LOGS A GOGO !

Ce soir, Monsieur Dupont a décidé de se promener un peu sur le Net, comme il le fait de temps en temps depuis qu'il s'est acheté un PC, un modem et un abonnement chez "Obus On-Line", filiale d'un marchant de canons.

Nous allons en profiter pour faire un petit point concret sur les différentes informations que sème a son insu Monsieur Dupont lors de ses passages sur l'Internet. Pour voir enfin à quoi ressemblent ces fameux "fichiers de logs".

Chez "Obus On-Line" (OOL), Monsieur Dupont est enregistré sous le nom de "dupont". A ce nom correspondent, dans la base de données de OOL, son adresse, son numéro de téléphone, son numéro de compte en banque (Monsieur Dupont a choisit de payer par prélèvement automatique, c'est plus simple), ainsi que son âge, l'âge de ses enfants et le secteur dans lequel il travaille (il a gagné un tapis de souris frappé du sigle de OOL pour ces quelques informations qui n'ont rien de confidentiel, alors pourquoi aurait-il refusé ?).

Sa connexion provoque l'ajout des lignes suivantes dans un fichier d'une machine de son fournisseur d'accès, OOL :

Jan  8 18:47:02 ool035 pppd[6919]: pppd 2.1.2 started by ppp, uid 501
Jan  8 18:47:02 ool035 pppd[6919]: Using interface ppp3
Jan  8 18:47:02 ool035 pppd[6919]: Connect: ppp3 <--> /dev/ttyR4
Jan  8 18:47:05 ool035 pppd[6919]: LOGIN: dupont 08/01/97 18:47 R4
Jan  8 18:47:06 ool035 pppd[6919]: local  IP address 111.111.111.222
Jan  8 18:47:06 ool035 pppd[6919]: remote IP address 111.111.111.111
Jan  8 18:47:06 ool035 pppd[6919]: found interface eth0 for proxy arp

A présent, muni de l'IP 111.111.111.111 (et du nom de machine ppp154.vincennes.ool.fr associé à cet IP par le DNS de OOL), Monsieur Dupont lance mIRC pour prévenir le monde de son arrivée sur le Net. Il a configuré son mIRC pour ne pas révéler son nom mais seulement son prénom : Henri.

Après quelques minutes sur IRC il enfile sa combinaison de surf et passe à Netscape. Direction www.truc.com. Puisque Monsieur Dupont a configuré son Netscape pour utiliser le proxy de OOL (ce à quoi son fournisseur l'encourage fortement en lui répétant que cela accélère le chargement des pages), les lignes suivantes sont ajoutées dans le fichier de log du serveur proxy (qui est aussi une machine appartenant à OOL) :

ppp154.vincennes.ool.fr - - [08/Jan/1997:18:58:23 +0100] "GET http://www.truc.com/" TCP_MISS 4506

Et ainsi de suite pour toutes les autres pages WWW que visitera Monsieur Dupont.

L'administrateur de www.truc.com, qui ne veut pas que Monsieur Dupont se contente de ramener l'information du proxy, a configuré son serveur de manière à ce que les pages ne restent pas longtemps dans le proxy, en fixant un délai d'expiration très court. C'est alors le proxy qui va s'adresser a www.truc.com, masquant ainsi la visite de Monsieur Dupont au serveur. Mais qu'on se rassure, ce dernier n'est pas sans recours. Pour ne pas perdre de vue Monsieur Dupont, il lui envoie un cookie, que Netscape stocke ainsi :

.truc.com	TRUE	/	FALSE	1293839999	UID	2JH611E45D

Dans ce cas précis, le cookie (qui expirera le 31 décembre 2010 a 23h59) se contente en fait d'associer un numéro unique (2JH611E45D) à Monsieur Dupont. Etant stocké sur le disque dur de Monsieur Dupont, il sera encore présent même si Monsieur Dupont attend une semaine avant de se reconnecter et de retourner sur le site www.truc.com. Mais aucun autre site que ceux du domaine truc.com n'y aura accès. De plus, le serveur www.truc.com n'a accès qu'aux cookies qu'il a lui-même placés et à aucune autre information sur le disque dur. Précisons enfin que le Netscape de Monsieur Dupont n'est pas censé accepter plus de 300 cookies avec un maximum de 20 provenant du même domaine, chaque cookie ne pouvant pas excéder 4 kilobytes.

Ce qui n'est en revanche pas limité en mémoire ce sont les informations relatives à Monsieur Dupont qui sont stockées sur les machines de truc.com. Et qui sont associées à Monsieur Dupont à l'aide de ce numéro unique (2JH611E45D) que contient son cookie. Quelles sont ces informations ? D'abord la liste complète des pages du site www.truc.com qu'a visitées Monsieur Dupont et le temps qu'il a passé à lire chacune. A cette liste s'ajoutent les informations que fournit Netscape au serveur à chaque accès, comme l'adresse de la page sur laquelle se trouve le lien qui a envoyé monsieur Dupont sur www.truc.com, le type de browser (et la version) utilisé ainsi que le système d'exploitation. Enfin, et surtout, peuvent se trouver toutes les autres informations révélées de plein gré par Monsieur Dupont pour gagner un deuxième tapis de souris, frappé cette fois du cycle de truc.com.

Monsieur Dupont utilise ensuite un client FTP pour aller chercher, en FTP anonyme, un logiciel freeware dont on lui a dit le plus grand bien sur le site www.truc.com. Ce qui n'est pas surprenant puisque l'adresse du site FTP est ftp.truc.com. De cette action résulte la ligne de log suivante, sur la machine ftp.truc.com (qui peut être ou ne pas être la même que www.truc.com, cela ne change pas grand chose en fait) :

Wed Jan  8 19:16:15 1997 1 ppp154.vincennes.ool.fr 118355 /pub/trucpromo/setup.exe _ o a dupont@ool.fr ftp 1 Henri

Remarquons en particuliers les informations présentes à la fin de la ligne : l'e-mail de Monsieur Dupont et aussi son prénom. Cette dernière information découle, il faut l'avouer, d'une coïncidence : elle a été fournie par mIRC (que Monsieur Dupont a laissé tourner dans un coin lorsqu'il a lancé Netscape). Recevant la visite de Monsieur Dupont le serveur FTP a, à tout hasard, lancé une requête à un éventuel Identd sur le port 113 de la machine de Monsieur Dupont, requête à laquelle s'est fait un plaisir de répondre mIRC.

La prochaine étape du voyage de Monsieur Dupont sur le Net est de lire quelques messages dans les news, sur le serveur que lui offre son fournisseur d'accès : news.ool.fr.

Même si Monsieur Dupont se contente de lire et ne poste aucun message, sa venue et les groupes qui l'intéressent (ici seulement alt.fan.dupont) ne passent pas inaperçus, comme en témoigne ce log enregistré sur news.ool.com :

Jan  8 19:17:32 news nnrpd[10954]: ppp154.vincennes.ool.fr connect
Jan  8 19:17:44 news nnrpd[10954]: ppp154.vincennes.ool.fr group alt.fan.dupont 1
Jan  8 19:17:48 news nnrpd[10954]: ppp154.vincennes.ool.fr exit articles 1 groups 6
Jan  8 19:17:48 news nnrpd[10954]: ppp154.vincennes.ool.fr times user 0.110 system 0.130 elapsed 16.101

N'oublions pas que, grâce au premier log (celui déclenché par la connexion du modem de Monsieur Dupont au serveur du fournisseur d'accès) et à la base DNS, il est clair pour OOL que ppp154.vincennes.ool.fr c'est en fait Monsieur Dupont.

Si en plus il poste un message, la ligne suivante apparaît à son tour dans le log :

Jan  8 19:17:46 news nnrpd[14868]: ppp154.vincennes.ool.fr post ok <5avm14$egk@news.ool.fr>

Et surtout de nombreux robots archiveurs du type DéjàNews vont inclure l'intégralité du message (et en particulier le nom et l'e-mail de son auteur) dans leur base.

Il est à présent temps pour Monsieur Dupont de mettre un terme à son petit surf anonyme. Il ferme mIRC, ce qui provoque l'inscription dans les logs du serveur IRC qui l'accueillait de la ligne :

Wed Jan  8 19:19:07 1997 (  0:31:14): Henri@ppp154.vincennes.ool.fr [Henri] 0

Puis il termine la connexion à son fournisseur d'accès, qui en prend ainsi note :

Jan  8 19:20:29 ool035 pppd[6919]: Hangup (SIGHUP)
Jan  8 19:20:29 ool035 pppd[6919]: LOGOUT: dupont 08/01/97 18:47 08/01/97 19:20 2004 R4
Jan  8 19:20:29 ool035 pppd[6919]: Exit.

Au même moment, France Télécom inscrit le numéro appelé et les heures de début et de fin de l'appel dans une base de données.

Cette phase de récupération d'informations relatives à Monsieur Dupont n'est qu'une première étape (qui n'a d'ailleurs pas de fin). Il faut ensuite traiter, faire fructifier, ces informations et enfin les exploiter. Les fichiers de logs dont des extraits ont été présentés ci-dessus à titre d'illustration ne sont pas la destinée finale de ces information. Des outils existent pour les en extraire et les recouper avec d'autres bases (échangées ou achetées).

A demain, dans votre boîte aux lettres, Monsieur Dupont.

V B P

The ultimate security is your understanding of reality. (H. Stanley Judd)