“GDPR Analyzer” : un outil libre de mesure de la conformité d’un site web avec le RGPD

Le Règlement Général de la Protection des Données personnelles (RGPD) est entré en vigueur le 25 mai 2018 dans l’Union Européenne et affecte toutes les organisations traitant des données personnelles identifiables (DPI) de résidents européens. Il a pour objectif d’encadrer l’utilisation de ces données. Parmi les principaux points d’application figure notamment l’obligation de limiter et gérer les fuites de données personnelles sur un site, essentiellement via les cookies et les trackers.

Le projet, développé par des étudiants en cybersécurité de l’ENSIBS à Vannes, a pour but de permettre à chacun de prendre conscience de l’ampleur du tracking sur le web et d’aider les fournisseurs de contenu à se mettre en conformité avec le RGPD. Pour cela, ils ont développé un logiciel libre et gratuit : « GDPR Analyzer ».

Ce logiciel donne à chaque utilisateur la possibilité de vérifier la conformité du front-end de chaque site web avec le règlement européen précité et de lui fournir les éléments permettant de comprendre en quoi il n’est potentiellement pas respecté. L’outil sort aujourd’hui, mardi 28 janvier, pour le “data privacy day”. Il est disponible sur github.

Pour créer un tel outil, nous avons pris en considération les deux piliers essentiels du RGPD qui s’appliquent à un site web, à savoir le consentement, qui se traduit par le fait que la transmission d’informations personnelles à des tiers soit voulue, libre, éclairée et univoque, et la sécurité des transmissions entre l’utilisateur et le serveur hébergeant le site. Pour vérifier cela, le programme exerce deux tâches principales : celle d’analyse et celle de création d’un rapport.

Analyse

L’initialisation de l’analyse consiste à imiter le chargement de la page web ciblée pour en récupérer à la fois les cookies et le contenu HTML/CSS. Ensuite, les cookies récoltés sont analysés : leur durée de vie, le fait qu’ils proviennent ou non de serveurs tiers et certains de leurs attributs comme isSecure ou isHttpOnly puisqu’ils impliquent le principe de sécurité des transmissions, qui doit-être respecté pour être en conformité avec le RGPD.

Dans un second temps, le contenu HTML et CSS est passé au peigne fin, à la recherche de pixels espions (il s’agit d’images dissimulées, hébergées sur des serveurs externes dans le but de pister la navigation de l’utilisateur à travers les sites web qu’il visite). Il est possible de les identifier grâce à différentes caractéristiques, notamment leur position, leur style (hidden, display:none etc.), leur présence dans une blacklist et leur taille.

La dernière étape de l’analyse consiste à évaluer la sécurité des transmissions entre le serveur et le client. L’utilisateur peut avoir consenti à la collecte de ses données, mais si l’entreprise ne maîtrise pas la transmission de ces dernières n’importe qui peut les récupérer et en faire un usage non consenti. Pour cela, l’outil analyse les protocoles de connexion, le certificat, la taille de la clé et les suites cryptographiques disponibles.

Génération du rapport

Après l’analyse s’ensuit donc la rédaction d’un rapport nominatif et l’attribution d’une note de conformité. Cette note est définie grâce à une grille d’évaluation qui prend en compte les trois critères cités précédemment.
Certaines informations relevant du RGPD n’étant pas accessibles publiquement (le traitement en tâche de fond comme la gestion des bases de données par exemple), le logiciel n’a pas pour objectif de couvrir l’entièreté des cas liés au RGPD concernant les sites web, mais bien de se concentrer sur le tracking et la sécurité des échanges.

Il permet à toute personne soucieuse du respect de la vie privée d’avoir des indications sur la façon dont chaque site web traite ses données et de se faire un avis éclairé à l’aide du rapport détaillé. Les techniques de tracking évoluant chaque jour, cet outil n’a pas vocation à le retranscrire avec exactitude, mais plutôt à ce que l’utilisateur puisse prendre conscience des actions qui sont effectuées lorsqu’il navigue sur un site web et à ce que les fournisseurs de contenu s’en serve à des fins d’amélioration du respect de la vie privée sur leur site.

Auteurs : Antoine Rebeyrol, Antoine Rebstock – 3ème année cybersécurité ENSIBS Vannes
Créateurs du projet : Antoine Rebeyrol, Antoine Rebstock, Benjamin Supiot, @malaatete

Contact :
Mail : gdpr-analyzer@protonmail.ch
Twitter : @gdpr_analyzer