Les nouvelles méthodes de Google et des autres, pour vous pister sans jamais utiliser de cookies

Facebook, Google, AddThis, KissMetrics, whitehouse.gov… certains de ces sites vous parlent, d’autres non. Quoi qu’il en soit, ils font tous partis des 100.000 sites les plus populaires au monde.  Et ils utilisent tous ces nouvelles méthodes de tracking (suivi) contre lesquelles nos petits bloqueurs de pub — Adblock, Ghostery — auront du mal à rivaliser.

À quoi sert le tracking sur Internet ?

Le tracking sur Internet a surtout deux intérêts :

• Dans un cadre étatique, cela sert à vous identifier et à vous surveiller. On espère que dans nos démocraties occidentales ce genre de pratique reste marginale, mais l’actualité autour de la NSA laisse malheureusement penser le contraire.
• Dans un cadre publicitaire et commerciale, le tracking est utilisé pour vous servir les bonnes publicités au bon moment et vous inciter à acheter.

Pour Google, la publicité compte pour presque 90% de son chiffre d’affaire. Je pense que c’est pareil pour Facebook, Twitter et les autres. Le tracking est donc absolument primordial pour les Géants.

Pourquoi de nouvelles méthodes de tracking ?

Les méthodes actuelles se basent quasi exclusivement sur l’utilisation de cookies. Il s’agit de petit fichier que les sites Internet peuvent enregistrer sur votre ordinateur pour vous suivre pendant plusieurs mois.

De plus en plus d’internautes bloquent leurs cookies, soit par choix (Adblock, Ghostery, etc…), soit parce que certains navigateurs comme Firefox ou Safari décident de bloquer les cookies par défaut.

Google et tous les autres acteurs du web qui vivent grâce au tracking ont donc été obligé d’évoluer rapidement. Voila comment ils s’y sont pris.

1. La méthode Google : mystérieuse et gênante

Google, qui ne communique pas des masses sur son nouveau procédé de suivi, semble créer une “empreinte digitale” (fingerprint)  de la machine utilisée par chaque internaute.

Cette empreinte est une sorte de bouillie créée en mixant :

1. Des caractéristiques de votre navigateur ;
2. Des caractéristiques sur votre ordinateur ;
3. Probablement des cookies, des sessions, votre IP ;

Pour le premier point c’est facile : il suffit de récupérer l’user-agent. Pour le second point, c’est de plus en plus facile pour Google puisque le navigateur Google Chrome passe en tête dans tous les classements de navigateurs web. En installant Chrome, vous donnez à Google toutes les clefs dont il a besoin pour accéder à votre machine. Enfin pour le dernier point, c’est du grand classique.

J’imagine que Google crée une checksum (somme de contrôle) avec toutes ces info pour nous identifier. Nous verrons comme nous protéger des 3 techniques de cet article dans la dernière partie.

2. La méthode du ETAG : bien cachée, et difficile à contrer

Cette méthode a été parfaitement décrite par lucb1en sur son blog (en anglais). Voici ce qu’il faut retenir.

Lorsque vous surfez sur Internet, votre navigateur web discute sans cesse avec des serveurs web. C’est grâce à ces discussions entre votre navigateur et les serveurs web (le protocole HTTP) que vous pouvez accéder à tous les sites web de la planète.

Pour gagner du temps et éviter des “discussions” inutiles, votre navigateur et les serveurs web utilisent ce qu’on appelle un système de cache. Chacun de leur côté, ils gardent des choses en mémoire (des pages que vous visitez souvent, des images, …) pour vous les ressortir très vite si vous leur demandez.

Par exemple : vous arrivez sur mon blog ce matin à 10h. Si vous y retournez à 10h02, il y a de fortes chances pour que rien n’ai changé. Du coup, votre navigateur va mettre en cache les pages de mon blog que vous visitez la première fois pour vous les ressortir très rapidement les prochaines fois (sans aller discuter avec mon serveur web). S’il y a eu des changements entre temps, alors rassurez-vous : le navigateur sera forcé de mettre à jour les pages qu’il a sauvegardé. Vous aurez toujours la dernière version de mon blog sous les yeux.

En vert, le temps de chargement des pages “cachées”, en bleu les pages “non cachées”

Et justement : pour savoir s’il y a eu du changement entre deux de vos visites sur un site, le serveur et votre navigateur s’échange un ETAG. Ce ETAG permet de savoir, pour faire simple, si des choses ont changé entre la version mise en cache par votre navigateur et le site lui-même.

Ce ETAG est une suite de lettres et de chiffres (du genre 2b987efiej7fe987f). Partant d’un principe assez noble (améliorer les délais d’attente sur le web), ce ETAG a été détourné pour pister les internautes. En affectant à chaque visiteur un ETAG différent, un site web est capable d’utiliser le cache navigateur – et non les cookies – pour vous pister.

Qui pense à vider son cache ? Pratiquement personne. Qui bloque la mise en cache de son navigateur ? Presque personne non plus, parce que bloquer le cache c’est ralentir fortement votre vitesse de navigation.

Pour info, KissMetrics (un outil qui vous track sur de nombreux sites) et Hulu (une sorte de Netflix aux USA) ont utilisé ce procédé.

3. La méthode du Canvas Fingerprinting : un dessin malicieux

Cette dernière méthode est utilisée par les grands sites dont je vous parlais au début de l’article. Elle consiste à faire dessiner par votre navigateur une image (invisible) et à la numériser, c’est à dire la transformer en une série de chiffres qui vous identifie, comme un code-barre en quelques sortes.

Cette image sera dessinée en prenant en compte les propriétés de votre matériel : votre carte graphique, votre navigateur, votre système d’exploitation. Cela étant dit, une empreinte générée par cette méthode n’est pas forcément unique d’un internaute à l’autre. Il existe une marge d’erreur qu’il est facile de faire disparaître en combinant ce tracking avec les  autres méthodes détaillées précédemment.

C’est justement à cause de son manque d’entropie, c’est à dire le manque de certitude avec laquelle on peut identifier de manière unique un internaute, que cette méthode du canvas ne semble pas utilisée à grande échelle.

Voici un document de recherche très complet qui explique la mise en place de cette technique : https://cseweb.ucsd.edu/~hovav/dist/canvas.pdf

Pour connaître votre “empreinte canvas”, vous pouvez cliquer ici et chercher la ligne “Your browser fingerprint”. Votre identifiant (presque) unique se trouve juste en dessous.

Conclusion et méthodes de protection

Ces 3 méthodes sont les prémisses du nouveau web, un web où les cookies disparaîtront petit à petit au profit d’autres technologies beaucoup plus intrusives.
Voici des pistes pour vous protéger des 3 techniques ci-dessus et pour vous protéger des méthodes à l’ancienne  :

• Pour vous protéger de la technique 1 : il me paraît sain de ne pas utiliser Google Chrome et/ou pourquoi pas d’utiliser une extension de navigateur type Random Agent Spoofer ou équivalent. Cette extension change régulièrement votre user-agent pour éviter d’être clairement identifiable. Changer son adresse IP (avec un proxy ou un VPN) me semble aussi une bonne idée.
• Pour vous protéger de la technique 2 : c’est assez difficile. Soit vous désactivez le cache de votre navigateur, mais vous perdez vraiment en performance, soit vous videz le cache régulièrement (à la fermeture par exemple, Firefox le permet nativement). Dernière idée : utiliser le plugin “Secret Agent” pour Firefox et dérivés, qui s’amuse avec les ETAGS pour vous éviter d’être pisté. Je n’ai pas testé cette solution.
• Pour vous protéger de la technique 3 : il n’existe pas de solutions miracles, si ce n’est utiliser un bloqueur de pub type Adblock ou Ghostery. Ces bloqueurs vont bloquer les scripts type AddThis qui, eux-mêmes, utilisent le canvas fingerprinting.
• Pour vous protéger en général, je vous recommande d’utiliser un bloqueur de pubs/scripts type Adblocks/Ghostery. Bien que les techniques de tracking évoluent, ils sont toujours bien utiles.

Bon courage, dans la jungle du tracking !

REF.:

Blocage Windows Update sur Windows 8.1

Après une réinstallation de Windows 8.1, il est possible que le téléchargement des mises à jour de Windows se bloquent.
En clair Windows Update mouline dans le vide et impossible de télécharger et installer de nouvelles mises à jour sur Windows 8.1
Voici comment opérer pour débloquer Windows Update.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Table des matières [masquer]

• 1 Débloquer Windows Update
• 2 WSUS Offline Update
• 3 Liens connexes

Débloquer Windows Update

Tentez les opérations suivantes.
Dans un premier temps, désactivez le téléchargement automatique des mises à jour de Windows Update.
Pour cela, ouvrez le Panneau de configuration de Windows puis Windows Update.

A gauche, cliquez sur modifier les paramètres.

Positionnez les mises à jour sur « Ne jamais rechercher des mises à jour de Windows« .
Décochez toutes les options.
Cliquez sur OK.

Mettez à jour le client Windows Update, en installant les mises à jour suivantes manuellement selon l’architecture de Windows :
Comencez par le KB3138615
puis :

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

• 64-bit:
  KB2919442 / KB2919355 / KB2932046 / KB2937592 / KB2938439 / KB2934018
• 32-bit:
  KB2919442 / KB2919355 / KB2932046 / KB2937592 / KB2938439 / KB2934018

Une fois tous ces mises à jour installées.
Activez les mises à jour automatiques sur Windows et tentez une recherche.
Windows Update ne devrait plus se bloquer.

WSUS Offline Update

Si vraiment rien ne fonctionne, vous pouvez utiliser WSUS Offline Update. Ce programme peut permettre de télécharger les mises à jour depuis un autre ordinateur et de les jouer sur Windows Vista.
Lancez le programme WSUS Offline Update puis télécharger toutes les mises à jour pour Windows Vista.
Copier le dossier client de WSUS Offline Update sur une clé USB et jouer les mises à jour.
WSUS Offline Update n’arrive peut-être pas au bout mais peut permettre d’installer un maximum de mise à jour et débloquer au bout du compte Windows Update.
=> Plus d’informations : Tutoriel WSUS Offline Update

Liens connexes

Les tutoriels pour Réparer Windows.
Les liens relatifs à Windows Update :

• Erreurs Windows Update
• Windows Update : erreurs et problèmes
• Windows Update bloqué et erreurs mises à jour sur Windows 7
• Outils Windows Update

REF.:

La mise à jour de Windows 10 Fall Creators Update (version 1709) est mise à jour importante de Windows 10 prévu le 17 Octobre.
Comme toutes ces mises à jour, un lot de nouveautés est proposé, vous pouvez obtenir une liste sur la page suivante : Windows 10 Fall Creators Update : les nouveautés
Cet article vous explique comment installer la mise à jour Windows 10 Fall Creators Update (version 1709) avec différentes méthodes.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Table des matières [masquer]

• 1 Télécharger et installer Windows 10 Fall Creators Update (version 1709)
  • 1.1 Par Media Creation Tool
  • 1.2 Par l’Assistant de mise à jour de Windows
• 2 Rétrograder Windows 10 Fall Creators Update
• 3 Liens Windows 10

Télécharger et installer Windows 10 Fall Creators Update (version 1709)

La mise à jour de Windows 10 vers la version Fall Creators Update sera disponible à partir du 17 octobre.
Vous ne pourrez donc suivre les instructions de mise à jour qu’à partir de cette date.
Comme la version Creator Update (1703) et version anniversaire de Windows 10 (1604), celle-ci sera délivré par Windows Update au compte goûte.
Vous pouvez, toutefois, forcer l’installation, par une mise à jour manuelle vers Fall Creators Update.
Pour se faire, voici deux méthodes pour effectuer la mise à jour Fall Creators Update.
Pour ce qui est des conseils avant l’installation de la Fall Creators Update, vous pouvez lire la page suivante, vous y trouverez aussi l’historique des versions de Windows 10 : Windows 10 : les conseils de mise à jour et mise à niveau.
Il est fortement conseillé de créer une image système ou du moins une clé USB d’installation de Windows pour pouvoir revenir en arrière en cas de problème depuis les options de récupération système.
Deux utilitaires permettent de mettre à jour Windows 10, soit l’assistant de mise à jour de Windows 10, soit Media Creation Tool.
Ces deux utilitaires peuvent être téléchargés depuis le lien suivant : https://www.microsoft.com/fr-fr/software-download/windows10

Par Media Creation Tool

Media Creation Tool est un utilitaire qui permet à la fois de créer un support d’installation de Windows mais aussi de mettre à jour votre installation de Windows.
Téléchargez et lancez l’utilitaire Media Creation Tool, laissez-vous ensuite guider afin de procéder à la mise à jour de Windows 10.
La mise à jour Fall Creators Update n’est pas très difficile à installer, il faut se laisser guider en choisissant « Mettre à niveau ce PC maintenant »

Le téléchargement de Windows 10 peut prendre du temps selon la vitesse de votre connexion internet.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Une fois la mise à jour Fall Creators Update prête, vous obtenez le message ci-desous

L’installation se lance alors avec plusieurs phases avec des redémarrages de l’ordinateur.
Laissez l’opération s’effectuer.

Par l’Assistant de mise à jour de Windows

Un utilitaire de mise à jour de Windows 10 est aussi disponible : l’Assistant de mise à jour de Windows.
Cet assistant télécharge la mise à jour Fall Creators Update en fond, vous pouvez alors continuer à utiliser l’ordinateur.
Une fois que la mise à jour est prête, ce dernier vous prévient et vous pouvez lancer l’installation.

Rétrograder Windows 10 Fall Creators Update

Cette opération permet de revenir à la version précédente de Windows 10 notamment la version 1607.
Se reporter à la page : Comment rétrograder Windows 10 Fall Creators Update
Vous y trouverez toutes les explications, méthodes et démarches.

Liens Windows 10

Tous nos tutos, articles sur Windows 10 : Tutoriel Windows 10

REF.:

Top des applications Android pour le piratage

Ici, nous n'avons dans aucun ordre particulier les meilleures applications Android pour le piratage en utilisant un smartphone Android.
Avertissement: Ces applications doivent être utilisées uniquement à des fins de recherche
1. SpoofApp: - SpoofApp est une application mobile d'usurpation d'identité d'appelant, de changement de voix et d'enregistrement d'appel pour votre iPhone, votre téléphone BlackBerry et votre téléphone Android. C'est une application mobile décente pour aider à protéger votre vie privée sur le téléphone. Cependant, il a été banni du Play Store pour être prétendument en conflit avec The Truth in Caller ID Act de 2009.
2. Andosid: - L'outil DOS pour les téléphones Android permet aux professionnels de la sécurité de simuler une attaque DOS (une attaque http post inondation pour être exact) et bien sûr un dDOS sur un serveur web, à partir de téléphones mobiles.
3.Faceniff: - Vous permet de renifler et d'intercepter les profils de session Web sur le WiFi auquel votre mobile est connecté. Il est possible de détourner des sessions uniquement lorsque le WiFi n'utilise pas EAP, mais il devrait fonctionner sur tous les réseaux privés.
4.Nmapper: - (Network Mapper) est un scanner de sécurité écrit à l'origine par Gordon Lyon pour découvrir les hôtes et les services sur un réseau informatique, créant ainsi une «carte» du réseau. Pour atteindre son objectif, Nmapper envoie des paquets spécialement conçus à l'hôte cible, puis analyse les réponses.
5. Boîte à outils réseau anti-Android: - zANTI est une boîte à outils complète de diagnostic réseau qui permet des vérifications complexes et des tests de pénétration à la simple pression d'un bouton. Il fournit des rapports basés sur le cloud qui vous guide à travers des directives simples pour assurer la sécurité du réseau.
6. SSHDroid: - SSHDroid est une implémentation de serveur SSH pour Android. Cette application vous permet de vous connecter à votre appareil depuis un PC et d'exécuter des commandes (comme "terminal" et "shell adb") ou d'éditer des fichiers (via SFTP, WinSCP, Cyberduck, etc.).
7. WiFi Analyzer: - Transforme votre téléphone Android en un analyseur Wi-Fi. Montre les canaux Wi-Fi autour de vous. Vous aide à trouver une chaîne moins encombrée pour votre routeur sans fil.
8. Découverte du réseau: - Découvrez les hôtes et scannez leurs ports dans votre réseau Wifi. Un excellent outil pour tester la sécurité de votre réseau.
9. ConnectBot: - ConnectBot est un puissant client SSH (Secure Shell) open-source. Il peut gérer des sessions SSH simultanées, créer des tunnels sécurisés et copier / coller entre d'autres applications. Ce client vous permet de vous connecter à des serveurs Secure Shell qui s'exécutent généralement sur des serveurs UNIX.
10. dSploit: - Suite d'analyse et de pénétration réseau Android offrant la boîte à outils professionnelle la plus complète et la plus avancée pour effectuer des évaluations de sécurité réseau sur un appareil mobile.
11. Hackode: - La boîte à outils du hacker est une application pour testeur de pénétration, hackers Ethical, administrateur informatique et professionnel de la cybersécurité pour effectuer différentes tâches telles que la reconnaissance, l'analyse des exploits, etc.
12.Androrat: - Outil d'administration à distance pour Android. Androrat est une application client / serveur développée en Java Android pour le client et en Java / Swing pour le serveur.
13.APKInspector: - APKinspector est un outil graphique puissant pour les analystes d'analyser les applications Android. Le but de ce projet est d'aider les analystes et les ingénieurs inverses à visualiser les paquets Android compilés et leur code DEX correspondant.
14.DroidBox: - DroidBox est développé pour offrir une analyse dynamique des applications Android.
15.Burp Suite: - Burp Suite est une plate-forme intégrée pour effectuer des tests de sécurité des applications Web. Ses différents outils fonctionnent parfaitement ensemble pour prendre en charge l'intégralité du processus de test, depuis la cartographie initiale et l'analyse de la surface d'attaque d'une application jusqu'à la détection et l'exploitation des vulnérabilités de sécurité.
16. Droid Sheep: - DroidSheep peut être facilement utilisé par toute personne disposant d'un appareil Android et seul le fournisseur du service Web peut protéger les utilisateurs. Donc, tout le monde peut tester la sécurité de son compte par lui-même et peut décider de continuer à utiliser le service Web.
17. AppUse: - Plate-forme Android Pentest Unified Standalone Environment: - AppSec Labs a récemment développé la machine virtuelle AppUse. Ce système est une plate-forme unique et gratuite pour les tests de sécurité des applications mobiles dans l'environnement android. Il comprend des outils personnalisés uniques créés par AppSec Labs.
18. Shark for Root: - Renifleur de trafic, fonctionne sur 3G et WiFi (fonctionne aussi sur le mode connecté FroYo). Pour ouvrir le vidage, utilisez WireShark ou un logiciel similaire, pour un vidage d'aperçu sur le téléphone, utilisez Shark Reader. Basé sur tcpdump.
19. Fing: - Découvrez quels appareils sont connectés à votre réseau Wi-Fi, en quelques secondes.Fast et précis, Fing est une application professionnelle pour l'analyse de réseau. Une interface simple et intuitive vous aide à évaluer les niveaux de sécurité, à détecter les intrus et à résoudre les problèmes de réseau.
20.Drozer: - drozer vous permet de rechercher des vulnérabilités de sécurité dans les applications et les périphériques en assumant le rôle d'une application et en interagissant avec la machine virtuelle Dalvik, les points d'extrémité IPC des autres applications et le système d'exploitation sous-jacent. drozer fournit des outils pour vous aider à utiliser et à partager les exploits Android officiels. Il vous aide à déployer un agent de drozer en utilisant belette - l'exploitation avancée de MWR
charge utile.

21. WifiKill: - Deuxième application, développée également par B.Ponury est une application qui peut tuer les connexions et donner un coup de fouet aux sites du site. Cette application définitivement kick puis utilisateur net du site afin qu'il ne peut plus l'utiliser. L'application offre également la liste des sites consultés par le hogger.

22. DroidSniff: - Similaire à DroidSheep, mais avec une interface plus récente et plus agréable est DroidSniff - renifler l'application non seulement pour Facebook. Cette application vous montre ce que cherche le hogger et vous pouvez "prendre" son contrôle, voler les cookies et le rock'n'roll. Fonctionne parfaitement.

23. Network Spoofer: - La dernière application, appelée NetWork Spoofer, est très similaire à dSploit, mais elle est plus facile à utiliser. Seul l'attelage est que vous devez avoir au moins 500 Mo de données gratuites. Il vous offre de nombreuses fonctionnalités troll - modifier les recherches Google, retourner des images, rediriger des sites Web, échanger des vidéos YouTube et autres.

24. Droid SQLI: - vous permet de tester votre application web basée sur MySQL contre les attaques par injection SQL. DroidSQLi prend en charge les techniques d'injection suivantes: injection basée sur le temps, injection aveugle, injection basée sur l'erreur, injection normale.

25. sqlmapchik: - est une interface graphique sqlmap multi-plateforme pour l'outil sqlmap extrêmement populaire

26. WhatsApp Viewer: - est un outil médico-légal simple. Il donne l'accès au chat WhatsApp directement à partir de bases de données sqlite, même à partir de bases de données cryptées.

27. WhatsAPI: - Est une plate-forme qui vous permet d'envoyer des messages en masse via PHP. Le script lui-même est simple.

REF.:

6 méthodes méconnues pour connaitre et identifier le propriétaire d’un site

Vous voulez trouver le propriétaire d’un site web pour mille et une raisons différentes :

• L’auteur d’un site vous insulte, vous provoque ou diffame ;
• Pour savoir qui se cache derrière un site de e-commerce qui vous semble louche ;
• Par pure curiosité ;
• Si c’est un concurrent commercial, il peut être utile de savoir à qui vous avez affaire ;
• Pour remonter à l’auteur d’une vidéo ou d’un contenu quelconque ;
• Pour enquêter et vous amuser

Il n’existe pas d’outils magiques pour trouver le propriétaire d’un site web, seulement quelques trucs plus ou moins connus qui permettent d’arriver à vos fins. Voyons les plus efficaces !

1. L’outil magique pour débroussailler : SpyOnWeb

Avant de détailler des techniques de recherche manuelles, je voulais vous parler de SpyOnWeb.com qui permet, la plupart du temps, d’obtenir énormément d’informations et de trouver le propriétaire d’un site web. SpyOnWeb est un petit algorithme qui demande des info sur un site web et qui recrache, à sa sortie, plein de données qu’il a pu extraire tout seul.
Le plus puissant est, à mon sens, son analyse de l’identifiant analytique. Lorsqu’un webmaster veut connaître le comportement des visiteurs sur son site, le nombre de visites qu’il a chaque jour, etc… il va installer un système de tracking sur son site. Les webmasters se tournent généralement vers Google Analytics (un service gratuit de Google qui fait très bien cela).
Pour installer ce système de tracking sur leurs sites, les webmasters doivent insérer un petit bout de code dans leurs pages. Et dans ce petit bout de code se trouve un identifiant unique qui les identifie. Si un webmaster possède 3 sites, il pourra avoir le même identifiant analytique sur ses 3 sites. Je dis “pourra” car ce n’est pas toujours le cas malheureusement.
Pour trouver ce petit identifiant, rendez-vous sur le site à stalker, faites un clic doit n’importe où puis cliquez sur “voir la source de la page” (vous pouvez aussi passer par le menu “fichier => voir la source” s’il n’y a rien en faisant un clic droit).

S’ouvrira alors une page pleine de code HTML.


Faites une recherche (le raccourci clavier CTRL+F) sur le mot-clef : “UA-“. Si un code Google Analytics est présent sur le site web, le curseur se placera sur un truc du genre :

ga(‘create’, ‘UA-48884625-1‘, ‘le-site.com’);
ga(‘send’, ‘pageview’);

Dans mon exemple, l’identifiant à récupérer est UA-48884625-1. L’identifiant parent est UA-48884625, le “-1” à la fin veut dire que ce site est le premier d’un groupe de site. Sur un autre site du même webmaster, vous pourrez trouver “UA-48884625-2″ par exemple.

Donnez l’identifiant parent à SpyOnWeb.com et celui-ci essaiera de trouver tous les autres sites qu’il connaît qui utilisent le même identifiant analytique. Parfois il trouve, parfois non. Ne lui confiez pas tous vos espoirs mais quand ça marche, c’est de la bombe ! SpyOnWeb est un annuaire comme un autre : s’il n’a jamais référencé le site que vous cherchez à analyser, il ne vous donnera aucune information. Voila sa grande faiblesse.

Si vous pensez que deux sites appartiennent peut-être à la même personne, vous pouvez faire le travail de SpyOnWeb vous même : ouvrez le code source des deux sites et cherchez les codes UA-…… de chacun d’eux et comparez-les manuellement.

2. Le Reverse IP Lookup : obtenir les autres sites d’un webmaster

Le reverse IP est un outil incroyablement puissant, mais il demande de comprendre les bases de l’hébergement de sites web. Ne vous inquiétez pas, c’est assez simple. N’hésitez pas à poser vos questions en commentaire si besoin.

Lorsque vous créez votre propre site Internet, vous avez grosso modo 2 manières de le mettre en ligne pour qu’il soit accessible sur toute la planète :

• Soit vous utilisez un “hébergement mutualisé”. C’est l’équivalent d’une collocation entre sites web : l’entreprise qui va mettre votre site en ligne sur Internet mettra votre site en “collocation” avec d’autres sites sur le même serveur web. C’est une manière de faire qui ne coûte pas grand chose. Problème : si l’un de vos colocataires fait des bêtises de son côté du serveur, votre site peut être piraté ou très ralenti.
• Soit vous utilisez un “hébergement dédié”. Cela équivaut à avoir votre propre maison : votre site web est hébergé sur un serveur qui vous appartient entièrement, sans devoir vous taper des colocataires parfois pénibles. Cette solution est plus chère et plus complexe pour le webmaster.

Quelque soit votre manière de faire, votre site web sera toujours hébergé sur un serveur web, c’est comme ça que ça marche. Comme je l’ai expliqué juste avant, ce serveur web sera soit entièrement dédié à vos sites à vous, soit il sera partagé avec d’autres webmasters comme une colloc.

Un serveur web est un ordinateur comme un autre, il possède donc une adresse IP qui l’identifie sur Internet. Grâce à cette adresse IP et au protocole DNS (je ne rentre pas dans les détails, vous pouvez faire abstraction), il est possible d’obtenir la liste de tous les sites qu’héberge un serveur web donné.

Prenons un exemple concret. Vous cherchez à espionner un site en particulier, pour trouver le propriétaire d’un site web. Disons que ce site est hébergé sur un serveur dédié, c’est à dire un serveur qui appartient entièrement au propriétaire du site en question. Peut-être que ce webmaster possède d’autres sites que celui que vous cherchez à espionner, et peut-être que ces autres sites sont installés sur le même serveur web que votre site cible ! Sans utiliser un outil de reverse IP, vous n’avez aucun moyen de savoir si d’autres sites partagent le serveur de ce webmaster. Voyons comment cela fonctionne avec le serveur web de mon éditeur.

Utilisez par exemple le Reverse IP de Domaintools.com. Tapez l’adresse du site à espionner dans la recherche et validez :

L’outil a trouvé 3 autres sites hébergés sur le même serveur que jesaisquivousetes.com : apprendre-a-manipuler.com, bonjourinternet.org et institut-pandore.com. Cela donne énormément d’informations sur les activités qui entourent un site web.
Ce service de domaintools.com demande de payer pour obtenir la fin de la liste. La plupart des outils de reverse IP demandent de payer pour obtenir une liste complète.
Toute à l’heure, je vous expliquais la différence entre un hébergement dédié et un hébergement mutualisé : si votre site cible est hébergé dans une énorme “collocation” de sites web, alors la liste du reverse IP sera très longue et incohérente. Tous les sites n’appartiendront pas à la même personne, puisqu’il s’agit d’une collocation.
Au contraire, si le site web est hébergé sur un serveur dédié (c’est le cas pour jesaisquivousetes.com), tous les sites de la liste appartiennent à la même personne, de près ou de loin. A vous de faire le tri.

3. Le Tracking Link Creator : géolocaliser et pister le propriétaire

Toujours fidèle au poste, le TLC vous permettra de récupérer beaucoup d’informations sur le webmaster d’un site à condition de pouvoir lui envoyer votre lien piégé par e-mail.

Pour plus d’informations sur le TLC, je vous invite à lire mon article : Localiser et espionner quelqu’un sur Skype, Facebook ou sur le web. Profitez d’un formulaire de contact ou d’un espace commentaires pour insérer votre tracking link.

4. Le Whois

Il est par exemple possible d’utiliser la fonction whois 1and1 pour obtenir des informations sur le propriétaire d’un site web et d’un domaine. L’ICANN, l’organisme qui chapeaute la gestion des noms de domaine sur Internet, souhaite que les propriétaires de sites e-commerce soient obligés d’indiquer leurs coordonnées lorsqu’ils enregistrent leur nom de domaine. Pratique pour savoir à qui appartient tel ou tel site, même si ça ne marche pas à tous les coups.

---

Découvrez les 3 autres méthodes pour trouver le propriétaire d’un site web

Ces méthodes sont dans mon livre “Je sais qui vous êtes : le manuel d’espionnage sur Internet” pour aller encore plus loin dans vos recherches. Au programme :

• Comprendre comment fonctionne la fonction whois et apprendre à l’exploiter de manière intelligente ;
• Comment exploiter Google pour trouver des informations complètement cachées sur un site ;
• Comment profiter de la loi Française et Européenne pour trouver le propriétaire d’un site web ;

REF.: