1 points par GN⁺ 2024-11-07 | 1 commentaires | Partager sur WhatsApp
  • Tracker Beeper est un outil qui fait émettre un son à l’ordinateur chaque fois qu’il envoie des données à Google, afin de rendre immédiatement perceptibles les transmissions de suivi web qui n’apparaissaient auparavant que dans les journaux
  • Le site officiel de recrutement du gouvernement néerlandais est présenté comme un exemple : il envoie les clics des visiteurs à Google, y compris les clics sur le bouton de candidature et sur le bouton « appeler pour demander des informations »
  • La première vidéo de démonstration ne réagissait qu’aux envois vers Google, mais elle a atteint 1 million de vues en une semaine après sa publication sur Twitter, puis l’outil a été étendu à Facebook et à d’autres trackers
  • L’implémentation actuelle, googerteller, reste encore rudimentaire et convient aux utilisateurs à l’aise avec la ligne de commande sous Linux, OSX et BSD
  • Les prochaines étapes portent sur l’élargissement de la prise en charge des trackers populaires, le choix des trackers à écouter, les réglages de son et de stéréo, ainsi que des implémentations pour Windows, mobile et une démo en direct

Tracker Beeper révèle les envois vers Google par le son

  • Tracker Beeper part de l’idée de faire émettre à l’ordinateur un petit son chaque fois qu’il envoie des données à Google
  • L’analyse de journaux classique impose d’abord de créer des logs puis de les analyser manuellement, ce qui rend difficile de ressentir à quel point de nombreux sites envoient les visites et les clics à Google et à d’autres services
  • Dans la vidéo de démonstration, on voit que le site officiel de recrutement du gouvernement néerlandais envoie tous les clics à Google sans demander le consentement de l’utilisateur
    • Ce site inclut aussi des offres d’emploi pour les services de renseignement et de sécurité
    • Les clics sur le bouton « postuler à ce poste » ou sur le bouton « appeler pour demander des informations » sont également signalés à Google
  • La première vidéo publiée ne réagissait qu’aux envois vers Google et a atteint 1 million de vues en une semaine après sa publication sur Twitter
  • La prise en charge de Facebook et de dizaines d’autres trackers largement intégrés aux sites a ensuite été ajoutée

État actuel de googerteller et projets d’extension

  • L’implémentation actuelle est googerteller, encore à un stade initial
    • Elle convient aux utilisateurs à l’aise avec la ligne de commande sous Linux, OSX et BSD
    • La priorité est d’implémenter et de stabiliser les fonctions nécessaires sous Linux
    • Une version en un clic pour Apple/OSX, une version Windows et des implémentations similaires pour iOS et Android font aussi partie des objectifs
    • Les implémentations iOS et Android ne sont pas simples, et les téléphones ont tendance à laisser fuiter des informations d’une manière difficile à remarquer pour l’utilisateur
  • Il existe aussi une idée de démo en direct pour téléphones et tablettes
    • Préparer un réseau WiFi basse consommation et un grand QR code
    • Quand l’utilisateur scanne le QR code pour se connecter au WiFi de démonstration, de grandes enceintes émettent un son en fonction des transmissions vers les trackers pendant l’utilisation du téléphone
    • L’idée inclut aussi une répartition des enceintes par tracker : une grande enceinte pour Google, l’enceinte droite pour Facebook et plusieurs petites enceintes
    • Le matériel nécessaire serait un Raspberry Pi et un autre téléphone fournissant la connexion Internet
  • Les autres objectifs sont la prise en charge de tous les trackers populaires, un réglage permettant de choisir les trackers à écouter, et des sons configurables par tracker
    • Une configuration stéréo permettrait par exemple de faire entendre Google au centre et Facebook sur l’enceinte droite

1 commentaires

 
GN⁺ 2024-11-07
Avis sur Hacker News
  • La plupart du temps, ce serait probablement silencieux. Les humains ne peuvent entendre que jusqu’à environ 20 kHz
    C’est une blague pour l’instant, mais si la tendance actuelle continue, on pourrait bientôt atteindre des fréquences ultrasoniques
    La vidéo était amusante et instructive, et j’aime la sonification des processus informatiques. Les humains disposent d’une large plage de fréquences audibles et perçoivent aussi comme des événements les chocs de basse fréquence situés hors de la plage audible ; cela fonctionne donc bien comme expérience complémentaire en temps réel, là où les graphiques ne suffisent pas

    • Il y a quelque temps, autour d’un café, j’ai discuté avec un scientifique qui étudie la sonification, et j’ai trouvé intéressant qu’on découvre sans cesse des cas où la sonification est plus pertinente que la visualisation
      L’idée centrale est que, pour une surveillance continue, le canal auditif est plus efficace. Il est difficile pour un humain de rester concentré en permanence sur un écran, et une bonne sonification permet aussi de détecter plus facilement de subtiles variations dans le temps
    • C’est vraiment juste. En général, je préfère le silence, mais il y a des moments où les sons produits par les machines sont plutôt appréciables. Par exemple, quand j’ouvre l’application Nextcloud sur mon téléphone, les disques du serveur se mettent à cliqueter, et je trouve ça rassurant
      Ça me rappelle une scène où Picard dit à un jeune ingénieur qu’autrefois on était « entraîné à détecter même un désalignement de 0,2 micron du cœur de distorsion »
      Je crois savoir que des astronomes écoutent parfois la sortie de radiotélescopes, et mon garagiste arrive souvent à déterminer instantanément ce qui ne va pas rien qu’au son
  • La barre combinant recherche et adresse de Chrome semble être une excellente source de données pour un mandat de recherche inversée : https://en.wikipedia.org/wiki/Reverse_search_warrant
    Il suffit d’imaginer un mandat inversé visant toutes les personnes qui ont recherché « torproject.or » en essayant d’aller sur torproject.org

  • C’est un peu comme dans les anciens environnements informatiques, où un bip se faisait entendre chaque fois que quelque chose était écrit sur le disque dur. À l’époque, les gens remarquaient beaucoup plus facilement les comportements de code quasi malveillants

    • Il m’est arrivé plusieurs fois de voir le voyant du HDD clignoter et de me dire : « Je suis juste en train d’utiliser le bureau à distance, pourquoi le disque dur travaille-t-il autant ? »
    • Avec ce genre de bip, l’activité des données redeviendrait beaucoup plus transparente, comme avant
    • Malheureusement, ça ne fonctionnerait probablement plus très bien aujourd’hui. Les développeurs sont tout à fait prêts à déverser des gigaoctets de données par heure même quand tout est complètement inactif
    • C’est aussi moi chaque fois que j’achète encore un ventilateur Noctua https://i.imgur.com/XAEtm4P.png
  • Petit projet intéressant. J’aimerais qu’un compteur affiche quelque part, à la fin de la journée, le nombre de requêtes que j’ai envoyées ; je suis sûr qu’il y en aurait des milliers
    C’est fou qu’il reste si peu de vie privée aux humains dans des systèmes que nous avons nous-mêmes construits. Chaque mot que nous tapons, chaque mot que nous prononçons est suivi dans une certaine mesure

    • J’en ai assez de l’idée selon laquelle nous aurions nous-mêmes choisi un état sans vie privée parce que nous n’avions pas l’expertise nécessaire pour supprimer les changements techniques fournissant des données à des tiers, ni compris leurs implications
      En réalité, ces changements sont imposés en permanence, et leurs effets sur la vie privée sont souvent opaques
      C’est comme reprocher à des personnes aveugles de ne pas avoir vu ce qu’on leur retirait
      Présenter les choses comme si nous étions entrés volontairement dans un monde sans vie privée est une logique de juriste plaquée de force sur la technologie moderne, une notion qui tord l’interprétation du monde
    • Quand je regarde l’icône uBlock Origin dans mon onglet Gmail, elle indique avoir bloqué plus de 10 000 requêtes, et je suis presque certain d’avoir redémarré l’ordinateur hier
    • Voir combien de requêtes partent réellement vers l’extérieur en une journée serait sans doute assez révélateur
  • Intéressant. Je savais que les grandes entreprises tech disséminaient des traceurs un peu partout, mais je ne pensais pas que c’était à ce point
    Le faire tourner avec un bloqueur de pubs et différentes listes de filtres activés puis désactivés serait intéressant pour voir à quel point ils protègent réellement contre le suivi

    • C’est probablement Google Analytics. Certains bloqueurs de pubs bloquent Google Analytics. Google Analytics affirme ne pas faire de suivi intersite ni construire de profils utilisateurs ; à chacun de voir s’il y croit
      En revanche, il est extrêmement couramment utilisé par les exploitants de sites web pour suivre leur trafic
    • Une telle configuration pourrait montrer quel bloqueur est le meilleur pour la prévention des fuites de données
  • À l’université, il y a une dizaine d’années, un ami avait créé un petit utilitaire qui envoyait directement le flux d’octets des requêtes web vers la sortie audio. Chaque fois qu’une page web faisait quelque chose, cela produisait en gros du bruit, et il paraît que ça a mené à des découvertes assez intéressantes

    • Avec une simple démodulation AM, on obtient pratiquement un détecteur de radar classique pour l’ère d’Internet :-)
  • Je déteste vraiment le fait que la recherche et l’adresse soient fusionnées dans une seule barre. Je comprends l’autocomplétion des adresses déjà visitées, mais je ne veux absolument pas que chaque frappe soit envoyée
    Je me demande si c’est une fonction propre à Chrome, ou si c’est le comportement de tous les navigateurs dont le moteur de recherche par défaut est Google

    • Installe Firefox, rajoute la barre de recherche dans le menu, désactive la recherche depuis la barre d’URL, et c’est réglé
    • Je pense que la plupart des navigateurs font ça. Dans Safari, Firefox et d’autres, on voit des suggestions Google s’afficher sous la barre d’adresse pendant la saisie
  • Il y a deux bonnes façons de le montrer

    1. Méthode rapide et simple : installer Pi-hole, ajouter toutes les listes de blocage d’URL de traqueurs raisonnables que l’on peut trouver, puis regarder les logs en temps réel
    2. Méthode un peu plus longue : installer OPNsense ou pfSense, bloquer le DNS sortant hors du réseau tout en autorisant Pi-hole, puis regarder les logs en temps réel des requêtes DNS bloquées. Cela suppose que tous les appareils sont configurés pour utiliser Pi-hole
    3. Bonus : y consacrer un peu plus de temps, créer quelque chose comme des VLAN, y placer les appareils pour lesquels on a coché toutes les options « ne pas appeler la maison », puis leur couper l’accès à Internet et regarder les logs en temps réel du trafic bloqué
      C’est un processus assez déprimant, et je ne sais pas si cela vaut la peine d’en faire une configuration à conserver au quotidien, mais c’est clairement révélateur. À chaque étape, le volume bloqué diminue d’un ordre de grandeur, mais il est intéressant de voir ce que contient chaque lot, et Pi-hole accumule les correspondances à une vitesse étonnante
    • J’ai essayé de mettre en place exactement ce genre de configuration avec une combinaison d’Ubiquiti et de Pi-hole. C’est vraiment difficile à maintenir, et c’était particulièrement frustrant de ne pas avoir de couche d’audit pour vérifier que les robots tondeuses et aspirateurs chinois ne fuyaient pas de données
      Gérer ça jusqu’au moment où les applis des enfants cessent de fonctionner à cause de mes listes de blocage, c’était presque un travail à plein temps, voire plus
      J’ai fini par abandonner, et j’utilise maintenant un endpoint Cloudflare DNS personnalisé
  • Les suggestions de recherche sont rarement utiles, mais provoquent une fuite massive de vie privée
    Elles sont activées par défaut dans la plupart des navigateurs (Chrome, Firefox, Safari), mais au moins on peut les désactiver. Il suffit de chercher « search suggestions » dans les paramètres

    • Ça ressemble à une anecdote. Pour ma part, je trouve les suggestions de recherche utiles, car elles réduisent beaucoup la saisie
  • C’est un article de 2022
    Discussions précédentes :
    https://news.ycombinator.com/item?id=32617787 - Tool beeps every time data is sent to google - 108 commentaires - août 2022
    https://news.ycombinator.com/item?id=32549604 - Audible feedback on just how much your browsing feeds into Google - 206 commentaires - août 2022