Quand le Windows Media Player vous identifie…

Mobilité

L’expert en protection des données personnelles Richard Smith dénonce la présence d’un identifiant unique lié au Windows Media Player qui peut être récupéré sur une page Web, que l’internaute utilise Internet Explorer ou Netscape, et ceci même si le Media Player n’est pas lancé. Heureusement, cet identifiant unique peut être désactivé.

En matière de respect de la vie privée sur Internet, l’ennemi numéro 1 se nomme identifiant unique. En effet, imaginez un numéro lié à votre machine qui pourrait être récupéré par n’importe quel site : c’est la porte ouverte à tous les abus. On pense au croisement de fichiers entre sociétés, au recoupement entre les différents pseudonymes que vous pouvez choisir d’utiliser selon les situations, au traçage de votre surf, etc. Les éditeurs de navigateurs fournissent désormais des options permettant de désactiver cookies et Web bugs. Microsoft vante ainsi les mérites de la version 6 d’Internet Explorer, qui respecte les standards du P3P (Platform for Privacy Preferences) et doit empêcher les identifications. Richard Smith, spécialiste des questions de protection de la vie privée, balaie cette belle vision. Dans un message posté le 15 janvier sur Bugtraq, il pointe du doigt un identifiant unique lié non pas à Internet Explorer mais au Windows Media Player.

En mars 2001, il avait déjà signalé ce point à Microsoft, qui avait alors mis à disposition en mai un correctif permettant aux utilisateurs de son lecteur multimédia de désactiver cette fonction. Par défaut, le Media Player possède en effet un numéro d’identification unique actif, destiné à faciliter les opérations de streaming. Vous pouvez le vérifier vous-même : par défaut donc, la case « Autoriser les sites Internet à identifier le lecteur de manière unique » est cochée (dans la version 8 du Media Player, menu « Options », « Lecteur », « Paramètres Internet »). Et pas besoin de lancer le Media Player pour que n’importe quel site puisse récupérer ce numéro que Richard Smith baptise « supercookie » : il en fait la démonstration sur son site. Même en naviguant avec Netscape, l’identifiant peut être récupéré ! On connaît le nombre d’ordinateurs tournant sous Windows, on sait que le Media Player est toujours fourni avec l’OS, on imagine le nombre d’internautes pouvant ainsi être traqués sur le Net… En désactivant l’option « Autoriser les sites Internet à identifier le lecteur de manière unique », un nouveau numéro est généré à chaque lancement du navigateur, ce qui devrait empêcher les sites de vous reconnaître. Dommage que Microsoft n’ait pas pris la décision de désactiver l’option par défaut.