Bref il semblerait que ce service fasse appel à un prestataire externe pour ses stats, en l'occurence xiti, puisqu'on trouve des traces de ce style dans ses pages :
//placer un libellé de page pour les rapports Xiti
xtdmc = ""; //Domaine cookie en ".monsite.fr" (optionnel)
xtprm = ""; //Paramètres supplémentaires (optionnel)
//-->
/script
script type="text/javascript" src='https://static.impots.gouv.fr/aide/Xiti/js/xiti.js'
noscript
img width="1" alt="" height="1" src="https://logs2.xiti.com/hit.xiti?s=*************&p=ADP::t(...)"
/noscript
et des pages au nom évocateur du type
https://static.impots.gouv.fr/aide/Xiti/js/xiti.js
Sans vouloir faire un procès d'intention à cette société dont il n'y a pas de raison de soupçonner à priori le comportement, je trouve quand même gênant sur le principe qu'un prestataire externe aie la possibilité de collecter toutes les adresses IP des contribuables procédant à la télédéclaration, accompagnées d'inévitables données techniques sur leur environnement (type de navigateur, OS, etc).
Après une rapide recherche, je n'ai pas trouvé d'infos sur le sujet, quelqu'un en a-t-il ou décidemment la protection des données privatives des contribuable est un sujet sans intérêt dont tout le monde se fout comme du premier penalty venu ?
# Quelle différence ?
Posté par Hrundi V. Bakshi . Évalué à 7.
tant que c'est uniquement les données de navigateur, d'os et que xiti est bien controlé par la CNIL, je vois pas le problème particulier au site des impôts.
[^] # Re: Quelle différence ?
Posté par dawar (site web personnel) . Évalué à 5.
oui, ça me dérange que mon IP se balade chez une société privé...
Utiliser xiti pour la page de garde, ok, mais pour les pages internes avec des liens pleins d'info interessantes qui se retrouvent dans les referers, c'est un peu (beaucoup) abusé. Et je ne te ferais pas l'affront de t'expliquer la différence entre impots.gouv.fr et wanadoo.fr (qui d'ailleur est devenu orange)
Ça me donne bien envie d'envoyer un mail à mon percepteur chéri pour en savoir plus, merci à l'auteur du journal d'avoir relevé ce "détail".
M'enfin, c'est peux être "grace" à xiti si la télédéclaration ne rame pas de folie la veille du jour de cloture...
[^] # Re: Quelle différence ?
Posté par Hrundi V. Bakshi . Évalué à 2.
Cette question mise à par, en théorie il n'y a rien dans l'adresse qui permette d'usurper ton identité (sinon vive la sécurité. un spyware et hop je peux piquer de adresses https ? comme les keyloggeur et dérivés...)
htt^s te permet de certifier le serveur et de chiffrer tes données.
Xiti ne pourrai rien en faire. heureusement d'ailleurs, sinon le https est une vaste blague.
Donc je ne vois pas la différence avec wanadoo.fr. ce sont les mêmes données récoltées. Que tu sois sur le site de la dst ou celui de la fnac, les données sont autant anonymes, et on ne peu rien en faire de plus que des stats.
[^] # Re: Quelle différence ?
Posté par dawar (site web personnel) . Évalué à 2.
Non, c'est pas bête du tout... Un spécialiste pour nous dire ??
Si la réponse est oui, les données ne sont pas anonyme puisqu'il y'a mon numéro personnel de contribuable... Bien sur je pense que ça ne va être utilisé que pour des stats, mais tout de même, je trouve cela assez maladroit de la part des concepteurs du site.
[^] # Re: Quelle différence ?
Posté par Xarli (site web personnel) . Évalué à 2.
[^] # Re: Quelle différence ?
Posté par john Smith (site web personnel) . Évalué à 1.
Vous etes sure ?
j'ai pas Ethereal sous la main pour faire le test
mais il me semblait que Xiti ajoutait le referer dans les paramètres de l'image avec une fonction javascript additionnel
[^] # Re: Quelle différence ?
Posté par SR91 . Évalué à -1.
"(beaucoup) abuse" comme tu dit, "un scandale !!" comme dirais Georges.
[^] # Re: Quelle différence ?
Posté par Ju. . Évalué à 2.
Bon apres evidemment si les machines sont chez un prestataire externe... /o\
De Diou les services de Xiti ont un cout et toutes les informations sont deja sur place... ils auraient largement rentabilise la prestation Xiti a long terme en faisant un script pour parser les logs !
C'est quand meme hyper gonfe, imaginez le tolle que ca serait si on envoyait plus les declarations papiers au centre des impots mais a une adresse privee qui redistribuerait les plis en fonction du nom par exemple ...
;-/
[^] # Re: Quelle différence ?
Posté par hervé Couvelard . Évalué à 4.
xiti permet de croiser les données de navigation sur un site gouv. cela pourrait permettre au .gouv en question (celui qui pense que xiti est juste un compte-page doit se recycler) de connaitres les habitudes extérieurs des télédéclarants et à xiti d'ajouter dans ton profil de surfeur les infos sur ta navigation au sein de .gouv, et donc, d'approximer tes revenus par rapport à la navigation (ou en le demandant tout simplement .gouv puisqu'il a ton numéro) utilise-tu des formulaires particuliers ? quelles page visites-tu ? combien de temps restes-tu etc... avec un bon soft d'analyse, tu peux 'cadrer statistiquement' les revenus d'une personne par son comportement sur ce site.
il est abbérant d'avoir cela sur un site autant sensible, c'est pour cela que je n'ai JAMAIS pris un "compteur" exterieur sur mes sites, pour ne pas faire pister mes visiteurs.
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 1.
Probablement ; il n'y a pas beaucoup de choix dans ce domaine.
> serveurs tournant probablement sur des OS d'origine "prives"
Les serveurs tournent sous Linux.
> dans des bases de donnees dont le moteur est tres certainement "prives"
Effectivement, mais les serveurs de bases de données ne sont très très très probablement pas accessibles de l'extérieur.
> sur du materiel tres certainement pas fabrique par de bons et loyaux fonctionnaires de l'etat FRANCAIS
On fabrique encore des ordinateurs de bout en bout (la moindre puce, la moindre vis) en France ? Même l'armée se fournit en partie à l'étranger, non ?
> Tout comme le logiciel qui gere les teledeclaration je presume ...
Mauvaise présomption, il est réalisé purement en interne (DGI + prestataires).
[^] # Re: Quelle différence ?
Posté par Tequila . Évalué à 0.
Comment peux tu en être sûr??? Tu travailles pour eux??
[^] # Re: Quelle différence ?
Posté par Guillaume Lebigot (site web personnel) . Évalué à 2.
Je confirme que beaucoup des serveurs tournent sous Linux. Que de nombreux logiciels libres sont utilisés, mais que pour certains besoins, oui des bases de données "proprio" sont utilisées (vous croyez que ça marche MySQL, sur les gros systèmes, là où sont traités les impôts?)
L'administration française a encore énormément d'applications très internes (calculs et compagnie) qui tournent sur des gros systèmes. Tout déplacer vers linux serait évidemment une utopie, mais ça ne se fait pas en 5 ou 10 ans, faut arrêter la moquette. Notre taxation est très complexe et il ya sûrement des tonnes et des tonnes de programmes et procédures à réécrire si jamais il fallait tout déplacer d'un coup.
'fin voilà, ça me fait un peu rire quand même d'être autant choqué pour si peu de choses.
Pour en revenir au sujet, je trouve aussi étrange que ce soit xiti qui s'occupe des stats, mais c'est peut-être avant tout parce qu'ils proposent des outils clé en main pour connaître les habitudes des internautes, non?
Faut garder en tête que bien qu'il y ait des tonnes de fonctionnaires (payés à rien faire ou pas, c'est vous qui voyez) une entreprise, ou une administration ne peut jamais TOUT développer en interne.
[^] # Re: Quelle différence ?
Posté par briaeros007 . Évalué à 1.
Et en quoi les impots on besoin de connaitre les habitudes des télédéclarants ?
J'avoue que ca me laisse sans voix la ...
qu'est ce que le fait que j'utilise < user-agentbloqué> sous hp-ux ou plutot ie sous vista beta a a voir avec mes impots ?
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 2.
Pour améliorer le service, peut-être ? Connaître la résolution de l'écran des utilisateurs par exemple, ainsi que la manière dont ils naviguent entre les formulaires et les pages d'aide.
qu'est ce que le fait que j'utilise < user-agentbloqué> sous hp-ux ou plutot ie sous vista beta a a voir avec mes impots ?
Avec IE sous Vista Beta, le module de signature numérique devrait fonctionner, alors qu'avec HP-UX, il se pourrait bien qu'il refuse parce qu'il n'a pas été testé pour cet OS.
[^] # Re: Quelle différence ?
Posté par briaeros007 . Évalué à 1.
Donc il faut installer ce_que_veux la dgi pour pouvoir déclarer ses impots ?
Sans compter qu'on peut trés bien changer les user-agents pour de multiples raisons .
donc on décide (si c'est avéré) a certains de facon arbitraire d'interdire de remplir leurs déclaration online ?
Oh c'est beau la france je croyais que la devise c'était liberté égalite et fraternité.
Je vois pas ou sont les deux premiers dans le cas suscité : pas la liberté de choisir sont os, pas d'égalités dans les os (toujours si c'est avéré) ...
Connaître la résolution de l'écran des utilisateurs par exemple, ainsi que la manière dont ils naviguent entre les formulaires et les pages d'aide.
Je vois pas vraiment ce que la résolution viens faire la dedans...
Optimisé un site web pour une 'résolution' est particulièrement idiot de mon point de vue.
Quand pour savoir ce genre de chose il y a des facon non intrusives qui s'apellent des sondages ! (par exemple un questionnaire a remplir a la fin si on le veu, sans donner le numéro perso des impots ni en referer , ni en argument dans l'url) ...
Bref pour moi le site des impots servent avoir des infos sur la DGI et a remplir sa déclaration, pas a ce qu'ils récupèrent des stats pour savoir que 80% des télédéclarants utilisent une résolution de + de 1024x768 , que 50% des télédéclarant avec plus de 30 K¤ ont une résolution de plus de 1600x1200.
Il faut bien se dire que dès qu'il y a un identifiant personnel , ce n'est plus des stats mais bel et bien du flicage !
Que le flicage servent pour des stats pe , mais ca reste du flicage.
[^] # Re: Quelle différence ?
Posté par dawar (site web personnel) . Évalué à 2.
[^] # Re: Quelle différence ?
Posté par zx81 . Évalué à 3.
set_flag(incohérence_matos_revenus, 1)
set_flag(contrôle_a_faire, 1)
}
[^] # Re: Quelle différence ?
Posté par Guillaume Lebigot (site web personnel) . Évalué à 2.
Si c'est ça arrête tout de suite d'utiliser Internet hein :)
Sinon bloque Xiti dans ton firewall...
Etant moi-même webmaster, j'aime bien avoir des statistiques sur mes utilisateurs, que ça soit les users agents, comme ça je peux dire "Ah ben j'ai beaucoup plus de Firefox que de IE" ou encore la résolution utilisée comme ça je peux savoir si mon site est bien optimisé (contrairement aux idées reçues, le Web 2.0 c'est pas encore à la portée de tous les webmestres, surtout dans certaines entreprises... :p)
Plus sérieusement, je crois qu'il faut arrêter de s'emballer, comme si c'était possible de mettre en corrélation les stats du site web des impôts et le numéro de télédéclarant... Qu'est-ce que vous voulez qu'ils en aient à faire déjà? Quant bien même Xiti ait ces numéros, que peuvent-ils en faire? Ils n'ont aucun moyen d'interroger les bases de la DGI, quand même, si?
Je trouve ces réactions ridicules, vraiment...
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 2.
Bien sûr que non.
[^] # Re: Quelle différence ?
Posté par briaeros007 . Évalué à 1.
Qui a dis qu'ils (les gens de la dgi ou au gvt) avaient pas un accord spécifique avec xiti pour justement avoir les données servant aux stats , et donc mettre en corrélation les numéros de télédéclarant?
Mais non ils oseraient pas faire ca ...
Non mais c'est quoi cette paranoia?
Tu dois pas faire beaucoup de sécurité info.
Dans le meme style d'esprit les firewall devraient bloquer que les ports utiliser qu'on ne veux pas montrer parce que bon hein ils peuvent rien faire des autres ...
En sécurité il est NORMAL d'etre paranoïaque.
Et tu estime toi normal de donner un numéro personnel a une boite qui ne devrais pas l'avoir?
Moi perso si un questionnaire quelconque sur le net me demande mon numéro insee sans raison valable je leurs fournirais pas ! Mais toi oui sans probleme vu que tu trouve cela tout a fait normal.
ps je te rassure j'ai déja mis la regle kivabien sur adblock
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 2.
Sans compter qu'on peut trés bien changer les user-agents pour de multiples raisons .
donc on décide (si c'est avéré) a certains de facon arbitraire d'interdire de remplir leurs déclaration online ?
Oh c'est beau la france je croyais que la devise c'était liberté égalite et fraternité.
Non, il faut disposer de ce que la DGI supporte comme configuration. Il n'y a en effet aucune standardisation parmi les API de crypto, et donc le module de signature doit être réimplémenté pour chaque combinaison d'OS et de navigateur supportée. La DGI a inévitablement un choix à faire, et il me semble qu'ils supportent déjà une liste de configurations dont beaucoup de sites devraient prendre exemple. La détection de la configuration ne se fait pas au niveau de l'user-agent mais au moyen d'une applet au début de la procédure.
La DGI ne traite pas tous les OS et tous les navigateurs à égalité car ils ne sont pas égaux.
[^] # Re: Quelle différence ?
Posté par briaeros007 . Évalué à 1.
c'était juste pour montrer que la dgi n'as pas a savoir si l'os donné est bon ou pas. Elle peut voir si son module marche ou pas chez l'utilisateur, mais ne dois/devrais pas se baser sur l'os donné dans l'user agent pour ca (vu qu'il ne rime en réalité a rien)
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 0.
Si tu avais lu ce que j'ai écris, tu saurais qu'elle ne le fait pas.
[^] # Re: Quelle différence ?
Posté par briaeros007 . Évalué à 1.
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 2.
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 3.
N'hésite pas, j'aimerais bien connaître sa réponse.
M'enfin, c'est peux être "grace" à xiti si la télédéclaration ne rame pas de folie la veille du jour de cloture...
Non, c'est grâce à une optimisation de l'application (plutôt que d'avoir des timeouts pendant le chargement d'un énorme formulaire, l'application a été organisée en sections beaucoup plus légères à manipuler), à une augmentation de la capacité de traitement, à une amélioration de l'information (prévisions de charge, indication en temps réel de l'état du service), à l'étalement des dates limites de paiement selon les zones scolaires, etc.
[^] # Re: Quelle différence ?
Posté par Boa Treize (site web personnel) . Évalué à 2.
Comme tu peux le voir dans d'autres commentaires sur cette page, l'URL inclut plusieurs identifiants DGI, que Xiti récupère donc en plus de ton IP. Il est fort possible que ces numéros soient temporaires (identifiant de session) ou peu importants (identifiant du "compte personnel" au niveau du portail DGI et uniquement pour ce portail), mais la vigilance reste de mise. Je regrette de n'avoir pas pris en note ces URLs.
Ceci dit, je sais de source sûre que la DGI prête une très grande attention à ces aspects (la CNIL la surveille de près, et les journalistes seraient ravis d'avoir un petit scandale à publier), il est fort probable qu'elle a obtenu de Xiti les garanties adéquates à ce niveau. Ca pourrait être intéressant de s'en assurer ceci dit.
[^] # Re: Quelle différence ?
Posté par dawar (site web personnel) . Évalué à 5.
J'ai effectivement envoyé un courrier à ce sujet sur le mail destiné aux questions sur le site, j'attends une réponse...
[^] # La réponse...
Posté par dawar (site web personnel) . Évalué à 2.
Nous prenons en compte votre message et vous remercions de l?intérêt que
vous voulez bien porter aux services en ligne du MINEFI.
Cordialement,
Le service d'assistance du site de télédéclaration
...
Super, j'esperais mieux quand même...
# adblock
Posté par HelloWorld . Évalué à 5.
[^] # Re: adblock
Posté par jemore . Évalué à 4.
Par exemple, empecher tout les cookies nommés __utma (pour google stat) et autres WEBTRENDS_ID ou ceux spécifique à xiti. Cela serait assez efficace, mais je n'ai pas trouvé le moyen de les bloquer automatiquement.
[^] # Re: adblock
Posté par Raphaël G. (site web personnel) . Évalué à 2.
- Bloquer les script javascript en fonction des urls (hxxp://xiti.fr/js/stat/*)...
- Bloquer les images de même manière...
Bref, voila tu dois pouvoir bloquer ce genre de chose grâce a ça (bloquage a la source).
Bon après si le service est pas externe (js a l'extérieur), tu a plus qu'a bloquer le script js du site avec son url complète...
[^] # Re: adblock
Posté par skippy . Évalué à 3.
Alors d'accord, mais après il ne faut pas venir se plaindre que "Linux n'est pas pris en compte", "A chaque fois tout n'est fait que pour Windows", etc...
Si on veut être reconnus sur Internet, il faut se montrer. (Je n'ai pas dit de faire du proxenitisme non plus)
# xiti c'est pour des stats parceque au minefi...
Posté par madko (site web personnel) . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.