Journal Teledeclarer chez xiti

Posté par  .
Étiquettes : aucune
0
13
juin
2006
Comme beaucoup de contribuables, j'ai très récemment contacté le sympathique service des impôts pour l'informer du montant de mes revenus 2005 (qu'il connaissait déjà, manifestement, mais c'est pas le sujet) via son site web. Site qui a très bien marché d'ailleurs, un travail sérieux, mais ça n'est pas non plus mon propos.
Bref il semblerait que ce service fasse appel à un prestataire externe pour ses stats, en l'occurence xiti, puisqu'on trouve des traces de ce style dans ses pages :


//placer un libellé de page pour les rapports Xiti
xtdmc = ""; //Domaine cookie en ".monsite.fr" (optionnel)
xtprm = ""; //Paramètres supplémentaires (optionnel)
//-->
/script

script type="text/javascript" src='https://static.impots.gouv.fr/aide/Xiti/js/xiti.js'
noscript
img width="1" alt="" height="1" src="https://logs2.xiti.com/hit.xiti?s=*************&p=ADP::t(...)"
/noscript



et des pages au nom évocateur du type
https://static.impots.gouv.fr/aide/Xiti/js/xiti.js

Sans vouloir faire un procès d'intention à cette société dont il n'y a pas de raison de soupçonner à priori le comportement, je trouve quand même gênant sur le principe qu'un prestataire externe aie la possibilité de collecter toutes les adresses IP des contribuables procédant à la télédéclaration, accompagnées d'inévitables données techniques sur leur environnement (type de navigateur, OS, etc).
Après une rapide recherche, je n'ai pas trouvé d'infos sur le sujet, quelqu'un en a-t-il ou décidemment la protection des données privatives des contribuable est un sujet sans intérêt dont tout le monde se fout comme du premier penalty venu ?
  • # Quelle différence ?

    Posté par  . Évalué à 7.

    Quelle différence entre collecter les données des gens qui vont sur le site des impots et ceux qui vont sur wanadoo.fr ?

    tant que c'est uniquement les données de navigateur, d'os et que xiti est bien controlé par la CNIL, je vois pas le problème particulier au site des impôts.
    • [^] # Re: Quelle différence ?

      Posté par  (site web personnel) . Évalué à 5.

      Ben quand je clic sur un lien https du type cfspart.impots.gouv.fr/[Snip-Snip]&numeroAdonis=693xxxxxxxxx&pph=93000000xxxxxxxxxxxxx&numSection=1&[Snip]
      oui, ça me dérange que mon IP se balade chez une société privé...
      Utiliser xiti pour la page de garde, ok, mais pour les pages internes avec des liens pleins d'info interessantes qui se retrouvent dans les referers, c'est un peu (beaucoup) abusé. Et je ne te ferais pas l'affront de t'expliquer la différence entre impots.gouv.fr et wanadoo.fr (qui d'ailleur est devenu orange)

      Ça me donne bien envie d'envoyer un mail à mon percepteur chéri pour en savoir plus, merci à l'auteur du journal d'avoir relevé ce "détail".

      M'enfin, c'est peux être "grace" à xiti si la télédéclaration ne rame pas de folie la veille du jour de cloture...
      • [^] # Re: Quelle différence ?

        Posté par  . Évalué à 2.

        Qestion bête : Une adresse https peut-elle être lue en tant que referer ?

        Cette question mise à par, en théorie il n'y a rien dans l'adresse qui permette d'usurper ton identité (sinon vive la sécurité. un spyware et hop je peux piquer de adresses https ? comme les keyloggeur et dérivés...)
        htt^s te permet de certifier le serveur et de chiffrer tes données.

        Xiti ne pourrai rien en faire. heureusement d'ailleurs, sinon le https est une vaste blague.

        Donc je ne vois pas la différence avec wanadoo.fr. ce sont les mêmes données récoltées. Que tu sois sur le site de la dst ou celui de la fnac, les données sont autant anonymes, et on ne peu rien en faire de plus que des stats.
        • [^] # Re: Quelle différence ?

          Posté par  (site web personnel) . Évalué à 2.


          Qestion bête : Une adresse https peut-elle être lue en tant que referer ?

          Non, c'est pas bête du tout... Un spécialiste pour nous dire ??

          Si la réponse est oui, les données ne sont pas anonyme puisqu'il y'a mon numéro personnel de contribuable... Bien sur je pense que ça ne va être utilisé que pour des stats, mais tout de même, je trouve cela assez maladroit de la part des concepteurs du site.
          • [^] # Re: Quelle différence ?

            Posté par  (site web personnel) . Évalué à 2.

            Oui, le referer est bien indiqué pour une page HTTPS, c'est ton navigateur qui indique de quelle page il vient, que ce soit automatique (une image aura la page sur laquelle elle se trouve comme referer), ou déclenché par l'utilisateur (je clique sur un lien).
            • [^] # Re: Quelle différence ?

              Posté par  (site web personnel) . Évalué à 1.

              >une image aura la page sur laquelle elle se trouve comme referer

              Vous etes sure ?
              j'ai pas Ethereal sous la main pour faire le test

              mais il me semblait que Xiti ajoutait le referer dans les paramètres de l'image avec une fonction javascript additionnel
      • [^] # Re: Quelle différence ?

        Posté par  . Évalué à -1.

        Le pire dans tout ca c'est que tes donnees personnelles (les vrais, pas celles qui vont chez xiti) passe par des tuyaux et des routeurs tres certainements "prives" (bon certe surement cryptes), mais pire, sont enregistrees sur des serveurs tournant probablement sur des OS d'origine "prives" dans des bases de donnees dont le moteur est tres certainement "prives" et sur du materiel tres certainement pas fabrique par de bons et loyaux fonctionnaires de l'etat FRANCAIS ! Tout comme le logiciel qui gere les teledeclaration je presume ...

        "(beaucoup) abuse" comme tu dit, "un scandale !!" comme dirais Georges.
        • [^] # Re: Quelle différence ?

          Posté par  . Évalué à 2.

          C'est d'autant plus etonnant que, bon ils peuvent dedier quelques machines a l'analyse des logs quand meme... je vois pas pourquoi ils auraient besoin d'un service externe.

          Bon apres evidemment si les machines sont chez un prestataire externe... /o\

          De Diou les services de Xiti ont un cout et toutes les informations sont deja sur place... ils auraient largement rentabilise la prestation Xiti a long terme en faisant un script pour parser les logs !

          C'est quand meme hyper gonfe, imaginez le tolle que ca serait si on envoyait plus les declarations papiers au centre des impots mais a une adresse privee qui redistribuerait les plis en fonction du nom par exemple ...


          ;-/
        • [^] # Re: Quelle différence ?

          Posté par  . Évalué à 4.

          Non tu n'as pas compris ou était le problème :
          xiti permet de croiser les données de navigation sur un site gouv. cela pourrait permettre au .gouv en question (celui qui pense que xiti est juste un compte-page doit se recycler) de connaitres les habitudes extérieurs des télédéclarants et à xiti d'ajouter dans ton profil de surfeur les infos sur ta navigation au sein de .gouv, et donc, d'approximer tes revenus par rapport à la navigation (ou en le demandant tout simplement .gouv puisqu'il a ton numéro) utilise-tu des formulaires particuliers ? quelles page visites-tu ? combien de temps restes-tu etc... avec un bon soft d'analyse, tu peux 'cadrer statistiquement' les revenus d'une personne par son comportement sur ce site.

          il est abbérant d'avoir cela sur un site autant sensible, c'est pour cela que je n'ai JAMAIS pris un "compteur" exterieur sur mes sites, pour ne pas faire pister mes visiteurs.
        • [^] # Re: Quelle différence ?

          Posté par  (site web personnel) . Évalué à 1.

          > passe par des tuyaux et des routeurs tres certainements "prives"

          Probablement ; il n'y a pas beaucoup de choix dans ce domaine.

          > serveurs tournant probablement sur des OS d'origine "prives"

          Les serveurs tournent sous Linux.

          > dans des bases de donnees dont le moteur est tres certainement "prives"

          Effectivement, mais les serveurs de bases de données ne sont très très très probablement pas accessibles de l'extérieur.

          > sur du materiel tres certainement pas fabrique par de bons et loyaux fonctionnaires de l'etat FRANCAIS

          On fabrique encore des ordinateurs de bout en bout (la moindre puce, la moindre vis) en France ? Même l'armée se fournit en partie à l'étranger, non ?

          > Tout comme le logiciel qui gere les teledeclaration je presume ...

          Mauvaise présomption, il est réalisé purement en interne (DGI + prestataires).
          • [^] # Re: Quelle différence ?

            Posté par  . Évalué à 0.

            >Mauvaise présomption, il est réalisé purement en interne (DGI + prestataires).

            Comment peux tu en être sûr??? Tu travailles pour eux??
            • [^] # Re: Quelle différence ?

              Posté par  (site web personnel) . Évalué à 2.

              Avant de s'énerver, il serait bon de réfléchir cinq minutes.

              Je confirme que beaucoup des serveurs tournent sous Linux. Que de nombreux logiciels libres sont utilisés, mais que pour certains besoins, oui des bases de données "proprio" sont utilisées (vous croyez que ça marche MySQL, sur les gros systèmes, là où sont traités les impôts?)

              L'administration française a encore énormément d'applications très internes (calculs et compagnie) qui tournent sur des gros systèmes. Tout déplacer vers linux serait évidemment une utopie, mais ça ne se fait pas en 5 ou 10 ans, faut arrêter la moquette. Notre taxation est très complexe et il ya sûrement des tonnes et des tonnes de programmes et procédures à réécrire si jamais il fallait tout déplacer d'un coup.

              'fin voilà, ça me fait un peu rire quand même d'être autant choqué pour si peu de choses.

              Pour en revenir au sujet, je trouve aussi étrange que ce soit xiti qui s'occupe des stats, mais c'est peut-être avant tout parce qu'ils proposent des outils clé en main pour connaître les habitudes des internautes, non?

              Faut garder en tête que bien qu'il y ait des tonnes de fonctionnaires (payés à rien faire ou pas, c'est vous qui voyez) une entreprise, ou une administration ne peut jamais TOUT développer en interne.
              • [^] # Re: Quelle différence ?

                Posté par  . Évalué à 1.

                mais c'est peut-être avant tout parce qu'ils proposent des outils clé en main pour connaître les habitudes des internautes, non?
                Et en quoi les impots on besoin de connaitre les habitudes des télédéclarants ?
                J'avoue que ca me laisse sans voix la ...
                qu'est ce que le fait que j'utilise < user-agentbloqué> sous hp-ux ou plutot ie sous vista beta a a voir avec mes impots ?
                • [^] # Re: Quelle différence ?

                  Posté par  (site web personnel) . Évalué à 2.

                  Et en quoi les impots on besoin de connaitre les habitudes des télédéclarants ?

                  Pour améliorer le service, peut-être ? Connaître la résolution de l'écran des utilisateurs par exemple, ainsi que la manière dont ils naviguent entre les formulaires et les pages d'aide.

                  qu'est ce que le fait que j'utilise < user-agentbloqué> sous hp-ux ou plutot ie sous vista beta a a voir avec mes impots ?

                  Avec IE sous Vista Beta, le module de signature numérique devrait fonctionner, alors qu'avec HP-UX, il se pourrait bien qu'il refuse parce qu'il n'a pas été testé pour cet OS.
                  • [^] # Re: Quelle différence ?

                    Posté par  . Évalué à 1.

                    alors qu'avec HP-UX, il se pourrait bien qu'il refuse parce qu'il n'a pas été testé pour cet OS.
                    Donc il faut installer ce_que_veux la dgi pour pouvoir déclarer ses impots ?
                    Sans compter qu'on peut trés bien changer les user-agents pour de multiples raisons .
                    donc on décide (si c'est avéré) a certains de facon arbitraire d'interdire de remplir leurs déclaration online ?
                    Oh c'est beau la france je croyais que la devise c'était liberté égalite et fraternité.
                    Je vois pas ou sont les deux premiers dans le cas suscité : pas la liberté de choisir sont os, pas d'égalités dans les os (toujours si c'est avéré) ...

                    Connaître la résolution de l'écran des utilisateurs par exemple, ainsi que la manière dont ils naviguent entre les formulaires et les pages d'aide.
                    Je vois pas vraiment ce que la résolution viens faire la dedans...
                    Optimisé un site web pour une 'résolution' est particulièrement idiot de mon point de vue.

                    Quand pour savoir ce genre de chose il y a des facon non intrusives qui s'apellent des sondages ! (par exemple un questionnaire a remplir a la fin si on le veu, sans donner le numéro perso des impots ni en referer , ni en argument dans l'url) ...

                    Bref pour moi le site des impots servent avoir des infos sur la DGI et a remplir sa déclaration, pas a ce qu'ils récupèrent des stats pour savoir que 80% des télédéclarants utilisent une résolution de + de 1024x768 , que 50% des télédéclarant avec plus de 30 K¤ ont une résolution de plus de 1600x1200.

                    Il faut bien se dire que dès qu'il y a un identifiant personnel , ce n'est plus des stats mais bel et bien du flicage !
                    Que le flicage servent pour des stats pe , mais ca reste du flicage.
                    • [^] # Re: Quelle différence ?

                      Posté par  (site web personnel) . Évalué à 2.

                      En attendant, j'ai toujours pas de réponse des impôts...
                    • [^] # Re: Quelle différence ?

                      Posté par  . Évalué à 3.

                      if (résolution == 4096x4096 ) and (montant_déclaré <= 10.000) then {
                      set_flag(incohérence_matos_revenus, 1)
                      set_flag(contrôle_a_faire, 1)
                      }
                    • [^] # Re: Quelle différence ?

                      Posté par  (site web personnel) . Évalué à 2.

                      Non mais c'est quoi cette paranoia?

                      Si c'est ça arrête tout de suite d'utiliser Internet hein :)

                      Sinon bloque Xiti dans ton firewall...

                      Etant moi-même webmaster, j'aime bien avoir des statistiques sur mes utilisateurs, que ça soit les users agents, comme ça je peux dire "Ah ben j'ai beaucoup plus de Firefox que de IE" ou encore la résolution utilisée comme ça je peux savoir si mon site est bien optimisé (contrairement aux idées reçues, le Web 2.0 c'est pas encore à la portée de tous les webmestres, surtout dans certaines entreprises... :p)

                      Plus sérieusement, je crois qu'il faut arrêter de s'emballer, comme si c'était possible de mettre en corrélation les stats du site web des impôts et le numéro de télédéclarant... Qu'est-ce que vous voulez qu'ils en aient à faire déjà? Quant bien même Xiti ait ces numéros, que peuvent-ils en faire? Ils n'ont aucun moyen d'interroger les bases de la DGI, quand même, si?

                      Je trouve ces réactions ridicules, vraiment...
                      • [^] # Re: Quelle différence ?

                        Posté par  (site web personnel) . Évalué à 2.

                        Ils n'ont aucun moyen d'interroger les bases de la DGI, quand même, si?

                        Bien sûr que non.
                      • [^] # Re: Quelle différence ?

                        Posté par  . Évalué à 1.

                        comme si c'était possible de mettre en corrélation les stats du site web des impôts et le numéro de télédéclarant
                        Qui a dis qu'ils (les gens de la dgi ou au gvt) avaient pas un accord spécifique avec xiti pour justement avoir les données servant aux stats , et donc mettre en corrélation les numéros de télédéclarant?
                        Mais non ils oseraient pas faire ca ...

                        Non mais c'est quoi cette paranoia?
                        Tu dois pas faire beaucoup de sécurité info.
                        Dans le meme style d'esprit les firewall devraient bloquer que les ports utiliser qu'on ne veux pas montrer parce que bon hein ils peuvent rien faire des autres ...
                        En sécurité il est NORMAL d'etre paranoïaque.

                        Et tu estime toi normal de donner un numéro personnel a une boite qui ne devrais pas l'avoir?
                        Moi perso si un questionnaire quelconque sur le net me demande mon numéro insee sans raison valable je leurs fournirais pas ! Mais toi oui sans probleme vu que tu trouve cela tout a fait normal.

                        ps je te rassure j'ai déja mis la regle kivabien sur adblock
                    • [^] # Re: Quelle différence ?

                      Posté par  (site web personnel) . Évalué à 2.

                      Donc il faut installer ce_que_veux la dgi pour pouvoir déclarer ses impots ?
                      Sans compter qu'on peut trés bien changer les user-agents pour de multiples raisons .
                      donc on décide (si c'est avéré) a certains de facon arbitraire d'interdire de remplir leurs déclaration online ?
                      Oh c'est beau la france je croyais que la devise c'était liberté égalite et fraternité.


                      Non, il faut disposer de ce que la DGI supporte comme configuration. Il n'y a en effet aucune standardisation parmi les API de crypto, et donc le module de signature doit être réimplémenté pour chaque combinaison d'OS et de navigateur supportée. La DGI a inévitablement un choix à faire, et il me semble qu'ils supportent déjà une liste de configurations dont beaucoup de sites devraient prendre exemple. La détection de la configuration ne se fait pas au niveau de l'user-agent mais au moyen d'une applet au début de la procédure.

                      La DGI ne traite pas tous les OS et tous les navigateurs à égalité car ils ne sont pas égaux.
                      • [^] # Re: Quelle différence ?

                        Posté par  . Évalué à 1.

                        Je remets dans le contexte :
                        c'était juste pour montrer que la dgi n'as pas a savoir si l'os donné est bon ou pas. Elle peut voir si son module marche ou pas chez l'utilisateur, mais ne dois/devrais pas se baser sur l'os donné dans l'user agent pour ca (vu qu'il ne rime en réalité a rien)
      • [^] # Re: Quelle différence ?

        Posté par  (site web personnel) . Évalué à 3.

        Ça me donne bien envie d'envoyer un mail à mon percepteur chéri pour en savoir plus, merci à l'auteur du journal d'avoir relevé ce "détail".

        N'hésite pas, j'aimerais bien connaître sa réponse.

        M'enfin, c'est peux être "grace" à xiti si la télédéclaration ne rame pas de folie la veille du jour de cloture...

        Non, c'est grâce à une optimisation de l'application (plutôt que d'avoir des timeouts pendant le chargement d'un énorme formulaire, l'application a été organisée en sections beaucoup plus légères à manipuler), à une augmentation de la capacité de traitement, à une amélioration de l'information (prévisions de charge, indication en temps réel de l'état du service), à l'étalement des dates limites de paiement selon les zones scolaires, etc.
    • [^] # Re: Quelle différence ?

      Posté par  (site web personnel) . Évalué à 2.

      tant que c'est uniquement les données de navigateur, d'os et que xiti est bien controlé par la CNIL, je vois pas le problème particulier au site des impôts.

      Comme tu peux le voir dans d'autres commentaires sur cette page, l'URL inclut plusieurs identifiants DGI, que Xiti récupère donc en plus de ton IP. Il est fort possible que ces numéros soient temporaires (identifiant de session) ou peu importants (identifiant du "compte personnel" au niveau du portail DGI et uniquement pour ce portail), mais la vigilance reste de mise. Je regrette de n'avoir pas pris en note ces URLs.

      Ceci dit, je sais de source sûre que la DGI prête une très grande attention à ces aspects (la CNIL la surveille de près, et les journalistes seraient ravis d'avoir un petit scandale à publier), il est fort probable qu'elle a obtenu de Xiti les garanties adéquates à ce niveau. Ca pourrait être intéressant de s'en assurer ceci dit.
      • [^] # Re: Quelle différence ?

        Posté par  (site web personnel) . Évalué à 5.

        L'url inclue le Numero Adonis, qui est mon identifiant de contribuable, qui ne changera pas jusqu'a ma mort et/ou une quelconque réforme des impôts.

        J'ai effectivement envoyé un courrier à ce sujet sur le mail destiné aux questions sur le site, j'attends une réponse...
        • [^] # La réponse...

          Posté par  (site web personnel) . Évalué à 2.

          Monsieur,

          Nous prenons en compte votre message et vous remercions de l?intérêt que
          vous voulez bien porter aux services en ligne du MINEFI.

          Cordialement,

          Le service d'assistance du site de télédéclaration


          ...

          Super, j'esperais mieux quand même...
  • # adblock

    Posté par  . Évalué à 5.

    Un ptit coup de adblock et hop plus de statistiques pour Xiti ;).
    • [^] # Re: adblock

      Posté par  . Évalué à 4.

      ... Ca n'a rien a voir, mais je cherche toujours une extension FireFox pour bloquer les cookies par leurs noms et non pas pas leur domaine.

      Par exemple, empecher tout les cookies nommés __utma (pour google stat) et autres WEBTRENDS_ID ou ceux spécifique à xiti. Cela serait assez efficace, mais je n'ai pas trouvé le moyen de les bloquer automatiquement.
      • [^] # Re: adblock

        Posté par  (site web personnel) . Évalué à 2.

        konqueror permet ça (enfin lis la suite je pense que ça règlerais ton soucis) :
        - Bloquer les script javascript en fonction des urls (hxxp://xiti.fr/js/stat/*)...
        - Bloquer les images de même manière...

        Bref, voila tu dois pouvoir bloquer ce genre de chose grâce a ça (bloquage a la source).

        Bon après si le service est pas externe (js a l'extérieur), tu a plus qu'a bloquer le script js du site avec son url complète...
    • [^] # Re: adblock

      Posté par  . Évalué à 3.

      Oui mais d'un autre côté, tu es passé inaperçu dans leurs stats. Et ça fait donc 1 télédéclarant de moins sous Linux.
      Alors d'accord, mais après il ne faut pas venir se plaindre que "Linux n'est pas pris en compte", "A chaque fois tout n'est fait que pour Windows", etc...

      Si on veut être reconnus sur Internet, il faut se montrer. (Je n'ai pas dit de faire du proxenitisme non plus)
  • # xiti c'est pour des stats parceque au minefi...

    Posté par  (site web personnel) . Évalué à 2.

    Au minefi on aime les stats, par contre au minefi on sait pas tellement bien configurer les alteons. Ces machines qui servent de frontal pour equilibrer la charge par ex, sont configuré en mode proxy, si bien que sur une partie de la plateforme web, les logs d'apache ne voient que 4 pauvres IP taper des requetes. Des millions de hits, mais seulement 4 ip... et ça, ça fait des stats de merdes en interne...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.