• 15 mai 2021 18h34

Le suivi des utilisateurs sur le Web aujourd’hui.

ByMarc

Oct 27, 2020

Les cookies constituent toujours un problème de confidentialité pour les internautes, de nombreuses années après que les défenseurs de la vie privée aient exprimé pour la première fois leurs inquiétudes quant à leur utilisation pour suivre la navigation sur le Web. Aujourd’hui, les cookies sont l’un des principaux mécanismes utilisés par les sociétés de publicité comme Google pour suivre et profiler les utilisateurs sur les différents sites et au fil du temps – souvent en établissant un seul profil gigantesque pendant des années et des années. De nombreuses personnes répondent à cette menace en utilisant les fonctions de gestion des cookies de leur navigateur pour limiter les cookies qu’ils acceptent ou la durée de leur conservation.

Mais il s’avère que la situation des cookies est aujourd’hui un peu plus délicate, et les sites qui veulent suivre les utilisateurs ont de nouvelles options techniques auxquelles les utilisateurs ont du mal à répondre. Le « cookie » traditionnel est un cookie HTTP, inventé par Lou Montulli et John Giannandrea chez Netscape en 1994. Mais aujourd’hui, de nombreux navigateurs mettent en œuvre toute une série d’éléments ayant le même comportement de suivi que les cookies – des mécanismes qui sont beaucoup moins familiers, plus difficiles à remarquer et souvent plus difficiles à contrôler.

Un excellent aperçu du large éventail de technologies de cookies auquel nous sommes confrontés aujourd’hui est Cleaning Up After Cookies, un article publié par Katherine McKinley chez iSEC Partners. McKinley décrit cinq méthodes de suivi par cookies qui vont au-delà des cookies HTTP traditionnels, et explique comment les navigateurs ne permettent souvent pas aux utilisateurs d’exercer un contrôle significatif sur ces variétés de suivi.

La plus importante de ces méthodes de suivi est le « cookie Flash », un type de cookie géré par le plug-in Adobe Flash pour le compte d’applications Flash intégrées dans des pages web.1 Ces fichiers de cookies sont stockés hors du contrôle du navigateur. Les navigateurs Web ne permettent pas directement aux utilisateurs de visualiser ou de supprimer les cookies stockés par une application Flash, les utilisateurs ne sont pas avertis lorsque de tels cookies sont installés, et ces cookies n’expirent jamais. Les cookies Flash peuvent suivre les utilisateurs de la même manière que les cookies HTTP traditionnels, et ils peuvent être stockés ou récupérés chaque fois qu’un utilisateur accède à une page contenant une application Flash. Certains des problèmes sont soulignés par Rob Savoye, le développeur de Gnash, une implémentation open source de Flash.

Le mois dernier, un groupe de chercheurs de l’UC Berkeley, dirigé par Ashkan Soltani, a publié une étude intitulée « Flash Cookies and Privacy » (Cookies Flash et vie privée) sur cette technologie et la façon dont elle est utilisée aujourd’hui pour suivre les internautes. L’étude a révélé que les cookies Flash sont largement utilisés par les sites populaires, et que la plupart des utilisateurs ne savent probablement pas qu’ils existent ou comment les supprimer. Ils ont également découvert qu’au moins un site important les utilise d’une manière qui viole les règles du secteur de la publicité en matière de suivi.

Qui plus est, les chercheurs de Berkeley ont découvert que les cookies Flash sont souvent utilisés pour contourner délibérément les politiques de cookies HTTP des utilisateurs. En d’autres termes, un site peut intentionnellement stocker les mêmes informations de manière redondante sous forme de cookies HTTP et de cookies Flash. Lorsqu’un utilisateur supprime le cookie HTTP, le site peut le « respawn » à partir de la copie qui a été stockée sous forme de cookie Flash ! Il semble évident que les opérateurs de sites savent que de nombreux utilisateurs ne veulent pas être suivis par des cookies, mais ils ont trouvé un moyen de contourner les préférences de ces utilisateurs en matière de confidentialité.

Ces pratiques commerciales portant atteinte à la vie privée doivent être examinées de plus près. Nous avons besoin de plus de recherches pour révéler si les autres types de cookies décrits par McKinley sont également utilisés pour suivre les utilisateurs, comme Soltani et ses collaborateurs ont montré que les cookies Flash le sont. Il est tout à fait possible que les cookies Flash ne soient que la partie émergée de l’iceberg de la prochaine génération de suivi des utilisateurs.

En attendant, les développeurs de navigateurs devraient faire davantage pour permettre aux utilisateurs de comprendre et de contrôler la manière dont ils sont suivis – à l’aide de l’une ou l’autre de ces techniques. Malheureusement, Adobe a rendu la tâche extrêmement difficile en ce qui concerne les cookies Flash, puisqu’ils sont stockés hors du contrôle du navigateur, et comme le plug-in Flash officiel n’est pas open source, les utilisateurs ne peuvent pas facilement corriger ce problème eux-mêmes. Le plug-in BetterPrivacy de Firefox tente de résoudre ce problème en détectant les cookies Flash sur le disque dur et en les supprimant régulièrement, mais Adobe pourrait aider en veillant à ce que son système de cookies respecte les paramètres de confidentialité du navigateur2.

Il est clair qu’il y a beaucoup de travail à faire pour que ces cookies de nouvelle génération atteignent le même niveau de visibilité et de contrôle que les cookies HTTP ordinaires.