L’affaire Cambridge Analytica autour des fuites de données utilisateurs de Facebook le montre : la protection des données personnelles sur Internet est devenue un enjeu majeur de ces dernières années. Même sans être forcément inscrits sur Facebook ou sur un autre réseau social, les internautes ne sont pas prémunis, les techniques actuelles permettant aux entreprises de collecter de nombreuses informations sur eux, très souvent dans le but de cibler des campagnes publicitaires qui généreront des revenus.
Les cookies tiers : un pistage automatique d’un autre site que celui que vous visitez
Si vous passez du temps sur Internet, vous avez forcément lu un message de sites vous indiquant qu’ils utilisent (et vous demandent d’accepter) des « cookies » pour fonctionner. Le cookie (ou « fichier témoin », en français québécois) est un petit fichier stocké sur votre ordinateur ou votre téléphone par les sites que vous visitez. A de rares exceptions, ils sont installés dès lors que vous naviguez sur le site.
Lorsque vous ouvrez une page, disons www.lemonde.fr, votre navigateur va envoyer une demande (que l’on appelle une requête) au serveur sur lequel est stocké le site du Monde.
Un serveur est – pour résumer – un ordinateur connecté à Internet et chargé de rendre des services lorsqu’on lui en fait la demande. Il reçoit la demande et va ensuite servir le site Internet en l’envoyant aux navigateurs qui le demandent (appelés des clients). Il va, avec ceci, accompagner le tout d’un ou plusieurs cookies qui auront un nom et une valeur. Imaginons qu’il dépose un cookie appelé « id_utilisateur » dans lequel il inscrira la valeur « 845 ».
Stockée sur l’ordinateur de l’internaute, cette information va permettre au serveur de reconnaître l’utilisateur : la prochaine fois que celui-ci chargera une page, le serveur pourra lire l’information qu’il aura déposée : il saura qu’il s’agit de l’utilisateur no 845.
A titre d’exemple, voici la liste des cookies stockés sur votre ordinateur par Le Monde. fr :
Aucun cookie
sont stocké sur votre navigateur par :
(Déplier pour les voir tous)
La plupart de ces cookies étant incompréhensibles dans leur langage naturel, cette liste n'est là qu'à titre d'illustration.
| Nom | Valeur |
|---|
Il existe des techniques pour autoriser les sites que vous visitez à lire les cookies qui ne les regardent pas
Le serveur ne peut en revanche que lire les cookies qu’il a lui-même déposés, pas ceux déposés par les autres sites Internet. Enfin, en principe… Car en réalité, il existe des techniques pour autoriser les sites que vous visitez à lire les cookies qui ne les regardent pas en temps normal. Ce sont les « cookies tiers ».
Là où un cookie interne est utile pour faire fonctionner le site que vous visitez, et seulement ce site-là, le cookie tiers peut être lu sur plusieurs sites à la fois, ce qui permet de facilement traquer l’internaute, c’est-à-dire suivre sa navigation sur Internet.
Imaginons par exemple que vous visitiez et vous inscriviez sur un site A (disons reseau-social.fr). Celui-ci dépose plusieurs cookies qui vous identifient en tant qu’utilisateur. Tant qu’ils ne sont utilisés que par reseau-social.fr, ce sont des cookies internes. Mais si vous visitez par la suite un autre site (disons site-de-shopping.com), qui prend les cookies de reseau-social.fr au chargement, reseau-social.fr aura alors accès à votre visite sur boulevard-shopping.com. Il pourra suivre votre navigation sur tous les sites où il est implanté et donc autorisé à lire les cookies.
Cette technique est utilisée au sein des boutons développés par les réseaux sociaux et destinés à être intégrés dans de nombreux autres sites Internet. Le « J’aime » de Facebook ou le « Tweeter » de Twitter, par exemple, permettent à ces sites de vous suivre quasi partout où vous allez, et donc de connaître votre navigation, vos centres d’intérêts, et d’autres informations personnelles précieuses qu’ils revendront afin de générer des revenus publicitaires issus de campagnes ciblées avec ces informations.
Ce système fonctionne de manière automatique, sans demander le consentement de l’internaute ni l’avertir des services tiers intégrés au site. Une collecte de données silencieuse.
Mouchards : un pistage silencieux et omniprésent
Si les cookies sont déjà partiellement utilisés par les régies publicitaires comme des mouchards (ou des témoins de votre navigation) implantés au sein même de votre navigateur, il existe d’autres types de mouchards qui collectent bien plus d’informations que ceux-ci : les « scripts de traçage ».
Il est possible de recréer en vidéo le parcours de l’internaute en détail
Ceux-ci sont la plupart du temps programmés en JavaScript, un langage informatique qui permet de charger des programmes au sein même d’une page Web pour interagir avec l’internaute ou la page. Ces programmes collectent des données sur l’activité de l’utilisateur au sein de la page : où il clique, où il fait défiler la page, combien de temps il reste sur le site, quel document il télécharge. Une partie de ces scripts enregistrent tant d’informations sur la navigation des utilisateurs qu’il est ensuite possible de recréer en vidéo le parcours de l’internaute sur le site en détail.
Dans une étude publiée à l’été 2017 par Cliqz, l’éditeur de l’outil antimouchard Ghostery, et fondée sur l’analyse de 440 millions de pages vues par 850 000 personnes, 77 % des pages étudiées contenaient des mouchards. Sur les 23 % de pages ne contenant pas de mouchard, un quart provient de Google ou Facebook, qui peuvent théoriquement suivre et étudier en détail leurs utilisateurs sans être détectés par l’algorithme de Ghostery.
Parmi les mouchards qu’on retrouve le plus, se trouvent deux des plus connus : Google Analytics, le service de mesure d’audience des sites Internet le plus répandu, qui est présent sur presque la moitié des pages étudiées, et Facebook Connect (l’outil qui permet de vous inscrire à des services tiers grâce à votre compte Facebook) qui est chargé sur un cinquième des pages.
Les outils publicitaires Google prennent une part importante, puisque DoubleClick, Google Publishers Tag et Google Tag Manager sont à eux trois chargés sur 48 % des pages.
Google est de loin l’entreprise dont les tentacules sont les plus présents
En fait, Google est de loin l’entreprise dont les tentacules sont les plus présents sur la Toile, selon les données agrégées par l’étude de Cliqz. Les mouchards de l’entreprise californienne sont présents sur quasi deux tiers des pages visitées par les participants à cette étude à grande échelle… loin devant Facebook, qui est pourtant proche de suivre ses membres sur presque un tiers des pages qu’ils visitent sur Internet. Derrière, les autres grandes entreprises du secteur se partagent le reste des parts de marché.
En 2016, une étude de l’université de Princeton montrait également que les mouchards de Google sont présents sur de très nombreux sites Internet. Parmi le million de sites les plus visités au monde, 70 % d’entre eux étaient équipés de Google Analytics, tandis que 20 % intégraient Facebook et 10 % Twitter.
Il existe plusieurs outils consacrés à la protection contre les mouchards sur Internet. Deux d’entre eux sont particulièrement connus pour leur efficacité.
- Ghostery
Il s’agit d’une extension pour navigateurs créée et éditée par Cliqz, une entreprise allemande, faite pour bloquer une grande partie des mouchards en se basant sur un algorithme. L’extension bloque par défaut une partie des mouchards seulement, mais laisser la possibilité de bloquer systématiquement les programmes espions.
- Privacy Badger
Cette extension pour navigateurs a été créée par l’Electronic Frontier Fondation afin de bloquer les mouchards qui pistent les internautes sans leur consentement, c’est-à-dire ceux qui ignorent l’instruction de ne pas pister l’utilisateur (aussi appelé do not track). L’extension ne fonctionnera de façon optimale que si vous activez cette option dans votre navigateur.
La plupart des navigateurs actuels donnent par ailleurs la possibilité de bloquer systématiquement tous les cookies tiers afin de minimiser le suivi de leurs utilisateurs.
Voir les contributions
Réutiliser ce contenu
