Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

L'EFF propose sa propre version de Do Not Track et finalise son Privacy Badger

Deux lames pour un même but
Internet 9 min
L'EFF propose sa propre version de Do Not Track et finalise son Privacy Badger
Crédits : AndreyPopov/iStock/Thinkstock

L’EFF fait actuellement la promotion de sa propre formule du Do Not Track. Aidée de plusieurs acteurs, comme AdBlock ou Medium, la fondation espère réussir là où le W3C a pour le moment échoué. Techniquement, les solutions sont pourtant assez proches, mais l’objectif est cette fois de fédérer pour plaire au plus grand nombre, notamment aux éditeurs.

La fonctionnalité Do Not Track a été présentée pour la première en janvier 2010 par Mozilla. Il s’agit d’un mécanisme automatisé permettant à l'internaute d'indiquer aux sites qu'il ne souhaite pas être suivi dans ses déplacements. Un comportement très courant, qui permet par exemple aux régies de placer du contenu lié à vos précédentes visites ou recherche dans les espaces publicitaires que vous rencontrez.

Pas étonnant donc que vous observiez sur un réseau social une promotion sur un voyage pour lequel vous vous êtes renseigné la veille, ou qu'une boutique vous poursuive sur plusieurs sites avec une promotion sur l'aspirateur que vous avez acheté il y a déjà trois semaines. Il existe même des champions en la matière, comme Facebook, Google et Twitter (voir notre article) ou encore le français Criteo.

L'échec d'un standard qui n'est jamais parvenu au consensus

Le problème de cette fonctionnalité est qu’en dépit d’un véritable engouement des éditeurs de navigateurs, le signal émis a été peu suivi. Le W3C s’est emparé de la question pour harmoniser les pratiques, mais tout le monde n'est pas enclin aux changements nécessaires, notamment du côté des publicitaires.

Microsoft avait d’ailleurs en partie accéléré la chute de ce standard en formation en décidant d’activer le DNT par défaut dans Internet Explorer 10, à l’arrivée de Windows 8. De quoi cristalliser les positions. C'était aussi un problème par rapport à l'esprit même de cette fonctionnalité. En effet, le standard impose qu'elle soit activée manuellement, suite à un choix volontaire de l’utilisateur. L’éditeur est donc revenu sur sa position depuis.

De fait, la technologie est pratiquement à l’abandon, de trop nombreux acteurs ayant claqué la porte des négociations. Des annonces ont suivi chez certains pour annoncer qu’ils ne prendraient plus en compte le signal. Le problème ne réside pas dans la technique – le standard est relativement simple à implémenter – mais dans ce qu’il implique, puisqu’on parle bien ici de pertes de revenus liés à l’extrême personnalisation des contenus publicitaires, source de financement pour de nombreux acteurs.

L'EFF reprend l'existant et en fait varier les modalités d'application

Contre toute attente, l’EFF a décidé d’y aller de son propre projet alternatif. Les fondations techniques sont exactement les mêmes et reprennent, pour la partie concernant les navigateurs, le travail déjà réalisé par le W3C sur la partie « Tracking Preference Expression ». L’idée est donc la même : le navigateur, une fois l’option cochée, envoie un signal au serveur pour lui indiquer que l’internaute ne veut pas être suivi, et que des publicités génériques doivent lui être présentées.

Mais comment s’assurer alors que tous les acteurs de cette chaine respectent cette demande ? Tout d'abord en revoyant partiellement la partie « Tracking Compliance and Scope » du standard. Un choix d'autant plus étonnant que celle-ci fait actuellement l'objet d'un dernier appel à commentaires, en cours jusqu'au 7 octobre.

Pour cela, l'EFF s'est focalisée sur deux aspects en particulier. D’une part, la poursuite d’un but réaliste : les annonceurs ne renonceront jamais entièrement au tracking, pour la simple et bonne raison qu’il est souvent nécessaire de personnaliser les contenus. Par contre, il est important de pouvoir certifier à l’utilisateur que lorsque le signal est accepté, il est bel et bien pris en compte.

Dans sa version, cela se fera par l’intermédiaire d’un fichier « dnt-policy.txt » que les éditeurs peuvent mettre en place, indiquant qu’un domaine en particulier respecte ce choix et les règles qu'il respecte. Des règles plus strictes que celles imposées actuellement par le standard du W3C, avec moins d'exceptions. Les éditeurs se refusent ainsi à préserver un identifiant unique, à ne pas garder les logs en contenant plus de 10 jours, à s'assurer que rien n'est transmis à des domaines tiers, à informer les utilisateurs lorsqu'ils sont concernés par une demande de la justice ou encore à réviser tous les 12 mois que ces règles sont bien respectées.

Une méthode qui concerne avant tout les domaines fournissant des publicités, widgets, images, scripts et autres hyperliens tiers. Tout ce qui fonctionne à base de HTTP ou accepte d’en lire les en-têtes est théoriquement compatible. Attention tout de même, il faudra veiller à ne pas exploiter d'intégration tierce qui va à l'encontre des règles, ce qui peut vite poser problème pour les sites embarquant des tweets ou des vidéos YouTube par exemple.

De même pour les sites qui n'utilisent pas de publicité ciblée, mais dont la régie exploite les données pour un ciblage des utilisateurs. L'EFF précise alors dans sa FAQ que l'éditeur doit s'arranger pour que le tracking soit rendu inopérant ou qu'il utilise des intégrations qui respectent elle-même sa DNT Policy. Pas toujours si simple.

Tout acteur désireux de mieux respecter les choix de l’utilisateur en matière de vie privée pourra déclarer précisément quels domaines et sous-domaines acceptent ou pas de prendre en compte ce réglage. L’essentiel est alors d’indiquer clairement à l’utilisateur si son choix est accepté ou refusé, ce qui était jusqu’à présent impossible (rien n’étant prévu pour transmettre cette information).

Quel intérêt ? Un service quelconque pourrait par exemple collecter des informations sur ce que vous faîtes, sans pour autant les utiliser pour personnaliser des contenus ou des espaces publicitaires, et sans que cela soit visible.

Un consensus dur, mais qui doit permettre une entente

La réflexion autour du DNT à l’EFF provient essentiellement d’un constat faisant consensus chez plusieurs acteurs réunis pour l’occasion, notamment Disconnect, DuckDuckGo, AdBlock (à ne pas confondre avec Adblock Plus), Medium et MixPanel. Casey Oppenheim, PDG de Disconnect, explique la situation :

« L’échec de l’industrie publicitaire et des groupes de défense de la vie privée à trouver un compromis sur le DNT a conduit à une explosion du blocage des publicités, d’énormes pertes pour les sociétés Internet qui dépendent de ces revenus, et des méthodes de plus en plus insidieuses pour traquer les utilisateurs et l’affichage des publicités en ligne. Notre espoir est que cette nouvelle approche du DNT protègera le droit de consommateur à la vie privée et incitera les annonceurs à respecter le choix des utilisateurs, ouvrant la voie à une cohabitation de la vie privée et de la publicité. »

Une déclaration qui semble tout de même oublier que la problématique des bloqueurs de publicité ne provient pas que de la question du ciblage, mais surtout des abus importants et répétés des éditeurs et de leurs régies en terme de volume, d'envahissement et de pratiques détestables (comme la lecture automatique de vidéos qui débarquent de nulle part).

Mais l'émergence d'un consensus pourrait être à l'avantage d'un nombre beaucoup plus important d’acteurs : les internautes verraient leur vie privée mieux protégée, et les annonceurs auraient moins de publicités bloquées (d’où la participation d’Adblock).

De quoi poser problème à ceux qui veulent vendre des espaces par millions de pages vues selon des critères de ciblage ultra-précis, mais qui va dans le sens de pratiques bien plus raisonnables, visant un juste milieu de toutes parts. Reste à convaincre l'ensemble de la chaîne. Dans sa FAQ, l’EFF indique d’ailleurs clairement que la méthode proposée n’est pas compatible avec les entreprises qui veulent dans tous les cas continuer à utiliser un tracking permanent.

Difficile pour l’instant de savoir si une telle initiative peut fonctionner et si d'autres sites pourront facilement sauter le pas, et décider de jouer le jeu. À voir la capacité de certains à imposer cookies et autres fingerprints par dizaines, et ce malgré les règles en la matière (voir notre article), on peut aisément penser que la route sera encore longue. On peut aussi se demander ce qu'il adviendra si un site indique respecter le choix de l'utilisateur mais ne le fait pas.

La fondation est en tout cas clairement décidée à fédérer le plus d’acteurs possibles en proposant une solution où chacun peut y trouver son compte, ou presque. Un consensus qui pourrait fonctionner et court-circuiter la recherche perpétuelle de nouveaux moyens toujours plus intrusifs pour collecter des données et afficher coûte que coûte de la publicité. D'autres pourraient suivre, comme Mozilla dont on s'étonne d'ailleurs qu'il ne soit pas déjà de la partie. On regrettera également que cette bataille de l'EFF se fasse hors du standard du W3C, ce qui risque de mener à des confusions. D'autant plus que le dernier appel à commentaires du TCS n'est pas encore terminé.

Tracking : l'extension Privacy Badger arrive dans une version finale renforcée

Dans un autre registre, la fondation vient de publier la version 1.0 de son extension Privacy Badger. Dédiée à Chrome et Firefox, elle est destinée à repérer l’ensemble des trackers sur un site web et à bloquer de manière automatique ou manuelle tous ceux que l’extension estime trop intrusive pour la vie privée de l’utilisateur.

Cette version 1.0 est l’aboutissement d’une longue phase de développement. Les moutures alpha et bêta avaient, selon la fondation, été testées par plus de 250 000 utilisateurs. La finalisation amène avec elle des améliorations notamment sur la capacité à détecter les fingerprints, mais aussi les super-cookies (voir cet exemple). Ces derniers sont pour rappel des versions survitaminées des cookies classiques, qui sont plus difficiles à supprimer, permanents et peuvent contenir des informations beaucoup plus nombreuses, notamment tout ou partie de votre historique web. 

Privacy Badger est en outre traduit dans plusieurs nouvelles langues, dont le français. Une traduction qui reste encore assez approximative parfois. Il en est de même pour l'extension elle-même qui détecte parfois des éléments qui ne sont pas forcément des sources de tracking. Si ses options et sa façon de bloquer ou non un domaine de manière plus ou moins complète sont appréciables, les adeptes d'outils du même genre comme Ghostery pourraient décider d'attendre encore un peu avant de changer de crèmerie.

Mais ici, la fondation expose une nouvelle fois sa vision de ce que devrait être le web et le respect de la vie privée. Elle indique ne pas être contre les entreprises qui cherchent à bâtir un réseau publicitaire, mais ces contenus ne peuvent pas se faire au détriment de l’internaute et via une « approche sans aucun consensus ». Et d’enfoncer le clou : « Jusqu’à ce que l’industrie du pistage en ligne change ses méthodes, la seule option pour les utilisateurs est de se protéger eux-mêmes en installant des outils tels que Privacy Badger ».

Et puisque l’EFF parle de consensus, Privacy Badger est justement conçue pour « travailler en tandem » avec sa nouvelle version du DNT. En clair, si l’extension détecte que les domaines contactés prennent en charge le signal correctement et définissent clairement ce qui va être fait, elle les débloque. Seront concernés évidemment les collectes de données anonymes et les publicités non-ciblées. Pour les autres, la situation sera toute aussi claire : ils seront bloqués.

36 commentaires
Avatar de Nerkazoid INpactien
Avatar de NerkazoidNerkazoid- 07/08/15 à 15:52:52

Signaler ce commentaire aux modérateurs :

Rien qu'en lisant le sous-titre, j'étais sûr que l'auteur en serait Vincent qui ne jure que par les doubles lames

Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

Signaler ce commentaire aux modérateurs :

privacy badger et no-script sont intéressants ne serait-ce que par le fait de faire prendre conscience du nombre de noms de domaines auxquels on se trouve connecté en consultant une seule page web.

Avatar de marba Abonné
Avatar de marbamarba- 07/08/15 à 16:30:10

Signaler ce commentaire aux modérateurs :

 Bof, Do Not Track part d'un bon sentiment mais n'est absolument pas applicable dans les faits. Si l'on s'attend à ce que les sites web (surtout commerciaux) respectent d'eux même la vie privée des internautes…
 

 Privacy Badger, uBlock, noscript, self destructing cookie et les autres extensions côté client sont une approche beaucoup plus réaliste.
 
 Une autre solution serait de restreindre (sous forme de norme W3C par exemple) certains fonctionnement.
Interdire (aux navigateurs) les scripts/requête d'une page vers d'autres sites, faire un peu comme uBlock/noscript mais pour tous le monde et par défaut. C'est sur ça peut être vu comme une régression, on pourra plus inclure de scripts FB/twitter et autres merdes du genre dans un site web, mais quand on regarde ce que permette de faire les sites web à cause de la permissivité des normes du web, ce serait une solution (radicale certes) pour que l'internaute moyen retrouve un minimum de sécurité sur internet.
 
 Mais quand on voit que les cookies tiers sont toujours autorisés par défauts sur Firefox, probablement pour rester compatible avec des sites qui chient sur leurs utilisateurs, il reste du chemin à faire…

Édité par marba le 07/08/2015 à 16:31
Avatar de anonyme_47da8d4ad4eb955aa025af080b0387df INpactien

Signaler ce commentaire aux modérateurs :

Perso je ne vis pas dans la même salle de bain pour tout savoir du rasage préféré, mais j'apprécie la news et maintenant j'ai un gros blaireau installé dans mon FF. D'autant que je me suis rendu compte hier que sous Win10 les cookies tiers sont OK par défaut, y a même pas la base du privacy...

Avatar de David_L Équipe
Avatar de David_LDavid_L- 07/08/15 à 16:38:07

Signaler ce commentaire aux modérateurs :

Tout bloquer sans aucune distinction n'est pas une solution non plus, d'où l'intérêt d'approches plus subtiles à travers DNT, la CNIL, etc. M'enfin il est trop tard pour les comportements raisonnés, et ce des deux côtés, ça ne changera plus qu'à long terme maintenant.

Édité par David_L le 07/08/2015 à 16:38
Avatar de anonyme_47da8d4ad4eb955aa025af080b0387df INpactien

Signaler ce commentaire aux modérateurs :

Y a Lightbeam ausi qui est sympa pour avoir une représentation visuelle de la galaxie de sites qu'on viste juste avec un clic.https://www.mozilla.org/en-US/lightbeam/

Avatar de marba Abonné
Avatar de marbamarba- 07/08/15 à 16:48:59

Signaler ce commentaire aux modérateurs :

Pourquoi pas ? Les seuls cas de figure où une page web nécessitent de manière obligatoire des appels à des ressources extérieurs sont les cas de tracking. Pour les utilisations de ressources externe, par exemple intégrer une carte OSM, il serait possible technologiquement que ce soit géré côté serveur, plus lourd certes, mais possible.
 

Alors oui il faudra intégrer les scripts de police, jquery à ses propres serveurs, du coup plus possible d'alléger son serveur en faisant aller taper des ressources externes au client, et ? C'est un moindre mal je pense.
 

D'ailleurs David, j'avais demandé pourquoi vous intégriez à NXi des ressources de msecdn et visualstudio (coucou MS) ? Je peux comprendre que vous aillez vos propres besoin de tracking et de déporter la charge de vos serveurs mais alors pourquoi faire une option «désactiver tous les trackers» pour les abonnés ?

Avatar de picoteras Abonné
Avatar de picoteraspicoteras- 07/08/15 à 17:01:23

Signaler ce commentaire aux modérateurs :

Depuis que Privacy Badger est passé à sa version "finale" sans rien me demander ( , je sais bien que c'est un réglage dans FF ), j'ai ce bug (Win 10, Firefox 39.0.3 et une crâlée d'add-ons).

Je m'étais habitué à la version bêta (à checker chaque fois que des images n'apparaissaient pas dans un site) mais là c'est carrément inutilisable (et ça doit bien continuer à bloquer certaines images).

Édité par picoteras le 07/08/2015 à 17:03
Avatar de marba Abonné
Avatar de marbamarba- 07/08/15 à 17:07:06

Signaler ce commentaire aux modérateurs :

Je viens de voir que vous veniez tout juste de supprimer le script visualstudio surement présent dans vos pages par erreur. Quelle réactivité
 

J'en profite aussi, sur la page de gestion du compte NXi, pour un abonné avec l'option «désactiver tous les trackers», le script  google analytics est toujours présent…
 

Merci à l'équipe de faire autant d'efforts pour respecter les internautes (ou au moins ses abonnés) même si je comprends bien que le tracking, même minimum est une nécessité pour beaucoup de sites.

Édité par marba le 07/08/2015 à 17:08
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 07/08/15 à 17:20:02

Signaler ce commentaire aux modérateurs :

Dans sa version, cela se fera par l’intermédiaire d’un fichier « dnt-policy.txt » que les éditeurs peuvent mettre en place, indiquant qu’un domaine en particulier respecte ce choix et les règles qu'il respecte.

Plus simple: je propose que les editeurs qui sont gentils ajoutent un header "GoodGuy" à leurs contenus, et ceux qui sont méchants ajoutent un header "BadGuy".

Après tout, c'est juste une histoire de confiance.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4