Nous sommes tous fliqués sur internet, mais il est souvent difficile de savoir jusqu’à quel point. Avez-vous déjà essayé de demander une copie de votre journal de connexions à votre fournisseur d’accès internet (FAI) ou à Google ?
Le cas GOOGLE (les mentions en rouge respectent le texte original en anglais); je cite:
Fichiers journaux du serveur
Comme la plupart des sites Web, nos serveurs enregistrent automatiquement les pages consultées lorsque les internautes visitent nos sites. En règle générale, ces «journaux de serveur » peuvent inclure CONTIENNENT votre requête Web, votre adresse IP, le type et la langue de votre navigateur, la date et l’heure de votre requête ainsi qu’un ou plusieurs cookies permettant d’identifier votre navigateur de façon unique.
Voici un exemple d’entrée de journal pour une requête portant sur le mot « voitures », suivie par une explication de ces différents éléments :
123.45.67.89 - 25/Mar/2003 10:15:32 - http://www.google.fr/search?q=voitures - Firefox 1.0.7; Windows NT 5.1 - 740674ce2123e969
123.45.67.89correspond à l’adresse IP attribuée à l’utilisateur par son fournisseur d’accès Internet. Selon le type d’accès utilisé par l’utilisateur, le fournisseur peut lui attribuer une adresse IP différente à chaque connexion à Internet ;25/Mar/2003 10:15:32désigne la date et l’heure de la requête ;http://www.google.fr/search?q=voituresdésigne l’URL requise, incluant dans le cas présent, l’objet de la requête ;740674ce2123a969est l’ID de cookie unique attribué à cet ordinateur lors de son premier accès à Google. (Les utilisateurs peuvent supprimer les cookies. Si l’utilisateur a supprimé le cookie de l’ordinateur depuis sa dernière visite de Google, un seul ID de cookie lui est attribué lors de sa visite ultérieure de Google depuis cet ordinateur).Firefox 1.0.7; Windows NT 5.1correspond au navigateur et au système d’exploitation utilisés ;
Le cas Open DNS ou ce qu’enregistre votre FAI
Si vous utilisez Open DNS, vous avez la possibilité d’activer les statistiques. Cela donne ce genre de journal. L’interprétation (en rouge) indique clairement le type d’information que votre FAI peut collecter , en sus du portrait qu’il peut faire de vous au vu des sites visistés, puisque toutes les requêtes passent par son serveur DNS.
68 blogsearch.google.fr
74 tracker.XtorrentX.com >> téléchargement client torrent
76 dotclear.org
77 www.eff.org
79 www.acrimed.org
80 www.huffingtonpost.com
81 www.telegraph.co.uk
83 www.ft.com
85 ll002.avast.com >>> antivirus avast installé
90 www.marianne2.fr
95 ocsp.godaddy.com >> vérification en ligne de certificat numérique
105 router.utorrent.com >> connexion du client µtorrent
106 static.ak.fbcdn.net >> Facebook
110 fr.euronews.net
140 imap.googlemail.com >> Compte Gmail
149 router.bittorrent.com >>>> connexion du client torrent
Savez vous à quoi ressemble les fichiers logs des fournisseurs d’accès ? On peut en avoir une petite idée en analysant ceux d’AOL : John Doe, c’est peut-être vous !
Understanding AOL IP Connection Logs
START 46483bf 2007-05-14 06:37:45EDT 1058 69.228.44.5 123456789 John388Doe
START 46483bf 2007-05-14 06:37:45EDT 1058 69.228.44.5 123456789 John388Doe
FINISH 46483bf 2007-05-14 07:09:08EDT
START 4648d8eb 2007-05-14 17:47:23EDT 1058 69.228.44.5 123456789 JaneDoe388
FINISH 4648d8eb 2007-05-14 17:47:57EDT
START 4648d9 2007-05-14 17:48:32EDT 1058 69.228.44.5 123456789 John388Doe
FINISH 4648d9 2007-05-14 17:50:20EDT
START 4648de 2007-05-14 18:12:03EDT 1058 69.228.44.5 123456789 John388Doe
START 4648de 2007-05-14 18:12:03EDT 1058 69.228.44.5 123456789 John388Doe
FINISH 4648de 2007-05-14 18:47:40EDT
START 464905c9 2007-05-14 20:58:49EDT 1058 69. 228.44.5 123456789 JaneDoe388
FINISH 464905c9 2007-05-14 20:59:59EDT
1. Les lignes START et FINISH peuvent faire double emploi, mais représentent la même session.
2. Dates, heures et fuseaux horaires sont toujours préssnst dans les journaux.
3. Pour éviter toute confusion, il faut regarder les heures de START et FINISH pour une session donnée avec le même chiffre héxadécimal (dans cet exemple, toutes les lignes contenant 46483bf représentent la même session
4. Le numéro 123456789 correspond au numéro de compte de l’abonné.
5. L’adresse IP de cet abonné est , 69.228.44.5.
En France, précise la CNIL, les opérateurs de communications électroniques sont tenus de conserver les données relatives au trafic pendant un an, et les opérateurs ne doivent conserver que “les seules données techniques” :
* informations permettant d’identifier l’utilisateur [par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique] ;
* données relatives aux équipements terminaux de communication utilisés ;
* caractéristiques techniques ainsi que de la date, de l’horaire et de la durée de chaque communication ;
* données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs ;
* données permettant d’identifier le ou les destinataires de la communication.
* ils n’ont aucune obligation de constitution de fichiers nominatifs des utilisateurs : les organismes fournissant une connexion Wi-Fi peuvent choisir d’offrir cette prestation sans procéder à l’identification des personnes. Ils ne sont alors tenus que de détenir les données techniques créées par l’utilisation de leurs services ;
* ils ne peuvent conserver les informations relatives au contenu des communications : le texte d’un SMS, l’objet d’un e-mail…
En Allemagne, mais ils se méfient des fichiers à juste titre, cette surveillance est inconstitutionnelle.
Les sites Internet que vous visitez:
Une simple requête sur Google » http get « http www » filetype:log « dans le but de visualiser les logs d’accès aux sites web, retourne ce genre de résultat :
Résultats de recherche
1. 95.108.247.253 – - [29/Aug/2010:07:29:26 +0200] « GET /index.php …
NET CLR 3.5.30729) » 89.2.171.159 – - [29/Aug/2010:21:51:58 +0200] « GET /js/select-chain.js HTTP/1.1″ 200 2265 « http://www.snowscootrent.com/ » « Mozilla/4.0 …
88.191.226.106/virtual/…/snowscootrent.com-access.log – En cache
2. 67.195.111.52 – - [30/Apr/2010:01:00:28 -0700] « GET /robots.txt …
M=A HTTP/1.0″ 200 763 « - » « Mozilla/5.0 (compatible; Yahoo! … [30/Apr/2010:13:50:21 -0700] « GET / HTTP/1.0″ 200 763 « http://www.groupe-courbis.com » « <a …
www.spiritfyre.com/logs/access_100501.log
3. 67.195.111.244 – - [07/May/2010:17:48:26 -0700] « GET /sitemap.xml …
… -0700] « GET /style.css HTTP/1.0″ 200 982 « http://www.samzteck.com/? … 209.85.238.76 – - [08/May/2010:03:48:55 -0700] « GET / HTTP/1.1″ 200 6079 …
www.samzteck.com/logs/access_100509.log
4. access_080225.log – ABC LANGUAGE SERVICES – Home
74.6.25.235 – - [19/Feb/2008:04:46:02 -0800] « GET /robots.txt HTTP/1.0″ 404 …. « GET /logs/access_080121.log HTTP/1.1″ 200 20268 « http://www.google.com/ …
abc-ls.com/logs/access_080225.log
Un click sur le lien va maintenant nous permettre de visualiser le journal de connexion aux sites internet (mal protégés) en question. Ces quelques exemples sont interessants, car il s’agit de sites vendant des assurances médicales, recrutant du personnel ou … proposant des services juridiques. On peut clairement identifier les adresses IP des internautes qui s’y sont connectés et avec un outil de géolocalisation, percer leur identité.
117.198.100.182 - - [17/Aug/2010:07:21:20 +0530] "GET /contactus.html HTTP/1.1" 200 2236 "http://alturaindia.com/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4" "alturaindia.com" 117.198.100.182 - - [17/Aug/2010:07:21:21 +0530] "GET /favicon.ico HTTP/1.1" 404 275 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4" "alturaindia.com" 111.252.120.11 - - [17/Aug/2010:08:00:53 +0530] "GET /logs/access_090804.log HTTP/1.1" 200 30782 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "alturaindia.com" 111.252.120.11 - - [17/Aug/2010:08:00:53 +0530] "GET /logs/access_090818.log HTTP/1.1" 200 524288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "alturaindia.com" 111.252.121.12 - - [17/Aug/2010:08:01:00 +0530] "GET /logs/access_090804.log HTTP/1.1" 200 605122 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "alturaindia.com" 95.108.247.251 - - [17/Aug/2010:09:46:32 +0530] "GET /index.html HTTP/1.1" 200 2429 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" "www.alturaindia.com" 1.23.38.33 - - [17/Aug/2010:11:08:56 +0530] "GET /favicon.ico HTTP/1.1" 404 275 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8" "alturaindia.com" 1.23.38.33 - - [17/Aug/2010:11:08:58 +0530] "GET /contact_us HTTP/1.1" 200 6579 "http://alturaindia.com/home" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8" "alturaindia.com" 1.23.38.33 - - [17/Aug/2010:11:09:12 +0530] "GET /services HTTP/1.1" 200 2429 "http://alturaindia.com/contact_us" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8" "alturaindia.com" 69.58.178.33 - - [12/Aug/2010:21:53:34 -0700] "GET /robots.txt HTTP/1.1" 200 46 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4 Firefox/3.5.3" "www.hawaiinuilawyer.com" 69.58.178.33 - - [12/Aug/2010:21:53:35 -0700] "GET / HTTP/1.1" 200 25431 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4 Firefox/3.5.3" "www.hawaiinuilawyer.com" 69.58.178.33 - - [12/Aug/2010:21:53:36 -0700] "GET /AboutUs.html HTTP/1.1" 200 21077 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4 Firefox/3.5.3" "www.hawaiinuilawyer.com" 69.58.178.33 - - [12/Aug/2010:21:53:38 -0700] "GET /ContactInfo.html HTTP/1.1" 200 48302 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4 Firefox/3.5.3" "www.hawaiinuilawyer.com" 208.80.193.29 - - [15/Oct/2009:07:56:28 -0700] "GET / HTTP/1.0" 200 12487 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; iebar; acc=Messenger; (Messenger); .NET CLR 1.1.4322; .NET CLR 2.0.50727; IEMB3; IEMB3)" "www.direct-medicare-quotes.com" 65.55.207.100 - - [15/Oct/2009:08:09:13 -0700] "GET /robots.txt HTTP/1.1" 404 275 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "www.direct-medicare-quotes.com" 65.55.207.100 - - [15/Oct/2009:08:10:36 -0700] "GET /clipart/images/?N=D HTTP/1.1" 200 1138 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "www.direct-medicare-quotes.com" 72.192.85.64 - - [15/Oct/2009:08:33:14 -0700] "GET /index.html HTTP/1.1" 200 12487 "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avgb&type=yahoo_avg_hs2-tb-web_us&p=free%20medicare%20direct" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.14) Gecko/2009082707 Firefox/3.0.14 (.NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "www.direct-medicare-quotes.com" 72.192.85.64 - - [15/Oct/2009:08:33:15 -0700] "GET /clipart/images/sidebars/electroGrid1_blue.jpg HTTP/1.1" 200 8806 "http://www.direct-medicare-quotes.com/index.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.14) Gecko/2009082707 Firefox/3.0.14 (.NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "www.direct-medicare-quotes.com"
Alors, quelles solutions ? Comme d’habitude, la prudence sera de mise et il est impératif d’utiliser les recettes exposées dans le HOWTO précédent. Un petit outil hardware peut faciliter les choses, partout dans le monde, et repose sur la pseudo sécurité des clés WEP chères au délit de négligence d’HADOPI. En gros, tous coupables puisque ce dispositif permet de craquer la clé et de se connecter sur n’importe quel réseau WiFi
Les liens ppour creuser le sujet :
http://www.google-watch.org/cgi-bin/urldemo.htm
http://www.jafsoft.com/searchengines/log_sample.html
http://www.loganalyzer.net/log-analysis-tutorial/log-file-sample-explain.html
http://searchenginewatch.com/2189531
- Share this:
- StumbleUpon
Jeu de briques
Snake
Pacman
Bubble