Tracking Google et Internet Explorer 9 : une guerre de communication ?

Dont personne ne ressort grandi 30
Nous revenons sur une actualité publiée ce matin au sujet du contournement de la protection d’Internet Explorer 9 contre le suivi publicitaire, la fameuse fonction « Do Not Track ». Nous allons détailler certains points suite à plusieurs de vos réactions. En outre, nous avons reçu de Google une copie de la réponse envoyée à Ars Technica, qui n’en avait publié que certains passages.

ie9 tracking

Faux jeton !

Premièrement, le protocole P3P est une recommandation du W3C et non une technologie particulière de Microsoft. Internet Explorer 9 affiche le comportement suivant : tous les cookies provenant de sites tiers sont bloqués à moins qu’une déclaration P3P soit fournie. Dans cette déclaration, le site tiers doit non seulement indiquer pourquoi il souhaite enregistrer un cookie sur l’ordinateur de l’utilisateur, mais s’engager également à ne pas s’en servir pour des besoins de tracking, ce qui inclut le suivi publicitaire.

La transmission d’une déclaration P3P fait l’objet d’un envoi de jeton par le site, directement au navigateur. Le jeton contient une série d’informations codées exposant les intentions du site quant à son cookie. Il indique par exemple si le cookie enregistra des informations qui modifient l’expérience utilisateur, ce qui est pratiquement toujours le cas quand un système de compte existe.

La recommandation P3P dispose d’une porte de sortie dans le cas où un jeton reçu contient des informations qui échappent au protocole dans son état actuel. Il s’agit en quelque sorte d’une feuille blanche laissée au futur dans le cas où le protocole évoluerait, créant de nouvelles possibilités. Sauf que dans ce cas, le W3C indique que le navigateur ne doit plus tenir compte de ces informations non comprises. Et c’est précisément ce que Microsoft reproche à Google de faire.

Google envoie un jeton contenant des informations qui ne renseignent pas le navigateur sur les véritables intentions du cookie. Google envoie en fait un jeton déclarant que sa politique P3P... n’en est pas une. Mountain View envoie en effet le texte suivant :
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Le lien intégré renvoie vers une page indiquant que Google propose parfois des fonctionnalités qui ne peuvent plus tenir compte du P3P. Ce que nous avions déjà indiqué ce matin.

Le fait est que cette déclaration n’est pas comprise par Internet Explorer et est donc traitée de la manière prévue, en ouvrant la porte de derrière. Google peut donc enregistrer un cookie sur le disque dur sans être particulièrement inquiété.

La réponse de Google

Google avait donc répondu à Ars Technica que la recommandation P3P était beaucoup trop ancienne pour prendre en charge les usages modernes d’Internet. Ainsi, une technologie de 2002 n’était pas taillée pour prendre en charge les +1, les « J’aime » et autres fonctions du même acabit.

Google singe le comportement d’Internet Explorer de la manière suivante quand un site est visité : « Dites-nous quelle sorte de fonctionnalités votre cookie fournit, et nous déciderons si nous les autorisons ». La firme indique que ce fonctionnement « n’avait pas un grand impact en 2002 quand P3P a été introduit » mais que cela ne peut plus fonctionner avec ce qui est fait sur le web. En clair : « Il est bien connu qu’il est irréalisable de se conformer à la requête de Microsoft tout en maintenant ce type de fonctionnalité ».

Et Google d’enfoncer le clou en extirpant une vieille actualité du New York Times dans laquelle les faiblesses de la protection du navigateur étaient déjà pointées du doigt. Google remet d’ailleurs en avant le fait que d’autres navigateurs tels que Chrome (tiens ?), Firefox et Safari disposent de techniques beaucoup plus évoluées pour bloquer le tracking. Un discours quelque peu étrange puisque l’on sait depuis la semaine dernière que Safari a vu ses propres protections contournées par Google.

Google pointe quand même du doigt que l’implémentation du P3P dans Internet Explorer comporte une erreur qui n’a jamais été corrigée, plusieurs sources en parlant depuis des années. Ce qui crée une interrogation, cette fois dirigée vers Microsoft.

En effet, le P3P n’est pas la seule protection présente dans Internet Explorer 9. Microsoft a équipé son navigateur d’une liste mise régulièrement à jour pour bloquer le tracking de manière beaucoup plus efficace. Si l’éditeur est au courant que son implémentation a un problème, que de très nombreux sites ont laissé tomber le P3P depuis longtemps et que ses propres sites msn.com et live.com contournent le P3P de la même manière, pourquoi choisir de le placarder officiellement ?

Bien que le timing semble être la réponse (quelques jours après la polémique Safari), nous avons demandé une réponse de Microsoft à ce sujet. 
Publiée le 21/02/2012 à 16:35
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité