Tout à fait: Google peut vous pister très facilement. La cause ? La quasi-totalité des sites ont des URL dans leurs pages qui pointent vers des serveurs de google, que ce soit Google Analytics (statistiques), Google AdSense (publicité), boutons Google+, jQuery (hébergé sur le CDN Google), les polices de caractères chez Google, images, etc.
A noter également que le User-Agent combiné à quelques données complémentaires permettent d'identifier le visiteur pratiquement de manière unique, sans même avoir besoin d'un cookie: https://panopticlick.eff.org/

Comme dit dans l'article, Google vous suit en temps réel dans votre surf, sait quelles pages vous visitez, d'où vous venez (http_referer), quand (date), où vous êtes (adresse IP), etc.
J'avais fait un article là dessus: http://sebsauvage.net/rhaa/index.php?2011/09/28/17/14/02-le-grand-il

Si je prend quelques exemple:
Clubic.com: la page d'accueil pointe vers googleadservices.com, google-analytics.com, googlesyndication.com, doubleclick.net (qui appartient à Google) et googletagservices.com. Et là on ne parle que des serveurs appartenant à Google.
Numerama ?  googleadservices.com, googletagservices.com, googlesyndication.com, google-analytics.com, gstatic.com (qui appartient à Google).
Imaginons maintenant que vous alliez consulter un forum santé sur un problème personnel embarrassant, genre Doctissimo.fr ?   google-analytics.com, gstatic.com, googleapis.com (pour jQuery), google.com.

Et bien sûr quand ces serveurs recoivent une requête de la part de votre navigateur, il y a le HTTP_REFERER qui leur indique quelle page vous êtes en train de consulter.
Et bien sûr Facebook, Twitter et autres sont également présents dans les pages et peuvent eux aussi suivre votre surf de page en page, de site en site sur tout le web.

Vous voulez vous en protéger ?  Vous pouvez utiliser AdBlock avec ces listes de blocage: http://sebsauvage.net/links/?Ha_r7Q
Mais ce n'est même pas suffisant.  J'ai ajouté des règles: http://sebsauvage.net/links/?Vn5JzQ

8sms devient payant et je ne suis pas fan de l'application SMS de base d'android. Chez F-Droid, SMSDroid n'est pas sexy, mais fait bien son boulot (https://f-droid.org/repository/browse/?fdid=de.ub0r.android.smsdroid).  Cherchons quelques alternatives, voulez-vous ?  Je recherche alors juste "SMS" sur GooglePlay et je regarde les premiers résultats:

- Telegram : Au démarrage, on entre son numéro de téléphone... et l'application tourne dans le vide, ne rend jamais la mains... parce qu'elle n'a pas d'accès internet. Qu'est-ce que tu as besoin de balancer mon numéro de téléphone sur internet pour t'«activer» alors que je veux juste envoyer des SMS ? DÉGAGE.  (Oui, ça le fait même avec la version chez F-Droid.)

- TextSecure : Il n'utilise pas la base de SMS du téléphone, mais sa base séparée. Bonne surprise la dernière fois que j'ai voulu dé-installer l'application: il faut ré-exporter tous vos SMS de TextSecure vers la base SMS standard du téléphone. Et ça ne marche pas toujours bien. Non merci, je ne veux pas perdre de SMS. Et on ne peut même pas choisir la taille de la police.

- Google Hangout ?   Non je blague. Je ne veux pas avoir à ouvrir un compte Google+ pour envoyer des SMS. Google n'a pas besoin de savoir avec qui j'échange.

- chomp SMS ?  Pourquoi tu veux te donner le droit d'activer ma connexion WiFi quand ça te chante ? TOUCHES PAS A MON WIFI. T'es censé être une application de SMS. Dégage.

- NowSMS ?  Même remarque que précédent.

- Textra ?  Même remarque que précédent.

- Handcent SMS ?  Non je ne veux pas que tu me géolocalise.  Ma position géographique ne te regarde pas !  Dégage.

- ChatON ?  Position GPS.  Nope.

- EvolveSMS ?   Position GPS.  Nope.

- Wivi ?  Droits: « lire et modifier les flux de réseaux sociaux », « créer des comptes et définir des mots de passe ».  Tu veux aussi les clés de ma baraque ???

- Facebook Messenger ?  Non je blague. Hors de question, bien sûr.

Bref, C'EST TOUT POURRI !
DÉVELOPPEURS ANDROID, JE VOUS HAIS.  Y'a pas une seule putain d'application SMS qui tienne la route et qui fasse *juste* bien son boulot sans me marcher sur la gueule ?   Oui, je suis énervé.
Si vous avez des suggestions, je suis preneur.

Donc, une version majeure du navigateur TOR est sortie. En dehors du fait qu'ils ont changé de version de Firefox (désormais la 31-ESR), ils ont également désactivé SSL 3.0 (au regard de la récente faille de sécurité).
On notera aussi l'inclusion de "meek", un plugin qui résout un problème spécifique à TOR:
Quand TOR démarre, il a besoin de se connecter à une poignée de nœuds TOR bien connus pour télécharger une liste initiale de relais. Beaucoup de gouvernement bloquent les accès à ces nœuds initiaux.
Meek permet de faire passer ces requêtes par différents services cloud (Google AppEngine, Amazon CloudFront et Microsoft Azure). Les gouvernements ne bloquent généalement pas l'accès à ces clouds, car cela rendrait internet en grande partie inutilisable dans leur pays.
L'équipe TOR constate ainsi que TOR 4 peut démarrer directement en Chine, sans avoir besoin d'entrer manuellement des nœuds relais. Excellent.

BOUH QUE C'EST LAID. On connaît déjà les fournisseurs d'accès qui priorisent certains flux réseau. Voici un FAI américain qui interfère dans la négociation SSL de SMTP (envoie de mail) entre un client et un serveur pour *DESACTIVER* le chiffrement.
Oui vous avez bien lu: Le FAI modifie les échanges entre client et serveur SMTP pour les empêcher de communiquer de manière chiffrée.
Les FAI vont-ils commencer à vous empêcher de chiffrer pour mieux faire du DPI et du trafic-shaping ? Avec des FAI aussi pourris, les fournisseurs de services VPN ont un bel avenir devant eux.

Haha c'est trop fun. C'est l'entreprise dont le coeur de business est de vendre les détails de votre vie privée aux entreprises qui vous propose une appli pour communiquer de manière anonyme ?
Un peu comme si un cambrioleur vous vendait des serrures anti-effraction. Vous lui feriez confiance, sachant qu'il a déjà été pris plusieurs fois en flagrant délit de cambriolage ET QU'IL CONTINUE SON BUSINESS ?

Oh c'est vrai, tu veux me proposer des recettes ?  Et pour ça tu as besoin de me géolocaliser et de faire des enregistrements audio ?  VA TE FAIRE FOUTRE.    
Purée, j'en ai raz-le-bol de ces applis de merde qui vous demandent votre pedigree complet pour le moindre truc.

mmm... PARDON ???  Voilà, c'est EXACTEMENT la voie que personne ne souhaitait qu'ils prennent et ils viennent de le suggérer: contrôler la crypto (ou la criminaliser s'ils ne peuvent pas la contrôler).
Cela rappelle fortement l'époque où PGP était innaccessible en Europe car interdit d'export des USA, ou encore les versions d'IE limitées à un SSL 40 bits pour tout pays hors des USA: Une crypto affaiblie ou interdite.

Comme quoi il faut faire attention à votre fournisseur de VPN aussi...

EDIT: En fait, c'est encore pire : http://maniacgeek.net/actualite/facebook-force-les-gays-et-les-trans-a-donner-leurs-vrais-noms-5262
EDIT: Facebook s'excuse: http://sebsauvage.net/links/?i0JMbA

pom pom pom...

Quelles sont les menaces qui pèsent sur TOR ?
Tout d'abord, la criminalisation de l'anonymat, et donc la pression légale pour faire fermer les nœuds de sortie, réduisant la sécurité globale du réseau. Mais il y a une nouvelle menace : Un nombre grandissant de sites traitent les utilisateurs de TOR comme des sous-internautes, bloquant leurs messages ou même refusant d'afficher les pages. Certains forums afficheront une fausse erreur ou un message d'indisponibilité juste parce que vous passez par TOR.

mmm... oui, c'est un des petits plus d'ownCloud (malgré les reproches que j'ai à lui faire): Il possède un chiffrement intégré (désactivé par défaut).
Donc même si vous merdez temporairement vos .htaccess ou que quelqu'un parvient à récupérer tous vos fichiers (par ftp ou ssh), ils ne pourront pas les lire.
Non seulement les fichiers sont chez vous, mais même si votre hébergeur se fait pirater et que le pirate récupère vos fichiers, il ne pourra pas les déchiffrer.   C'est autre chose que les iCloud à deux balles avec leur pseudo-chiffrement.
(Bien sûr la sécurité d'ownCloud dépend aussi de votre mot de passe, du chiffrement des communications (HTTPS) et de la sécurité générale du logiciel.)

Portez un bracelet électronique, et vous aurez une ristourne sur votre assurance santé.  Non non, pas un bracelet genre "bracelet GPS de prisonnier", mais un FitBit (pour mesurer vos dépenses physiques).
Non non, vous êtes officiellement libres, hein !...  Mais ils vous tiennent quand même par le fric.

Vous avez un bracelet au poignet en échange d'une réduction sur votre assurance santé, un GPS dans votre voiture pour réduire votre assurance voiture. Combien allez-vous céder de votre vie privée ? Jusqu'où accepterez-vous cette soumission en échange d'une aumône ?
Ils savent que vous avez besoin d'argent. Ne leur cédez pas. Rejetez en blocs ces laisses électroniques. Parce qu'au final, ils ne se contenteront pas de vous faire une ristourne: Ils essaieront de faire de l'argent sur vos données en les revendant. Ou alors ils les donneront à d'autres sous la pression, y compris à votre gouvernement.

C'est beau, quand même: Les gouvernements n'auront même plus besoin de faire passer des lois de surveillance. Ils laisseront le marasme économique guider les citoyens vers ce fichage volontaire, puis iront tranquillement demander les données aux entreprises et assurances. C'est déjà ce qu'ils font auprès de Google, des fournisseurs d'accès internet et opérateurs téléphone. Ils auront encore plus de choix.

Donc voilà, Chrome offre la possibilité de sauvegarder les mots de passe du navigateur dans le cloud de Google. Google pourra donc avoir tous vos mots de passe. Trop cool, hein ?  Mais si c'est bien, c'est la sauvegarde dans le CLAAAAOUUUUDE, c'est trop cool.
Ah, et Chrome va aussi intégrer le système d'authentification de ChromeOS.  Les deux (Chrome/ChomeOS) se rapprochent peu à peu. Les sabots de Google sont un peu trop visibles.
(cf. http://www.numerama.com/magazine/30290-comment-chrome-envoie-tous-vos-mots-de-passe-a-google.html)

Et merde. Ça existe déjà aux USA, mais je ne pensais pas que ça débarquerait aussi vite en France: Certains assureurs vous proposent des tarifs plus attractifs en échange de votre vie privée. Allianz propose un mouchard dans votre voiture en échange de tarifs d'assurance auto moins élevés.
A notez qu'aux États-Unis, certaines assurances santé imposent à leur client un accès complet à leur relevés bancaires pour dénicher ceux qui - par exemple - abuseraient du MacDo.

Oui, on en est là: Ce n'est plus le problème d'échanger votre vie privée contre des services (Google, etc.), mais carrément de proposer d'échanger votre vie privée contre de l'argent.  :-(
Combien vaut votre vie privée ? Qu'êtes-vous prêts à céder pour économiser de l'argent ?

MMmmm... voilà qui est intéressant: un spyware gouvernemental (FinFinsher) a fuité sur le net. J'attend de voir les analyses intéressantes que certains pourront faire de ces 40 Go.

Ouaips... j'aimerais pas être développeur TOR. La pression doit être énorme. :-/

Mouis bon j'ai testé diverses applications de ce genre, et généralement l'application plante après modification.
Non ce que je préfèrerais faire, c'est modifier directement l'appli pour - par exemple - lui fournir une position GPS bidon.
(Mais je n'ai jamais essayé de recompiler un apk décompilé. Je présume que le taux de succès doit être assez faible.)

EDIT: Ah ben justement: http://korben.info/xprivacy-trompez-les-applications-android-fausses-donnees.html (mais bon bien sûr il faut être root).

Une fois de plus, merci à Framasoft et à ses membres d'avoir traduit ce document d'origine anglophone.
Il s'agit d'un tutoriel à GnuPG.  Il n'y en a jamais trop.
Mais soyons réalistes: Malgré toutes les bonnes volontés du monde, je ne vois pas Mme Michu comprendre GnuPG, encore moins l'utiliser.

Un logiciel opensource pour communiquer en protéger sa vie privée. Chat text, VOIP et visio. Fonctionne dans le navigateur sans logiciel spécifique. à tester...

L'application Facebook va donc maintenant piocher dans votre historique de navigation ?  Sérieusement !

Oui l'analogie est tout à fait pertinente !
(via http://liens.howtommy.net/?m4Qgsw)