De plus en plus, les internautes sont pistés par les sites et leurs partenaires via des fonctionnalités natives du navigateur. Pour s'en prémunir, certains éléments peuvent être bloqués, de manière globale ou site par site. Voici un petit guide de survie.
Lorsque l'on parle de pistage des internautes en ligne, certains moyens sont mis en avant pour se préserver, la plupart se reposant sur des extensions tierces. Mais les navigateurs modernes disposent tous plus ou moins de solutions afin de limiter ce genre de pratique ou même les interdire.
Voici un petit guide pratique qui fait le tour des principales options. Notez que si certains navigateurs ne sont pas évoqués, ils proposent en général des méthodes assez proches de celles qui sont détaillées ici.
Notre dossier sur le pistage des internautes en ligne :
- Kimetrak : quels sites multiplient les outils de pistage ?
- Cookies (tiers), traceurs, fingerprint et compagnie : comment ça marche ?
- Tracking : comment désactiver les cookies (tiers), le stockage local ou JavaScript
- Développez une première extension pour détecter les services qui vous traquent en ligne
Première étape : bloquer les cookies tiers
Comme nous l'avons évoqué dans un article précédent, l'élément dont il est le plus simple de se passer sont les cookies tiers. En effet, ces derniers ne sont que très rarement utilisés à des fins légitimes et il est assez rare qu'un site ne fonctionne pas parce qu'ils sont entièrement désactivés.
C'est donc presque la première chose à faire lorsque vous configurez un navigateur. En cas de souci, il est de toute façon possible, dans la plupart des cas, de gérer des exceptions domaine par domaine pour s'assurer d'un retour à la normale.
Vous pouvez également bloquer entièrement les cookies, mais cela posera souvent des problèmes pratiques, notamment parce qu'ils permettent de gérer de nombreux dispositifs techniques comme la connexion à un site, vos préférences, etc. Si c'est ce que vous souhaitez faire, optez plutôt pour une approche au cas par cas.
- Google Chrome
Dans Chrome, rendez-vous dans la section Confidentialité et sécurité des paramètres (chrome://settings/privacy). Ici, une option Paramètre du contenu est accessible. Elle contient un élément relatif aux cookies. Vous pouvez directement atteindre cette page via l'URL chrome://settings/content/cookies.
Plusieurs choix s'offrent alors à vous : désactiver entièrement l'accès aux cookies, ne les préserver que pour la durée de la session (ils s'effaceront alors dès que le navigateur sera fermé) ou ne bloquer que les cookies tiers. Pour chaque choix vous pouvez également opter pour une liste d'exceptions site par site :
Un outil permet de voir la liste de l'ensemble des cookies afin de les analyser ou de les supprimer. Cette zone est également accessible d'un clic à gauche de l'URL d'un site dans la barre d'adresse. Une bulle apparaîtra alors, détaillant le nombre de cookies en cours d'utilisation.
Cette information prend la forme d'un lien cliquable qui vous donnera accès à une liste permettant de voir, et bloquer ou supprimer des éléments comme bon vous semble.
- Microsoft Edge
Sous Edge, c'est un peu plus limité et tout aussi alambiqué. Il faut en effet se rendre dans les Paramètres du navigateur puis dans la section Paramètres avancés. Tout en bas, un élément relatif aux cookies est proposé avec trois possibilités : tout bloquer, tout autoriser ou ne bloquer que les cookies tiers.
Aucun réglage site par site n'est proposé, pas plus qu'un outil pour visionner ou gérer les cookies disponibles. Seule solution : opter pour les outils de développement (F12), qui proposent ce qu'il faut dans sa section Débogueur. Une alternative que l'on retrouve dans tous les autres navigateurs.
- Mozilla Firefox
Sur Firefox, alors que l'on pourrait s'attendre à une solution simple et complète, ce n'est pas vraiment le cas. Il faut en effet se rendre dans la section Vie privée et sécurité des Options (about:preferences#privacy) où presque aucun paramètre concernant la gestion des cookies n'est affiché. Par défaut, on peut en effet seulement Supprimer des cookies spécifiques.
Pour les options de rétention, il faut tout d'abord placer le paramètre Règles de conservation sur Utiliser les paramètres personnalisés pour l'historique. On pourra alors accepter ou non les cookies de manière générale ou seulement les cookies tiers. Un outil affichant les cookies et un autre permettant de gérer les exceptions sont proposés.
Notez deux points intéressants. Tout d'abord il est possible de choisir de ne pas retenir les cookies une fois la session terminée. Mais surtout, une option spécifique aux cookies tiers est disponible : Depuis les sites visités. Elle consiste à autoriser les cookies tiers du moment où c'est un site sur lequel vous vous êtes déjà rendu qui tente de les déposer. Une manière de résoudre les problèmes qui peuvent éventuellement découler d'une désactivation complète.
Pour voir les cookies d'un site en particulier depuis une page de navigation, le plus simple est d'effectuer un clic droit puis de sélectionner Informations sur la page. Dans l'onglet Sécurité, un bouton Voir les cookies sera disponible. Vous pouvez également opter pour l'inspecteur de stockage (MAJ+F9).
Notez enfin que Firefox propose d'autres options concernant la vie privée comme la protection contre le pistage, l'isolation first-party ou les contextes. Nous avons décrit ces différentes méthodes dans un précédent article.
- Opera et Vivaldi
Les deux navigateurs proposent un fonctionnement identique pour la gestion des cookies. Dans les paramètres, une section relative à la vie privée contient une zone dédiée. Vous pourrez y bloquer ou accepter l'ensemble des cookies ou seulement les cookies tiers. Un outil vous permet de les visualiser directement.
Opera propose également une gestion des exceptions, ce qui n'est pas encore le cas de Vivaldi.
- Safari
Le navigateur d'Apple vous permet dans ses paramètres de bloquer ou non tous les cookies, avec la possibilité de les visualiser directement via un outil. Dans ses dernières versions, il n'est plus question de cookies tiers et pour cause : la société a mis en place un dispositif permettant d'Empêcher le suivi sur plusieurs domaines.
Cette Intelligent Tracking Protection (ITP) est active par défaut, et limite fortement la durée de vie des cookies tiers déposés par des sites que vous n'avez jamais visité. Nous avions détaillé son fonctionnement dans un précédent article.
Limiter le stockage Local, c'est compliqué
Comme nous l'avons évoqué dans notre précédent article, les développeurs utilisent de plus en plus le stockage local en remplacement des cookies pour conserver des informations au sein du navigateur. Ici, limiter l'accès n'est pas toujours possible. Dans Chrome, Opera ou Vivaldi il faut bloquer tous les cookies, le stockage local sera alors désactivé.
Sous Firefox, une solution est proposée avec le paramètre dom.storage.enabled que vous pouvez passer à false dans la section about:config (à taper dans la barre d'URL). Vous pourrez vérifier par ici que la fonctionnalité est bien désactivée. Vous pouvez faire de même avec dom.indexedDB.enabled et dom.caches.enabled.
Vous pouvez également gérer le stockage persistant et le cache site par site, d'un clic droit puis en vous rendant au sein des Informations sur la page dans l'onglet Permissions.
De manière plus générale, on aimerait que l'utilisateur puisse avoir un peu plus la main sur de tels paramètres dans le panneau d'options de chaque navigateur. Espérons que les développeurs se pencheront un jour ou l'autre sur le sujet.
Désactiver JavaScript : il faut parfois ruser
Comme l'a montré la faille Spectre, JavaScript peut avoir des effets importants sur l'utilisateur bien que ce langage paraisse anodin à première vue. Ses possibilités sont nombreuses et il est souvent exploité dans les différentes méthodes de pistage des internautes, entre autres pratiques détestables.
Une possibilité est donc de le désactiver entièrement. Mais, comme pour les cookies, cela posera parfois problème. Certains sites l'utilisent de manière légitime, pour assurer le fonctionnement de leurs commentaires, l'interaction avec la page, de petits effets graphiques, etc.
Une solution intéressante pourrait être d'interdire certaines actions aux sites, tant que l'utilisateur n'a pas donné son accord. Cela pourrait par exemple être le cas pour la lecture de données concernant le navigateur. Malheureusement, ce n'est pas encore le cas.
Ce serait de toute façon une solution limitée par le fait que les services publicitaires rivalisent d'ingéniosité pour pister l'internaute malgré les obligations légales. Ainsi, certains utilisent la fonction Canvas d'HTML5 qui est pensée pour permettre la création d'images dans le navigateur. Firefox va ainsi ne l'activer que sur accord explicite de l'utilisateur dans de prochaines versions. On a aussi vu récemment comment des informations anodines sur les frappes du clavier ou l'utilisation de formulaires cachés pouvaient être utilisées à des fins assez peu légitimes.
Bref, ce serait jouer constamment à un jeu du chat et de la souris. Le renforcement de la loi et sa stricte application avec des organismes chargés des contrôles comme la CNIL semble donc être la bonne solution sur le long terme. C'est notamment ce que devraient introduire le RGPD et ePrivacy en mai prochain.
En attendant, vous pouvez décider de limiter l'utilisation de JavaScript, au moins sur certains sites. Une pratique qui s'avèrera parfois assez utile. Que ce soit dans Chrome ou Opera, une option est présente au sein des paramètres vous permettant de désactiver globalement JavaScript, ou de définir des exceptions.
Dans Vivaldi, il est seulement proposé de le faire site par site, d'un clic à gauche de la barre d'URL (voir ci-dessus). Safari, propose seulement un paramètre global, tout comme Firefox. Dans ce dernier cas, il faudra néanmoins se rendre dans la section about:config (à taper dans la barre d'adresse) et mettre le paramètre javascript.enabled sur false. Notez que vous pouvez également utiliser l'extension NoScript qui a l'avantage de permettre une gestion site par site.
Et sur mobile alors ?
Reste la question des appareils mobiles. Ici, la plupart des fonctionnalités proposées nativement sur ordinateur le sont aussi dans la version pour smartphone ou tablette. Mais dès qu'il faut passer par une extension ou un paramètre caché, c'est en général plus compliqué ou impossible.
On ne peut qu'espérer que cela va se renforcer avec le temps, l'évolution des navigateurs mobiles et la prise de conscience autour des questions de vie privée. Mais en attendant, l'utilisateur devra le plus souvent opter pour des bloqueurs en tous genres pour se protéger.
Une solution qui n'est bonne pour personne, et très certainement pas un bienfait pour les différents acteurs du web sur le long terme. Un constat qui devrait inciter chacun à changer sa politique en la matière, et à penser le respect de l'internaute comme un préalable plutôt que comme une contrainte.
N'hésitez pas à partager vos propres astuces et conseils au sein des commentaires, nous mettrons cet article à jour si nécessaire, notamment en rajoutant des solutions sur d'autres éléments à bloquer de manière plus ou moins directe.
