• 15 mai 2021 19h07

Comment les sociétés de suivi en ligne savent la plupart de ce que vous faites en ligne (et ce que les réseaux sociaux font pour les aider)

ByMarc

Nov 12, 2020

Les sociétés tierces de publicité et de suivi sont omniprésentes sur le web moderne. Lorsque vous visitez une page Web, il y a de fortes chances qu’elle contienne de minuscules images ou du JavaScript invisible dans le seul but de suivre et d’enregistrer vos habitudes de navigation. Ce type de suivi est effectué par des dizaines de sociétés différentes. Dans cet article, nous allons examiner comment ce suivi se produit, et comment il est combiné avec les données des comptes sur les sites de réseaux sociaux pour construire des profils étendus et identifiés de votre activité en ligne.

Comment des tiers peuvent voir ce que vous faites sur le web ?

Chacune de ces sociétés de suivi peut vous suivre sur plusieurs sites web différents, vous suivant effectivement lorsque vous naviguez sur le web. Elles utilisent soit des cookies, soit des « super cookies » difficiles à supprimer, soit d’autres moyens, pour relier leurs enregistrements de chaque nouvelle page que vous visitez à leurs enregistrements de toutes les pages que vous avez visitées au cours des minutes, des mois et des années précédentes. La présence généralisée de bogues web et de scripts de suivi tiers sur une grande partie des sites du web signifie que ces sociétés peuvent établir un profil à long terme de la plupart des actions que nous effectuons avec nos navigateurs web.

Elles peuvent nous suivre, mais savent-elles qui nous sommes ?

Étant donné ce que les sociétés de suivi savent de notre historique de navigation, il convient de se demander si elles savent aussi qui nous sommes. La réponse, malheureusement, semble être « oui », du moins pour ceux d’entre nous qui utilisent des sites de réseaux sociaux.

Un récent document de recherche de Balachander Krishnamurthy et Craig Wills montre que les sites de réseautage social comme Facebook, et LinkedIn offrent aux entreprises de traçage un moyen facile d’ajouter votre nom, vos listes d’amis et d’autres informations de profil aux dossiers qu’elles conservent déjà sur vous.

Le thème principal de l’article est le suivant : lorsque vous vous connectez à un site de réseau social, ce dernier inclut un code de publicité et de suivi de telle sorte que la tierce partie peut voir quel est votre compte sur le réseau social. Il lui suffit alors d’aller sur votre page de profil, d’en enregistrer le contenu et de l’ajouter à son dossier. Sur les 12 réseaux sociaux étudiés dans l’article, un seul n’a pas divulgué d’informations d’identification personnelle à des tiers.

La façon dont les sites de réseaux sociaux divulguent ces données comporte quelques détails techniques intéressants. Dans certains cas, la fuite peut être involontaire, mais dans d’autres, il s’agit d’une ingénierie anti-privacité intelligente et subreptice.

Voies de fuite des données des réseaux sociaux vers les sociétés de traçage tierces

La façon la plus évidente pour un traqueur tiers d’apprendre quel est votre compte sur un site de réseau social est l’en-tête HTTP Referrer. L’URL typique d’un site de réseau social comprend un nom d’utilisateur ou un numéro d’identification de l’utilisateur, et toute tierce partie sera en mesure de le voir.

Une deuxième méthode, légèrement plus révélatrice, que certains réseaux sociaux utilisent pour divulguer des informations personnelles, consiste à utiliser les paramètres URL/URI du contenu tiers.

La troisième méthode, la plus surprenante, consiste à aliaser les serveurs de suivi de tiers dans le nom de domaine du site hôte de manière à ce que le tiers puisse voir les cookies du site hôte, en violation de la politique de la même origine.

Que puis-je faire pour me protéger ?

Malheureusement, il n’existe pas de moyen facile d’utiliser les sites web et les sites de réseaux sociaux modernes, dépendants des cookies et du JavaScript, et d’éviter en même temps le pistage. Afin de bénéficier d’une protection substantielle contre ces mécanismes de suivi, vous devez prendre les mesures suivantes :

Choisir une bonne politique de cookies pour votre navigateur, comme « ne conserver les cookies que jusqu’à ce que je ferme mon navigateur », ou l’approbation manuelle de tous les cookies.
Désactivez les cookies Flash et tous les autres types de « super cookies ».
Utilisez les extensions Firefox RequestPolicy et NoScript pour contrôler quand les sites tiers peuvent inclure du contenu dans vos pages ou exécuter du code dans votre navigateur, respectivement. Ces outils sont très efficaces, mais sachez qu’ils sont difficiles à utiliser : de nombreux sites qui dépendent de JavaScript devront être inscrits sur une liste blanche avant de fonctionner correctement.
Utilisez le plugin Targeted Advertising Cookie Opt-Out. Il vous permettra de vous retirer automatiquement de tous les trackers tiers qui ont une option de retrait qui vous oblige à accepter un cookie. Sachez que toutes les tierces parties ne proposent pas d’option de retrait, ou que certaines d’entre elles peuvent interpréter l’option de retrait comme signifiant « ne me montrez pas de publicités ciblées », plutôt que « ne suivez pas mon comportement en ligne ».
Comme toujours, il n’y a pas de mal à utiliser un VPN ou Tor via TorButton pour cacher votre adresse IP et d’autres caractéristiques du navigateur lorsque vous souhaitez une confidentialité maximale.

Malheureusement, bon nombre des étapes ci-dessus sont assez difficiles à suivre, et nous craignons que la grande majorité des internautes continuent d’être suivis par des dizaines d’entreprises – des entreprises dont ils n’ont jamais entendu parler, avec lesquelles ils n’ont aucune relation, et auxquelles ils ne choisiraient jamais de confier leurs pensées et leurs habitudes de lecture les plus privées.

Il ne sera pas facile de réparer ce gâchis. Sur le plan technique, tout ce suivi découle de la conception du Web en tant que système hypertexte interactif, combiné au fait que de nombreux sites Web sont prêts à aider les annonceurs à suivre leurs visiteurs. Il est possible de modifier les navigateurs pour les rendre plus difficiles à pister, mais il faudra faire preuve d’une grande prudence et d’une conception intelligente pour y parvenir sans porter atteinte aux vertus de l’hypertexte interactif. Il n’est pas certain que quelqu’un ait encore trouvé le bon moyen d’y parvenir.

Sur le plan juridique, il est clair que le régime actuel de protection de la vie privée ne fonctionne pas : les sociétés de suivi comportemental peuvent mettre ce qu’elles veulent dans les petits caractères de leurs politiques de protection de la vie privée, et peu de visiteurs de tout site Web se rendront compte de la présence des trackers, sans parler de la lecture de leurs politiques. Il est temps que nous trouvions des règles juridiques pour garantir que les gens sachent réellement quand leur vie privée fait partie du prix qu’ils paient pour visiter un site.