Interpeller Lilo

ljf · Juin 24, 2021, 10:30

Salut,

Suite à ce message, https://forum.chatons.org/t/moteur-de-recherche-solidaire/2532/3?u=ljf , je me dit qu’on pourrait interpeller Lilo en leur signalant ce qui ressemble au mieux à une fuite liée à trop de négligence.

Qu’en pensez-vous ?

GautGaut · Juin 24, 2021, 11:59

Je pense plutot que la « fuite » est le coeur de leur business model. Perso sans avoir jamais regardé je supposais que Qwant était mieux niveau vie privée car lilo doit bien financer les dons qu’ils font. Ce que lilo vend c’est la solidarité, pas la vis privée.

Gyom · Juin 24, 2021, 6:06

C’est super interessant ce que tu remontes par rapport aux données qui sont envoyées lors des recherches utilisant ce moteur. Oui, ca pourrait être bien de communiquer dessus.

Je n’ai pas trop de temps ces prochaines semaines mais si vous avez besoin d’aide ensuite.

nasfald · Juillet 5, 2021, 9:30

J’ai fait les tours des url extérieur sur le moteur lilo. À noter :

les bloquer n’entrave pas le service
Quand je parle d’application de la loi, il faut garder à l’esprit que —à priori— il s’agit de la loi en vigueur : Arabie Saoudite, Chine, Hongrie, … et donc les répressions très fortes qu’ils appliquent

URLS :

https://cdn.weglot.com/weglot.min.js
API de traduction, à la politique de sécurité permissive : https://weglot.com/privacy/
Collecte les informations, dont l’adresse IP.
« Within the framework of the activities of this company, we are likely to collect and process personal data relating to our customers, users, prospects, suppliers/providers as well as our other interlocutors »
« Dans le cadre des activités de notre compagnie, nous somme suisceptibles de collecter et de traiter des données personnelles en relation avec nos clients, utilisateurs et utilisatrices, prospects, fournisseurs, ainsi que tout autre interlocuteurs. »
https://js-agent.newrelic.com/nr-1209.min.js
API permettant de faire des statistiques utilisatrices et utilisateurs : https://newrelic.com/termsandconditions/services-notices
On y retrouve des collecte des pseudo des personnes, leurs identifiants, le traçage via les cookies (mentionné à l’article 3.a).
Les objets de ces traitements mentionnées (3.b) son –entre autre :
- Répression d’activités illégales
- Répression d’usages non licenciés
- « for research and development purposes, including to analyze, develop, improve and optimize our Services; » donc marketing et profilage
- « Comply with applicable law », donc répression au nom de l’État
Ces informations peuvent être partagé avec les entreprises collaboratrices, des agents applicant une loi en vigueur
https://maps.google.com/maps/api/js?sensor=true&ver=3.9.12
Pas plus de problème que dans le nom
https://tag.aticdn.net/614130/smarttag.js
Il n’y a qu’une API derrière ce site, pas de site web. Les info de whois ont presques toutes été retirée, ont voit juste que ça a été déposé en nouvelle aquitaine. Mais j’ai trouvé de la documentaion mentionnant cette url, pour initier un tracker :
https://developers.atinternet-solutions.com/javascript-fr/bien-commencer-javascript-fr/initialisation-du-tracker-javascript-fr/

Gyom · Juillet 6, 2021, 8:02

J’ai regardé aussi un peu lilo.

Comme ljf je vois partir des requetes vers bing.net (pour télécharger des images).

Je vois aussi passer des requetes vers xiti avec ma recherche : logs1412.xiti.com/hit.xiti?s=614130&idclient=ddbd5899-cf5a-4109-aaba-0dbd5bdd13a5&ts=1625554682048&vtag=5.28.1&ptag=js&r=1680x1050x24x24&re=1680x857&hl=8x58x2&lng=fr&idp=0858013581078&jv=0&p=moteur_de_recherche::page_resultats&s2=&uselilosearch=yes&uselilotab=no&useliloshopping=no&useliloapp=no&islogged=no&islilouser=yes&nbdropstotal=0&perimetre=searchliloorg&page=page_resultats&keyword=cancer%20poumon&type_de_recherche=web&page_position=1

Ca me parrait contradictoire avec " Nous hébergeons nos statistiques sur notre propre outil configuré".

Sinon, priori le smarttag.js est aussi lié à xiti (AT internet) mais perso je ne connais pas les conditions d’utilisation de leurs services. Mais si je comprends bien ca permet de generer un identifiant (en utilisant ce parametrage : {« site »:614130,« log »:"",« logSSL »:"",« domain »:« xiti.com »,« collectDomain »:« logc412.xiti.com »,« collectDomainSSL »:« logs1412.xiti.com »,« userIdOrigin »:« server »,« pixelPath »:"/hit.xiti",« disableCookie »:false,« disableStorage »:false,« cookieSecure »:false,« cookieDomain »:".lilo.org",« preview »:false,« plgs »:[« Campaigns »,« Clicks »,« ClientSideUserId »,« ContextVariables »,« Page »,« InternalSearch »,« Events »,« Privacy »],« lazyLoadingPath »:"",« documentLevel »:« document »,« redirect »:false,« activateCallbacks »:true,« medium »:"",« ignoreEmptyChapterValue »:true,« base64Storage »:false,« sendHitWhenOptOut »:true,« forceHttp »:false,« requestMethod »:« GET »,« maxHitSize »:2000,« urlPropertyAuto »:false,« urlPropertyQueryString »:false}).

Pour en rajouter une couche le GET du script répond en disant (Server: AmazonS3 / Via: 1.1 a5b64a1ac22cdce92ad57684d05480be.cloudfront.net (CloudFront))

Sinon sur leur page sur la vie privée : " Les serveurs de Lilo sont hébergés en France […] c’est aussi une protection supplémentaire vis-à-vis des services d’informations étrangers." mais dans leur charte :
« Dans le cadre des outils que nous utilisons (voir article sur les destinataires concernant nos sous-traitants), vos données sont susceptibles de faire l’objet de transferts hors de l’Union européenne. ». D’ailleurs lilo utilise cloudflare (société américaine, qui vient se placer entre l’utilisateur et le site visité).

Pour continuer par rapport à la charte il y a deux trois trucs qui me semblent surprenants : « Vos données à caractère personnel sont conservées pendant 2 (deux) ans à compter de votre dernière utilisation du moteur de recherche Lilo. A l’issue de cette durée de 2 (deux) ans, vos données peuvent être conservées jusqu’à 3 (trois)ans au-delà de la relation à des fins de preuve, en archivage intermédiaire. » ou « Nous vous informons également que nous sommes susceptibles de collecter vos données de manière indirecte auprès des plateformes d’affiliation. »

Si jamais "pour les demandes relatives à l’utilisation du moteur de recherche : mesdonnees.■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ ".

Gyom · Juillet 6, 2021, 8:59

Mais c’est assumé (https://www.lilo.org/politique-de-confidentialite/) :

Les prestataires de recherche (Bing, Yahoo) peuvent également avoir accès à votre IP afin de prévenir de la fraude également. Certaines fonctionnalités qui dépendent de services externes autres que Lilo ne sont pas compatibles avec des fonctions de respect de la vie privée, mais elles sont optionnelles et vous êtes averti avant chaque utilisation.

Il n’y a que l’utilisation de xiti qui me semble en contradiction :

Nous hébergeons nos statistiques sur notre propre outil configuré selon les recommandations de la CNIL et ne collectons qu’un nombre limité d’informations.

D’après la version anglaise (https://www.lilo.org/privacy/), le moteur serait sensé utiliser Piwik…

ljf · Juillet 8, 2021, 12:18

https://www.lilo.org/votre-vie-privee-avec-lilo/ D’après la version française

Nous n’acceptons AUCUN script ou cookie tiers & ne revendons vos données de recherche à AUCUNE agence de publicité.

=> sur une page dédiée à la vie privée où se trouve un javascript de aticdn. CQFD et cf l’analyse de @Gyom

Les seules données que nous utilisons servent aux fonctionnalités de Lilo et uniquement à ça. Et nous prenons bien soin de rendre anonymes en masquant les derniers chiffres de l’adresse IP.

=> Sauf que du coup on a montré que l’ip complète est envoyée via les images.

Nous hébergeons nos statistiques sur notre propre outil configuré selon les recommandations de la CNIL et ne collectons qu’un nombre limité d’informations.

Heureux de savoir que Lilo a fait l’acquisition de xiti… (humour ) . Remarque peut être que atinternet propose d’héberger son outils xiti. Enfin dans tous les cas y a quand même d ela communication entre les 2 à voir quoi exactement.

Gyom · Juillet 18, 2021, 8:26

Vous voyez quoi comme étape suivante ? Rédaction d’un article/lettre ?