Sous surveillance : les logs des FAI, de Google et des autres.

Publié le 04 septembre 2010 par Carlanoirci

Nous sommes tous fliqués sur internet, mais il est souvent difficile de savoir jusqu’à quel point. Avez-vous déjà essayé de demander une copie de votre journal de connexions à votre fournisseur d’accès internet (FAI) ou à Google ?

Le cas GOOGLE (les mentions en rouge respectent le texte original en anglais); je cite:

Fichiers journaux du serveur

Comme la plupart des sites Web, nos serveurs enregistrent automatiquement les pages consultées lorsque les internautes visitent nos sites. En règle générale, ces «journaux de serveur » peuvent inclure CONTIENNENT votre requête Web, votre adresse IP, le type et la langue de votre navigateur, la date et l’heure de votre requête ainsi qu’un ou plusieurs cookies permettant d’identifier votre navigateur de façon unique.

Voici un exemple d’entrée de journal pour une requête portant sur le mot « voitures », suivie par une explication de ces différents éléments :

123.45.67.89 - 25/Mar/2003 10:15:32 -
http://www.google.fr/search?q=voitures -
Firefox 1.0.7; Windows NT 5.1 - 740674ce2123e969
  • 123.45.67.89 correspond à l’adresse IP attribuée à l’utilisateur par son fournisseur d’accès Internet. Selon le type d’accès utilisé par l’utilisateur, le fournisseur peut lui attribuer une adresse IP différente à chaque connexion à Internet ;
  • 25/Mar/2003 10:15:32 désigne la date et l’heure de la requête ;
  • http://www.google.fr/search?q=voitures désigne l’URL requise, incluant dans le cas présent, l’objet de la requête ;
  • 740674ce2123a969 est l’ID de cookie unique attribué à cet ordinateur lors de son premier accès à Google. (Les utilisateurs peuvent supprimer les cookies. Si l’utilisateur a supprimé le cookie de l’ordinateur depuis sa dernière visite de Google, un seul ID de cookie lui est attribué lors de sa visite ultérieure de Google depuis cet ordinateur).
  • Firefox 1.0.7; Windows NT 5.1 correspond au navigateur et au système d’exploitation utilisés ;
  • Le cas Open DNS ou ce qu’enregistre votre FAI

    Si vous utilisez Open DNS, vous avez la possibilité d’activer les statistiques. Cela donne ce genre de journal. L’interprétation (en rouge) indique clairement le type d’information que votre FAI peut collecter , en sus du portrait qu’il peut faire de vous au vu des sites visistés, puisque toutes les requêtes passent par son serveur DNS.

    68 blogsearch.google.fr

    74 tracker.XtorrentX.com  >> téléchargement client torrent

    76 dotclear.org

    77 www.eff.org

    79 www.acrimed.org

    80 www.huffingtonpost.com

    81 www.telegraph.co.uk

    83 www.ft.com

    85 ll002.avast.com  >>> antivirus avast installé

    90 www.marianne2.fr

    95 ocsp.godaddy.com >> vérification en ligne de certificat numérique

    105 router.utorrent.com >> connexion du client µtorrent

    106 static.ak.fbcdn.net >> Facebook

    110 fr.euronews.net

    140 imap.googlemail.com >> Compte Gmail

    149 router.bittorrent.com >>>> connexion du client torrent

    Savez vous à quoi ressemble les fichiers logs des fournisseurs d’accès ? On peut en avoir une petite idée en analysant ceux d’AOL : John Doe, c’est peut-être vous !

    Understanding AOL IP Connection Logs

    START 46483bf 2007-05-14 06:37:45EDT 1058 69.228.44.5 123456789 John388Doe

    START 46483bf 2007-05-14 06:37:45EDT 1058 69.228.44.5 123456789 John388Doe

    FINISH 46483bf 2007-05-14 07:09:08EDT

    START 4648d8eb 2007-05-14 17:47:23EDT 1058 69.228.44.5 123456789 JaneDoe388

    FINISH 4648d8eb 2007-05-14 17:47:57EDT

    START 4648d9 2007-05-14 17:48:32EDT 1058 69.228.44.5 123456789 John388Doe

    FINISH 4648d9 2007-05-14 17:50:20EDT

    START 4648de 2007-05-14 18:12:03EDT 1058 69.228.44.5 123456789 John388Doe

    START 4648de 2007-05-14 18:12:03EDT 1058 69.228.44.5 123456789 John388Doe

    FINISH 4648de 2007-05-14 18:47:40EDT

    START 464905c9 2007-05-14 20:58:49EDT 1058 69. 228.44.5 123456789 JaneDoe388

    FINISH 464905c9 2007-05-14 20:59:59EDT
    1. Les lignes START  et FINISH peuvent faire double emploi, mais représentent la même session.

    2. Dates, heures et fuseaux horaires sont toujours préssnst dans les journaux.

    3. Pour éviter toute confusion, il faut regarder les heures de START et  FINISH pour une session donnée avec le même chiffre héxadécimal (dans cet exemple, toutes les lignes contenant 46483bf représentent la même session

    4. Le numéro 123456789 correspond  au numéro de compte de l’abonné.

    5. L’adresse IP de cet abonné est , 69.228.44.5.

    En France, précise la CNIL, les opérateurs de communications électroniques sont tenus de conserver les données relatives au trafic pendant un an, et les opérateurs ne doivent conserver que “les seules données techniques” :

    * informations permettant d’identifier l’utilisateur [par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique] ;
    * données relatives aux équipements terminaux de communication utilisés ;
    * caractéristiques techniques ainsi que de la date, de l’horaire et de la durée de chaque communication ;
    * données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs ;
    * données permettant d’identifier le ou les destinataires de la communication.
    * ils n’ont aucune obligation de constitution de fichiers nominatifs des utilisateurs : les organismes fournissant une connexion Wi-Fi peuvent choisir d’offrir cette prestation sans procéder à l’identification des personnes. Ils ne sont alors tenus que de détenir les données techniques créées par l’utilisation de leurs services ;
    * ils ne peuvent conserver les informations relatives au contenu des communications : le texte d’un SMS, l’objet d’un e-mail…

    En Allemagne, mais ils se méfient des fichiers à juste titre, cette surveillance est inconstitutionnelle.

    Les sites Internet que vous visitez:

    Une simple requête sur Google  » http get « http www  » filetype:log «   dans le but de visualiser les logs d’accès aux sites web,  retourne ce genre de résultat :

    Résultats de recherche

    1.   95.108.247.253 – - [29/Aug/2010:07:29:26 +0200] « GET /index.php …

    NET CLR 3.5.30729) » 89.2.171.159 – - [29/Aug/2010:21:51:58 +0200] « GET /js/select-chain.js HTTP/1.1″ 200 2265 « http://www.snowscootrent.com/ » « Mozilla/4.0
    88.191.226.106/virtual/…/snowscootrent.com-access.log – En cache

    2.   67.195.111.52 – - [30/Apr/2010:01:00:28 -0700] « GET /robots.txt …

    M=A HTTP/1.0″ 200 763 « - » « Mozilla/5.0 (compatible; Yahoo! [30/Apr/2010:13:50:21 -0700] « GET / HTTP/1.0″ 200 763 « http://www.groupe-courbis.com » « <a
    www.spiritfyre.com/logs/access_100501.log

    3.   67.195.111.244 – - [07/May/2010:17:48:26 -0700] « GET /sitemap.xml …

    -0700] « GET /style.css HTTP/1.0″ 200 982 « http://www.samzteck.com/? 209.85.238.76 – - [08/May/2010:03:48:55 -0700] « GET / HTTP/1.1″ 200 6079
    www.samzteck.com/logs/access_100509.log

    4.   access_080225.log – ABC LANGUAGE SERVICES – Home

    74.6.25.235 – - [19/Feb/2008:04:46:02 -0800] « GET /robots.txt HTTP/1.0″ 404 …. « GET /logs/access_080121.log HTTP/1.1″ 200 20268 « http://www.google.com/
    abc-ls.com/logs/access_080225.log

    Un click sur le lien va maintenant nous permettre de visualiser le journal de connexion aux sites internet (mal protégés) en question. Ces quelques exemples sont interessants, car il s’agit de sites vendant des assurances médicales, recrutant du personnel ou … proposant des services juridiques. On peut clairement identifier les adresses IP des internautes qui s’y sont connectés et avec un outil de géolocalisation, percer leur identité.

    117.198.100.182 - - [17/Aug/2010:07:21:20 +0530] "GET /contactus.html HTTP/1.1" 200 2236 "http://alturaindia.com/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4" "alturaindia.com"
    117.198.100.182 - - [17/Aug/2010:07:21:21 +0530] "GET /favicon.ico HTTP/1.1" 404 275 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4" "alturaindia.com"
    111.252.120.11 - - [17/Aug/2010:08:00:53 +0530] "GET /logs/access_090804.log HTTP/1.1" 200 30782 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "alturaindia.com"
    111.252.120.11 - - [17/Aug/2010:08:00:53 +0530] "GET /logs/access_090818.log HTTP/1.1" 200 524288 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "alturaindia.com"
    111.252.121.12 - - [17/Aug/2010:08:01:00 +0530] "GET /logs/access_090804.log HTTP/1.1" 200 605122 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" "alturaindia.com"
    95.108.247.251 - - [17/Aug/2010:09:46:32 +0530] "GET /index.html HTTP/1.1" 200 2429 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" "www.alturaindia.com"
    1.23.38.33 - - [17/Aug/2010:11:08:56 +0530] "GET /favicon.ico HTTP/1.1" 404 275 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8" "alturaindia.com"
    1.23.38.33 - - [17/Aug/2010:11:08:58 +0530] "GET /contact_us HTTP/1.1" 200 6579 "http://alturaindia.com/home" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8" "alturaindia.com"
    1.23.38.33 - - [17/Aug/2010:11:09:12 +0530] "GET /services HTTP/1.1" 200 2429 "http://alturaindia.com/contact_us" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8" "alturaindia.com"
    69.58.178.33 - - [12/Aug/2010:21:53:34 -0700] "GET /robots.txt HTTP/1.1" 200 46 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4  Firefox/3.5.3" "www.hawaiinuilawyer.com"
    69.58.178.33 - - [12/Aug/2010:21:53:35 -0700] "GET / HTTP/1.1" 200 25431 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4  Firefox/3.5.3" "www.hawaiinuilawyer.com"
    69.58.178.33 - - [12/Aug/2010:21:53:36 -0700] "GET /AboutUs.html HTTP/1.1" 200 21077 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4  Firefox/3.5.3" "www.hawaiinuilawyer.com"
    69.58.178.33 - - [12/Aug/2010:21:53:38 -0700] "GET /ContactInfo.html HTTP/1.1" 200 48302 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.3; ips-agent) Gecko/20090824 Fedora/1.0.7-1.1.fc4  Firefox/3.5.3" "www.hawaiinuilawyer.com"
    208.80.193.29 - - [15/Oct/2009:07:56:28 -0700] "GET / HTTP/1.0" 200 12487 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; iebar; acc=Messenger; (Messenger); .NET CLR 1.1.4322; .NET CLR 2.0.50727; IEMB3; IEMB3)" "www.direct-medicare-quotes.com"
    65.55.207.100 - - [15/Oct/2009:08:09:13 -0700] "GET /robots.txt HTTP/1.1" 404 275 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "www.direct-medicare-quotes.com"
    65.55.207.100 - - [15/Oct/2009:08:10:36 -0700] "GET /clipart/images/?N=D HTTP/1.1" 200 1138 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "www.direct-medicare-quotes.com"
    72.192.85.64 - - [15/Oct/2009:08:33:14 -0700] "GET /index.html HTTP/1.1" 200 12487 "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avgb&type=yahoo_avg_hs2-tb-web_us&p=free%20medicare%20direct" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.14) Gecko/2009082707 Firefox/3.0.14 (.NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "www.direct-medicare-quotes.com"
    72.192.85.64 - - [15/Oct/2009:08:33:15 -0700] "GET /clipart/images/sidebars/electroGrid1_blue.jpg HTTP/1.1" 200 8806 "http://www.direct-medicare-quotes.com/index.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.14) Gecko/2009082707 Firefox/3.0.14 (.NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "www.direct-medicare-quotes.com"

    Alors, quelles solutions ? Comme d’habitude, la prudence sera de mise et il est impératif d’utiliser les recettes exposées dans le HOWTO précédent. Un petit outil hardware peut faciliter les choses, partout dans le monde, et repose sur la pseudo sécurité des clés WEP chères  au délit de négligence d’HADOPI. En gros, tous coupables puisque ce dispositif permet de craquer la clé et de se connecter sur n’importe quel réseau WiFi

    Les liens ppour creuser le sujet :

    http://www.google-watch.org/cgi-bin/urldemo.htm

    http://www.jafsoft.com/searchengines/log_sample.html

    http://www.loganalyzer.net/log-analysis-tutorial/log-file-sample-explain.html

    http://searchenginewatch.com/2189531