S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Après celui de Safari, Google contourne le Do Not Track d'Internet Explorer

Mais puisque les autres le font ?

La semaine dernière, nous vous indiquions que Google avait contourné les règles de protection de Safari pour autoriser « +1 » sur les publicités, même quand le tracking publicitaire était justement bloqué. Il se trouve que le navigateur d’Apple n’est en fait pas le seul concerné : Internet Explorer 9 a également vu ses protections percées par Google.

html5labs IE9

Une barrière encore plus simple à contourner que pour Safari

La technique de Google pour Safari était relativement simple. Quand le tracking publicitaire est bloqué, le navigateur n’accepte des cookies que des sites expressément visités par l’utilisateur. Pour contourner cette barrière, Google crée sur une page un élément iFrame équipé d’un formulaire invisible. Ce dernier est renvoyé à Google et Safari considère alors que c’est une action de l'utilisateur, ce qui autorise un cookie en retour. Le Wall Street Journal, qui avait révélé le problème, indique que Google a immédiatement réagi en supprimant ce comportement, et Apple travaille à colmater cette brèche dans sa cuirasse.

Dans le cas de Microsoft, c’est le directeur de la division Internet Explorer lui-même, Dean Hachamovitch, qui révèle comment Google a procédé. La technique est différente car IE9 s’appuie sur les paramètres P3P (Platform for Privacy Preferences Project) dans lesquels un site ou un annonceur déclare qu’il n’utilisera pas le cookie pour du tracking. Cette déclaration volontaire porte en elle sa propre faiblesse, qui permet à Google de la contourner.

Les cookies créés par Google annoncent en effet qu’ils ne vont pas servir à effectuer du tracking alors que c’est précisément ce qu’ils font. De fait, Microsoft a officiellement demandé à Google de cesser cette pratique tandis que la liste interne de protection d’IE9 est mise à jour. Mais pour Google, la situation est loin d’être aussi simple.

Pas de problème, tout le monde le fait

Dans une réponse fournie à Ars Technica, la firme de Mountain View expose sa ligne de défense : les déclarations P3P sont totalement dépassées. Le protocole a été créé en 2002 et n’est plus capable de prendre en charge toutes les améliorations faites sur les technologies du web. Pour Google, Microsoft est parfaitement au courant de la situation, et il est impossible de répondre dans ces conditions.

Il s’agit d’un carrefour intéressant : il existait donc des consensus recouverts d’une loi du silence. Depuis les révélations du Wall Street Journal, les techniques sont exposées au grand jour, comme une guerre de voisins où chacun accumule des informations pour le jour où les hostilités seront déclarées. Évidemment, dans le cas de Google et Microsoft, l’ensemble revêt un aspect stratégique, ce qui rappelle l’affrontement récent sur la politique de vie privée de Google.

Google va d’ailleurs plus loin. La firme évoque une étude menée par l’université de Carmegie Mellon en 2010. Elle révélait que sur les 33 000 sites analysés, environ un tiers d’entre eux contournaient sans vergogne la protection d’Internet Explorer. L’explication ? Toujours la même chose : des fonctionnalités comme le bouton « J’aime » de Facebook ne pourraient pas fonctionner sur une base aussi simple.

Et pour rendre définitivement la monnaie de sa pièce à Microsoft, Google souligne un passage bien particulier de l’étude : les propres sites de Redmond msn.com et live.com s’appuient eux aussi sur de fausses déclarations P3P pour leurs propres besoins.

Le problème est qu’une solution pratique n’est pas abordée. Le constat est que chacun crée ses propres formules dans son coin selon ses besoins et le tableau général n’est guère reluisant. On rappellera ici les demandes de l’EFF (Electronic Frontier Foundation) qui souhaitait que Google respecte enfin les choix de l’utilisateur en matière de blocage du tracking publicitaire. Car si Google estime que la protection d’Internet Explorer est dépassée, pourquoi faire semblant de la respecter ? 
Source : Microsoft
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 21/02/2012 à 11:43

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;