même si le caractère nébuleux du fameux «cloud», de cette métaphore qui désigne le réseau, semble rendre l'opération secrète, voilée et donc sans risques, il n'en est rien.
Des RIB, des vidéos de vacances... et des photos très, très intimes
Cette fois, ce sont les créateurs de pages perso sur Internet qui en font l'amère expérience. Et en particulier les fidèles de Free, qui sont les plus touchés, car tout le contenu qu'ils ont placé sur leur espace se retrouve en réalité facilement sur Google, et pas simplement les images volontairement placées dans un article tout aussi volontairement publié sur ces pages.
Sont accessibles tous les fichiers adossés à ces sites personnalisés (qui se présentent sous la forme de machin.free.fr), des documents administratifs contenant des informations sensibles (RIB, carte d'identité, Pole emploi...) aux vidéos de vacances, en passant, évidemment, par les photos très, très intimes des internautes. En clair, si vous aussi avez immortalisé vos dernières parties de jambes en l'air sur votre page perso Free, allez vite retirer les photos.
Extraits (floutés et pixellisés par nos soins) de documents trouvés sur Google
Encore une fois, cette opération n'est pas l'oeuvre d'un hacker chevronné capable de s'introduire partout. Elle est en fait la combinaison de plusieurs facteurs qui ne demandent en rien une quelconque prouesse technique.
A LIRE AUSSIUne page perso utilisée comme un espace de stockage en ligne
De nombreuses personnes utilisent ce service de pages perso offert par Free. Il y a quelques années, quand il n'était pas si courant d'avoir une page Internet à soi, ou un espace où déposer des documents en ligne, l'offre de l'opérateur était même très populaire, notamment en raison de sa simplicité d'usage, ainsi que pour la capacité de stockage qu'elle proposait. Elle est aujourd'hui de 10 Go, contre 1 Go pour SFR ou seulement 100 Mo pour Orange. Et est donc potentiellement synonyme de tout un tas de contenu à stocker... et à aller zyeuter, comme le prouvent d'ailleurs nos recherches: quand des milliers, voire des dizaines de milliers de résultats ressortent pour les pages hébergées par Orange ou SFR, plus d'un million s'affichent dans le cas de Free.
Une moisson d'autant plus exceptionnelle que «beaucoup d'internautes se servent des pages perso comme une espèce de Dropbox», du nom de ce service qui permet précisément de déposer ses fichiers dans des serveurs du Net afin de pouvoir y accéder de partout, explique le spécialiste du réseau Stéphane Bortzmeyer.
En clair: un grand nombre d'internautes ne se créent pas une page perso pour avoir un site Internet, mais davantage pour avoir une espèce de disque dur accessible de chez soi comme de son lieu de travail ou de n'importe quel autre endroit disposant d'un accès à Internet. De ce fait, ces internautes ne créent pas de site en tant que tel, avec l'enrobage qui va avec, tel que la page d'accueil.
Ce n'est donc pas la mise en page classique qui accueille la personne qui se rend sur les pages perso de ces internautes (en tapant l'URL ou grâce à une recherche «astucieuse»), mais les différents dossiers qu'on ne voit habituellement pas, l'ossature. Et comme Google trouve tout, il trouve aussi le contenu de ces dossiers.
Alerter les internautes
Concrètement, pour éviter ça, les internautes pourraient donc créer dans chacun de leurs dossiers («perso», «images», «vacances», etc.) une page intitulée «index.html». La présence de ce fichier aurait pour effet de voiler les différents répertoires placés sur les pages perso. Et notamment à Google, qui se contenterait de pointer vers cette page blanche.
De même, ces utilisateurs ont la possibilité de protéger l'accès à leurs données en mettant en place un accès protégé, avec mot de passe.
Free pourrait également faire quelque chose, même si, comme le note Stéphane Bortzmeyer, «sa responsabilité n'est pas engagée». L'opérateur pourrait par exemple rendre optionnelle cette présentation en dossiers et sous-dossiers –une solution peu pratique– ou tout simplement alerter ses utilisateurs sur les risques d'exposition de leur vie privée en cas d'une utilisation non éclairée de ce service. Contacté, l'opérateur n'a pour le moment pas répondu à nos sollicitations.
A LIRE AUSSILe problème du nuage
Le problème qui se pose ici est similaire à celui des photos publiées sur Facebook, et de l'impératif catégorique moderne qui s'y attache désormais: «Tu ne publieras pas des photos sensibles de toi et tes amis». Pas de beuverie, pas de sexe, pas de «Oh c'est rigolo j'ai montré mes fesses!».
La différence étant ici que Facebook, du fait de sa popularité, a droit à des campagnes de sensibilisation assez poussées en la matière. Ce n'est pas le cas d'Internet dans son ensemble, et notamment du fait, comme le souligne Stéphane Bortzmeyer, qu'«il ne suffit pas de ne pas publier l'URL d'un contenu» pour que ce dernier ne soit pas disponible sur Internet. Ce que les utilisateurs de Free, comme potentiellement de tout autre service similaire, n'ont pas en tête.
Alors même que la question est connue depuis longtemps, mais uniquement des cercles initiés: ainsi, comme l'a rapporté ce 20 août notre confrère Jean-Marc Manach sur Le Monde, ce genre de vulnérabilité (d'usage, et non technique) peut être exploitée pour retrouver des documents confidentiels sur les sites du gouvernement. Beaucoup de spécialistes se sont depuis longtemps déjà fait l'écho de ces pratiques consistant simplement à bien utiliser les moteurs de recherche.
Nous avons essayé de contacter un utilisateur des pages perso de Free. Voici la réponse obtenue.
Nous n'en dirons pas plus sur le procédé employé, afin de préserver, autant que possible, les personnes concernées par ces contenus sensibles. L'opération est évidemment délicate, d'autant plus que bon nombre de ces contenus semblent dépendre d'utilisateurs qui ont depuis longtemps déserté ces pages perso. En tentant par exemple de contacter l'un d'entre eux, le message suivant nous est parvenu:
«Cette boîte mail a été bloquée en raison de son inactivité.»
Combien de pages perso Free, à l'instar de celle-ci, sont aujourd'hui en friche? Et combien de phénomènes similaires vont se produire dans les prochaines années?
Problème des objets connectés
Avec l'avénement des objets connectés, de ces frigos, télé et autres imprimantes qui se retrouvent branchés à Internet, cette question se pose en effet avec d'autant plus insistance. Et présente déjà un problème: des journalistes norvégiens ont ainsi récemment démontré que «plusieurs milliers d'objets connectés à Internet étaient complètement ouverts, sans aucun mot de passe pour les protéger, et de fait librement accessibles par Internet», écrivions-nous en mai dernier.
Une expérience reproduite en France par Rue89, pour un résultat similaire:
«[...] Nous sommes par exemple tombés sur la webcam d’une femme devant son ordinateur et sur celle d’un jeune homme assis dans son canapé, avec sa petite amie. Nous avons observé une piscine publique, un bureau de tabac dans le Limousin, et une boutique de vêtements.»
Nos confrères ont même réussi à imprimer à distance un message à l'attention des possesseurs d'objets connectés non protégés!
Encore une fois donc: tout ce que vous mettez sur Internet, objets ou photos, sans mot de passe ou autre moyen de sécurisation, est potentiellement accessible et visible en un clic.
