L’annonce peut paraître surprenante venant d’un éditeur de logiciel d’échange de fichiers peer-to-peer : BitTorrent va proposer un logiciel de messagerie instantanée sécurisée. Ce choix s’explique par l’intérêt de la technologie BitTorrent, le peer-to-peer, qui permet d’échanger directement via internet de poste à poste. Les données transitent ainsi directement de l’ordinateur d’un correspondant à un autre sans passer par un serveur tiers, contrairement à d’autres services qui stockent, même temporairement, les données sur des machines.

Ainsi, les clés de chiffrement passent directement de l’envoyeur à son destinataire. Bittorrent explique également qu’il n’y a pas nécessairement besoin d’un nom d’utilisateur classique qui permettrait de se connecter comme on le fait pour d’autres services, c’est la clé qui tient ce rôle. On peut ainsi utiliser le chat, si on le souhaite, sans avoir à dévoiler son identité, seule la clé est nécessaire.

Selon l’éditeur, sa messagerie de sécurité baptisée « Bleep » pourrait être utile à certains profils en plus des conversations entre amis que l’on juge confidentielles : les journalistes et reporters qui communiquent avec leurs sources, les diplomates ou encore les entreprises pour éviter tout espionnage industriel.

Le logiciel BitTorrent Bleep, actuellement disponible en version pre-alpha à des fins de test, est compatible avec Windows 7 et 8. Les utilisateurs qui le souhaitent peuvent s’inscrire sur cette page pour obtenir une invitation au programme.

« Ce phénomène explose de façon exponentielle alors, devant l’étendue des dégâts, nous avons voulu faire un état des lieux », nous explique la DGCCRF, qui a formé une équipe de cyber-enquêteurs à plein temps sur ce sujet voilà quatre ans. Leur objectif est de débusquer les contrevenants au code de la consommation. En quatre ans, 17 avertissements et 23 procès-verbaux ont été dressés. Explications sur cette pratique.

Les méthodes de triche

La modération biaisée

Il existe plusieurs manières de faire reluire son e-reputation et celle de ses produits. Une pratique répandue identifiée par la DGCCRF est « la suppression de tout ou partie des avis de consommateurs négatifs au profit des avis positifs ». C’est ainsi que la société eKomi propose aux e-commerçants une « protection contre la diffusion d’évaluations négatives ou injustifiées » car « il est important de jouir d’une bonne réputation ».

Au-delà des produits et de leurs commentaires, les boutiques en ligne elles-mêmes sont évaluées par les internautes. Il existe plusieurs services de ce genre, comme FIA-NET. Il suffit de se rendre sur ce site pour vite constater que tous les services référencés brillent par un « indice de satisfaction » compris entre 9 et 10/10… Présent sur un site de vente, cet indice peut rassurer le consommateur. « En fait, lorsque des sites marchands contactent FIA-NET, on leur garantit une note supérieure à 9/10 », explique un observateur…

Le traitement différencié

Les avis négatifs peuvent être publiés, mais en suivant un processus qui finira par diminuer leur visibilité. La DGCCRF note que « des gestionnaires traitent les avis avec des délais différents selon qu’ils sont positifs ou négatifs : publication rapide des premiers ; publication différée des seconds. Cette pratique aboutit à une présentation trompeuse puisqu’elle fait apparaître une majorité d’avis positifs parmi les avis récents ».

Ces intermédiaires ont pour habitude de traiter chaque avis négatif comme un litige entre le consommateur et le marchand et, de ce fait, de leur réserver une médiation. Et lorsqu’elle aboutit, le message négatif n’est pas publié… Mais l’internaute ne saura jamais que certaines transactions ont donné lieu à des médiations.

D’après une étude menée par Orange Labs et Médiamétrie à la fin 2013, les avis négatifs dissuaderaient jusqu’à 93% des internautes d’acheter un bien ou un service. Si ce chiffre à lui-seul permet de comprendre pourquoi certains e-marchands censurent la mauvaise critique, Tom Brami, fondateur d’Avis-Vérifiés, estime au contraire que « publier les avis négatifs est la meilleure stratégie, car être transparent, c’est rassurant ».

Les faux avis

C’est la forme la plus extrême de manipulation de son e-réputation. Ces messages peuvent être rédigés par exemple par les équipes du service clients de l’e-marchand, ou confiés à des prestataires spécialisés, souvent installés à Madagascar ou à l’Île Maurice, ce qui est le cas de Rosemees. Melissa Bac, coordinatrice du développement des affaires dans cette société au millier de salariés, nous explique être capable de « mettre à disposition rapidement une équipe pouvant assurer une moyenne d’au moins 10 000 mots par jour ».

Au cours actuel, ce volume reviendra à 210 euros. Pour ce prix, l’e-marchand bénéficiera de « la correction, l’adaptation, la modération, le contrôle linguistique ainsi que tous les droits d’auteurs des textes ». Quand on demande à Rosemees si ses rédacteurs peuvent produire des fautes d’orthographe volontaires, car tous les consommateurs ne sont pas des disciples de Bernard Pivot, la société répond « éventuellement oui ».

Pour rédiger ces messages bidons, Rosemees explique qu’ils sont « basés sur une logique, une recherche et sur les expériences d’utilisateurs ». « L’idée même de la création d’avis est d’inviter des vrais utilisateurs et internautes à participer aux débats », poursuit la société, proposant aussi la rédaction de faux reportages.

Peut-on éviter la manipulation ?

La norme NF Service – Avis en ligne

Depuis un an, les e-commerçants ont la possibilité de faire certifier leur site par la norme NF Service – Avis en ligne. Adressé également aux « tiers de confiance », comme Trusted Shops ou Trustpilot, ce label ne peut être délivré que par Afnor Certification, un organisme lui-même validé par le Comité français d’accréditation. Cette norme permet entre autres d’encadrer les règles de collecte, de modération et de publication des avis en ligne et garantit la transparence, le sérieux et la fiabilité des méthodes employées par le site marchand.

Pour prétendre à son obtention, l’e-commerçant doit déposer un dossier de candidature qui déclenchera un audit de son site Internet mais aussi de ses locaux. « Une fois le label obtenu, il ne l’est pas une fois pour toutes. Le contrôle est à renouveler tous les ans et coûte de 3 000 à 5 000 euros », nous explique Benoît Phuez, chef de produit chez Afnor Certification. Avantage : il s’agit d’un standard, évitant que chacun ait sa propre recette. D’ici trois ans, cette norme devrait rejoindre l’Organisation internationale de normalisation.

Contraignante, elle est peu suivie…

A ce jour, seulement dix entreprises ont réalisé la démarche pour obtenir le logo NF Service – Avis en ligne. Citons GDF Suez ou LDLC côté vendeur, et Bazaarvoice ou Avis-Vérifiés côté société de gestion de la réputation. Malgré un regain d’intérêt depuis la publication du rapport de la DGCCRF fin juillet et « des discussions avec de gros acteurs », Benoît Phuez concède que le succès « n’est pas au rendez-vous ».

« Se mettre en conformité est une phase qui peut prendre du temps pour les grands sites marchands », explique-t-il pour justifier le manque d’engouement envers cette norme. Doit-on lire entre les lignes que ces sites de vente ont une politique d’avis clients actuellement désastreuse ? Benoît Phuez répond « qu’on ne peut pas dire ça, mais il y a possiblement des avis biaisés ». Mais pour être certifié, il existe une autre voie.

Au lieu de subir un audit d’Afnor, les e-commerçants peuvent s’auto-déclarer en conformité. Moyennant 63,20 euros, n’importe qui peut télécharger le document PDF de 30 pages de la norme NF Z74-501, contenant les bonnes pratiques, et affirmer les respecter. Dans l’enquête de la Répression des fraudes, plusieurs cas abusifs ont déjà été identifiés… Il s’agit là d’une pratique commerciale trompeuse selon l’article L121-1 du Code de la consommation. Encore faut-il que le contrevenant soit démasqué par un client ou la DGCCRF.

Celle-ci reconnaît d’ailleurs que la norme NF Service « est hyper contraignante pour les e-marchands », si bien qu’ils « sont dissuadés de l’afficher » car « si ils ne la respectent pas, on leur tombe dessus… ». La Répression des fraudes conçoit cependant que cette certification est encore jeune, le recul pas suffisant.

Des solutions techniques imparfaites

La première solution pourrait être, curieusement, de laisser faire. Selon une étude menée conjointement par Orange Labs et Médiamétrie en novembre 2013, 90% des internautes déclaraient avoir déjà vu de faux avis en ligne, mais sans pour autant que cela remette en question la crédibilité du site marchand ou des produits. Malgré cela, autant d’internautes disent consulter les avis avant d’acheter en ligne, car ils les jugent utiles.

Mais au nom de l’honnêteté intellectuelle, il serait peut-être plus sage de les éradiquer. Brahim Ben Helal, chargé des ventes pour la France chez Trustpilot passe en revue les différentes techniques mises en place par sa société pour « vérifier la véracité » des avis : « Validations de commande, vérifications via le support technique, outils de contrôle pour détecter des adresses IP similaires et les faux comptes Facebook, etc. »

Andreas Munzel, maître de conférences en marketing à l’IAE de Toulouse et spécialiste des avis d’internautes explique sur le site du CNRS que les travaux des linguistes autour du mensonge ont conduit à des méthodes pour identifier certaines caractéristiques propres aux faux avis. « A l’aide d’indicateurs comme le style ou le niveau de langage, la longueur du texte ou l’emploi de certains mots, les chercheurs disent pouvoir distinguer les faux avis des vrais avec 90 % de certitude » – ce qu’ils invitent à tester sur le site Web Review Skeptic.

Mais ces prouesses « restent à évaluer », tempère Andreas Munzel, conscient que les agences spécialisées dans les faux avis « savent adapter leur style de rédaction aux plus récentes avancées des systèmes de détection ». Pour lui, le développement d’un filtre de détection devient « extrêmement difficile et fragile ».

La dernière piste serait d’imposer aux internautes de s’identifier avec leur identité avant de pouvoir poster. En attendant, le jeu du chat et de la souris se poursuit et les clients ne peuvent s’en remettre qu’à leur flair.

Aucun nom de cible n’est donné dans le rapport : Hold Security évoque un accord de confidentialité, et la crainte des sites touchés, de l’être encore. Néanmoins, le New York Times, qui détaille l’affaire, explique avoir mandaté un expert en sécurité pour vérifier la véracité des informations, ayant estimé qu’elles étaient authentiques.

« Les pirates n’ont pas seulement ciblé les entreprises américaines. Ils ont attaqué tous les sites qu’ils pouvaient atteindre, allant du top 500 de Fortune aux très petits domaines » explique Alex Holden, le fondateur de Hold Security. « La plupart de ces sites sont encore vulnérables » ajoute-t-il. Selon lui, il n’y aurait aucun lien entre les hackers malveillants et le gouvernement russe : des sites russes font par ailleurs partie des cibles des pirates.

Les experts en sécurité suivent les activités des pirates depuis 2011 : le groupe serait constitué d’une douzaine de hackers russes d’une vingtaine d’années « qui se connaissent personnellement, pas seulement virtuellement ». Probablement localisés dans le sud de la Russie centrale, ils agiraient de manière très organisée : « Certains développent les programmes tandis que d’autres volent des données. C’est comme dans une petite entreprise, tout le monde essaie de gagner sa vie. » Après s’être concentrés sur une activité liée au spam, ils se seraient réorientés vers le vol de données intensifié début 2014, principalement en exploitant des réseaux de PC zombies (botnet) pour identifier les sites Web vulnérables et aller ensuite à la pêche aux identifiants à l’aide d’injections SQL.

Certains points restent actuellement flous, notamment concernant les botnets utilisés, et l’avenir des données volées. Selon les experts en sécurité, la plupart des identifiants dérobés n’ont pas encore été mis en vente par les pirates : un constat qui laisse un peu de répit aux internautes potentiellement concernés. Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage de grande envergure, mais il faut se montrer patient, car la plateforme est saturée de demandes de vérification. En cas de vol d’identifiants avéré, il faut alors passer à l’étape consistant à changer ses mots de passe sur la Toile.

En Corée du Sud, le constructeur LG Electronics vient en effet d’annoncer la commercialisation d’un bracelet connecté – baptisé KizON – spécialement conçu pour les enfants, de la maternelle à l’école élémentaire.

Équipé d’une puce GPS, d’un module WiFi et compatible avec les réseaux 2G et 3G, l’accessoire indique en temps réel la position géographique du porteur sur l’application mobile que les parents devront installer sur leur smartphone. Son autonomie atteint 36 heures, selon LG, qui précise qu’une alerte sera automatiquement envoyée lorsque la batterie du bracelet descendra sous un certain seuil.

L’accessoire est aussi doté d’un bouton permettant à l’enfant d’appeler ses parents, sans qu’il est besoin de retenir un quelconque numéro de téléphone. Fonctionnalité intéressante : si un parent appelle l’enfant et que celui-ci ne répond pas, le micro intégré s’active automatiquement au bout de dix secondes, permettant de savoir s’il y a un problème et, le cas échéant, de joindre l’école ou d’alerter les secours, par exemple.

Lancé ce jeudi en Corée du Sud, le bracelet sera aussi mis en vente en Amérique du Nord et en Europe, indique LG. Mais le fabricant fait savoir qu’il communiquera plus tard le prix de vente de son appareil ainsi que la date exacte de sa disponibilité dans le commerce. Il est toutefois question d’une sortie cette année.

Comme toujours, un tel dispositif interroge au regard de la surveillance qu’il permet d’effectuer. Si le « flicage » des parents à l’égard de leurs jeunes enfants n’a rien d’inhabituel, du fait de l’autorité parentale, les données récoltées transitent par un dispositif dont certains mécanismes conduisent au transfert de certaines informations à LG ou Google (l’appareil fonctionne avec Android).

La géolocalisation permanente des enfants est un sujet loin d’être nouveau. En 2011, nous avions relaté le test conduit par une crèche suédoise qui a consisté à placer des émetteurs sur des écoliers pour les surveiller lors des sorties scolaires. Dans un autre registre, des lycées américainsont exploré cette voie pour lutter contre l’absentéisme de certains jeunes.

&Tweet

Sur Windows, n’importe qui peut trouver la liste des dossiers et des fichiers récemment accédés, tout est dans la base de registre.

Ces éléments sont les ShellBags et ils sont utiles au système puisque c’est ce qui permet d’enregistrer les paramètres d’affichage dossier par dossier. Mais c’est aussi un élément qui peut « trahir » vos activités sur votre PC. En effet, ces « shellbags » sont conservés avec la date de création et la date d’accès aux dossiers et cela même si le dossier a été supprimé.

Alors que faire ? Et bien il y a la méthode manuelle qui consiste à se rendre dans la base de registres puis à supprimer les clés suivantes :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags
• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
• HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
• HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

Et pour les Windows 64-bit, supprimez aussi :

• HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags
• HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

Puis à recréer manuellement les clés suivantes :

• HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
• HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

Et pour les Windows 64-bit, créez aussi les clés :

• HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\Bags
• HKEY_CURRENT_USER\Software\Classes\Wow6432Node\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

Voilà, le ménage sera fait comme ça.

Mais si toucher à votre base de registre vous fait peur, sachez qu’il existe un excellent petit soft baptisé « Shellbag Analyzer & Cleaner » qui va vous permettre de faire le ménage plus finement et de manière plus visuelle.

&Tweet