C’est Zachary Henckel, sur son blog, qui nous fait part de ses découvertes. Tout commence par la visite du site d’Apple où Zachary se retrouve avec une pub assez disgracieuse en bas de page, une publicité pour File Free Online, quelque chose qui n’a donc pas grand rapport avec la firme à la pomme. On imagine mal les web graphistes d’Apple placer de cette manière un bandeau en bas de page :
Screenshot par Zachary Henckel
Ceci éveille donc assez naturellement son attention, il pense dans un premier temps que sa machine a été infectée par un adware. Mais très vite, après avoir testé sur la même machine depuis une autre connexion la même page, il se rend compte que c’est bien le fournisseur d’accès, CMA Communications, qui lui joue un tour.
Et la blague ne s’arrête pas là. En changeant de machine, Zachary Henkel se retrouve confronté au même problème. Exit la thèse du malware, et après vérification que ce ne pouvait pas être le routeur qui était infecté, il faut se rendre à l’évidence, il se passe bien quelque chose de louche sur le réseau wifi de CMA Communication… Examen du code source des pages… et paff :
Cette petite ligne injecte un Javascript venant d’un serveur tiers qui n’a pas grande chose à voir avec apple.com ni avec les autres sites visités: node.r66t.com. Et on retrouve cette injection sur toutes les pages « défigurées » par ces publicités. Leur format et leur placement est un véritable hijacking, jugez plutôt du rendu sur le site du Huffington Post :
CMA Communication injecte donc ses propres publicités dans les pages visitées par ses utilisateurs, et ce de la pire manière qui soit. Une manière pour lui de tirer un bénéfices des sites web visités par ses utilisateurs.
Techniquement, on est assez proche de ce que nous avons vu avec SFR . Sauf que SFR fait ça à des fins d’optimisation sur les réseaux mobiles. Avec CMA Communication, nous avons le parfait exemple des dérives possibles quand on met en place ce genre de dispositifs. Evidemment les utilisateurs ne sont pas les seuls lésés. Les éditeurs de sites (y compris ceux qui ne truffent pas leurs pages de publicités) se retrouve chez ce « FAI » avec leurs pages défigurées par des placements publicitaires disgracieux. Il y a là une captation de valeur indue de la part de CMA communication qui sort totalement de son rôle de fournisseur d’accès en délivrant systématiquement des messages altérés à ses utilisateurs… Une pratique inacceptable.
Questionné sur cette pratique CMA Communication a préféré conserver le silence ! Et malheureusement pour Zachary Henkel, aux USA seuls les éditeurs ont le moyen de se retourner contre CMA communication. Le parasitage que peut entrainer ce genre de pratique peut avoir des conséquences « surprenantes ». Imaginez vous sur le site Debian.org avec une belle publicité pour Windows 8…
La FCC s’est déclarée incompétente mais devant les protestations de Zachary Henkel, CMA Communication a modifié ses conditions générale d’utilisation pour y inclure cette pratique (Section 10), une section que Zachary Henkel trouve, à juste titre, terrifiante! Et oui, avant ils faisaient bien ça dans le dos des utilisateurs.
Ars Technica s’est fait l’écho de cette affaire.
Merci à @MCCob, @internetthought et @fiberguy pour l’info.