Dire que FLoC – Federated Learning of Cohorts – n’a pas plu est un euphémisme. La proposition de Google pour contenir la publicité ciblée dans un certain périmètre a été rapidement un échec.
De nombreux éditeurs ont été vent debout, dont des navigateurs comme Brave et Vivaldi et d’importants acteurs comme GitHub et Wordpress. Même Amazon avait dit non.
Google avait alors annoncé un délai pour retravailler sa copie. On sait désormais que FLoC n’ira pas plus loin. La société a un nouveau projet pour le remplacer, nommé Topics.
Le fonctionnement apparaît plus simple que FLoC. Dans un premier temps, le navigateur collecte les centres d’intérêt pour la semaine. Il stocke localement les informations sur les trois dernières semaines. Elles ne sont communiquées à aucun serveur et sont supprimées au bout de cette période.
Quand la personne visite un site, ce dernier peut piocher dans la réserve locale. Un seul intérêt par semaine, pour un maximum de trois donc. Via Topics, un site n’irait donc pas plus loin.
Google précise dans son annonce que Chrome intégrera des contrôles pour Topics, permettant notamment de supprimer un ou plusieurs sujets d’intérêt, voire de désactiver complètement le mécanisme. La firme ajoute que certains sujets sont d’office écartés, comme le genre ou la couleur de peau.
Pour l’instant, Google limite le nombre de sujets à 300, qui pourra évoluer ensuite. Si Topics ne parvient pas à déterminer facilement le sujet par le contenu et les métadonnées, un algorithme « léger » tentera de le trouver en analysant le nom de domaine.
Dans la vision de Google, Topics aurait tout intérêt à remplacer les solutions existantes et à uniformiser l’approche de la publicité ciblée.
Mais même si cette nouvelle API, dont l’essai doit débuter à la fin du trimestre, réussissait à plaire, elle ne serait qu’une possibilité parmi d’autres. Rien n’empêche certains sites d’ajouter Topics à la horde de mécanismes déjà en place.
Commentaires (22)
#1
Sans Floc(k), qui va faire les dessins chaque semaine ?
#2
Qui est d’accord pour que le navigateur fasse du profilage sur vos habitudes de navigation et envoie votre profil à des tiers pour faire du ciblage publicitaire ?
levez-la main… Ah ? Personne ?
Etonnant.
#3
Si on paramètre le navigateur pour effacer les traces a la fin de la navigation (Comme firefox), il se passe quoi ?
#3.1
On fait déjà partie des « paranos » qui ont déjà des bloqueurs de pub, des add-ons de protection de la vie privée dans tous les sens, etc. et donc on ne fait pas partie de la masse qui est ciblée par Google ?
#4
Et bien Google & cie feront comme d’habitude, ils lieront ton nouveau «profil» aux anciens avec ta fingerprint.
Ça sert à rien d’effacer ses données de navigation contre Google…
#4.1
C’est basé sur l’ip ce truc?
Car j’efface aussi on historique. Hormis l’IP et 2-3 infos de l’user agent je ne vois pas comment GG peut me reconstituer un profil, même s’il doit y avoir moyen .
Mais je dois pas être le seul firefox 64bits win10 ^^
#5
C’est plutot pas mal, un système léger qui évite que les sociétés publicitaires comme Google aient besoin de toujours plus d’informations, ton profil étant géré localement.
Si on considère qu’il faut garder la publicité ciblée alors ce genre de méthode est un plus, mais est-ce qu’on a besoin de garder la publicité ciblée …
#6
Encore un truc que Vivaldi va surement dégager de son intégration Chromium j’imagine. Ils n’ont pas encore communiqué dessus, seulement partagé la même info en demandant l’avis à la communauté.
#7
La publicité ciblée sans tracking, c’est assez simple hein. On savait le faire avant Google. Tu vas sur un site de bagnoles, boum, une pub pour une bagnole. Tu vas sur le site de running, une pub pour des Nike. Ah oui, ça vend moins (et encore, on ne l’a jamais réellement démontré). Mais ça rétablirait dans le même temps la concurrence entre les régies publicitaires (qui était un vrai métier avant)
#8
Ton profil n’est pas géré localement. il est créé/calculé en local, puis envoyé au serveur.
Ce n’est ni plus ni moins que de la télémétrie: collecte en local, compilation des données en local et envoie du résultat compilé à un serveur.
#9
Pour l’instant je suis ouvert et j’attendrai d’en savoir plus, bien que dans mon cas, n’étant pas un utilisateur de Google Chrome pour commencer, ça ne m’intéresse pas de voir des publicités sur Internet, même “pertinentes” qui je pense est un terme abstrait.
#10
Des fichiers en local pour stocker des informations dans le navigateur … est-ce que Google propose d’inventer des cookies strictement publicitaires ?
#11
Combien de personnes y ont cru?
Aussi, la news ne parle QUE des données locales, rien ne les empêchent de stocker et garder les topics utilisés pour récupérer la pub en les liant à un uuid ou whatever leurs permettant de “te” différencier des “autres”…
Je précise que j’ai lu juste la news ici, hein, pas la volonté de creuser le sujet plus que ça pour un navigateur que je n’utilise pas…
#12
J’peux me tromper, mais je pense en effet qu’ils vont toujours pas kiffer cette nouvelle gougueulerie…
#13
Non ce truc (floc) n’est pas basé sur l’ip ou autre. C’est complètement déclaratif. Sauf que c’est aussi à la bonne volonté de Google de se fonder que sur ça, et ça ne fait qu’enrichir les profils qu’ils construisent sur les internautes avec de nouvelles données : des données volontairement données. C’est un complet piège.
Sinon même si ils prennent en compte nos choix d’intérêts, ils ne sont pas tenus de s’y tenir. Et l’user-agent/ip c’est le minimum de la fingerprint, en réalité, à moins de changer de PC à chaque “profil” différent, c’est impossible d’échapper à leur reconnaissance de fingerprint.
Voir :
https://amiunique.org/
https://coveryourtracks.eff.org/
En gros, avec le nombre de technologies qui sont utilisées par un navigateur, même en changeant d’ip et d’user agent, tu es identifié immédiatement.
D’ailleurs les algorithmes de google sont tellement puissant, que si jamais tu change de ville et de pc (donc à priori rien ne permet de t’identifier), ils peuvent t’identifier avec tes recherches (horaires, types de recherche, façon de taper, comportement, etc.). Bref Google nous connait mieux que nous même, et quasiment impossible de leur échapper.
#14
Euh le fingerprint c’est pas simplement l’ip et l’user-agent mais la combinaison de tout ce que peut récupérer le site depuis ton navigateur (résolution écran, taille effective excluant les décorations de fenêtres, micros ou cartes graphiques installés, extensions, police…)
https://www.amiunique.org/fp
canvas, opengl ou audio sont impressionnant quand même, ça utilise les fonctions de dessins de ton navigateur pour comparer le rendu au pixel près entre deux machines.
Bref moi je suis unique sur 3 critères, et à moins de 1% sur 16 ! (Bon attention le site dramatise peut-être un peu les chiffres pour vendre son extension, mais les critères analysés sont bien existants !)
#15
Je vais encore le répéter, mais les sites comme amiunique et coveryourtracks (anciennement Panopticlick) ne peuvent pas tester l’empreinte numérique de manière fiable parce qu’ils déterminent son caractère unique en se basant sur leurs propre base d’utilisateurs, ce qui ne tient pas compte de la majorité des utilisateurs réels, fournissant ainsi des statistiques inexactes et n’est pas un moyen viable pour savoir comment ton appareil s’en sort, il faudrait par exemple, que 99% des internautes dans le monde utilisent régulièrement des services comme coveryourtracks , ce qui n’est pas le cas.
PS : Aminique te donnera une empreinte numérique unique dans 100% des situations, même en utilisant Tor.
Il n’existe aucuns moyens réels de connaître si ton empreinte numérique est vraiment unique ou randomisé, tout ce que l’on peut, c’est savoir quelles sont les mesures d’atténuations que ton navigateur utilise, exemple : https://abrahamjuliot.github.io/creepjs/
Actuellement, Tor est toujours le seul à avoir un semblant de protection réel contre le tracking.
Tu peux par contre fortement réduire l’utilisation de leurs service, c’est ce que je fais, j’ai un compte Google mais il y a des produits dont je n’utilise pas et j’ai désactivé tout enregistrement de mes activités, partage etc, sauf pour un truc.
#16
Oui tout à fait, mais c’est à titre d’exemple.
Ben justement, c’est la preuve que ça fonctionne très bien, à moins que tu comptes sur le fait improbable où ton empreinte numérique croise celle d’un autre internaute. Si ils parviennent à identifier uniquement deux sessions sur des matériels différents de Tor, c’est bien que tu es grillé…
Oui ce sont des bons conseils. Mais même Tor n’offre pas une protection absolue, à moins de désactiver complètement le JS (pas sur que ça soit suffisant).
#17
La question, pourquoi les donner si leurs fiabilité est fortement douteuse.
Non, il a les même problèmes que j’ai décris plus haut.
Oui, la protection contre la prise d’empreinte numérique sur Tor est faible d’après ce que j’ai lu, à moins que ça s’est amélioré entre temps.
D’après mes recherches, je ne dis pas que c’est la vérité à 100%, je me base sur ce que j’ai pu trouvé et sur les analyses détaillés que j’ai lu, la protection sur Brave semble plutôt bonne, ici, il est expliqué comment ils font. https://github.com/brave/brave-browser/wiki/Fingerprinting-Protections#why-does-panopticlickefforg-or-some-other-site-say-that-i-am-fingerprintable
Un autre test, qui apparemment semble aussi correcte, est la détection qu’utilise Bromite, ce genre de test ne te compare pas avec d’autres utilisateurs, il identifie simplement quelles sont les techniques courantes que ton navigateur utilise, en fermant et en ouvrant une nouvelle session (avec suppression des cookies) si ton empreinte numérique unique combinée à ton identicon reste toujours le même, alors ça signifie que ton navigateur n’utilise aucunes mesures d’atténuations, ou qu’elles sont très faibles donc en gros inefficaces.
Bromite est un fork de Chromium axé sur la sécurité et la protection de la vie privée, le projet collabore avec Vanadium, le navigateur par défaut de GrapheneOS.
D’autres sources :
https://brave.com/privacy-updates/3-fingerprint-randomization/
https://matt.traudt.xyz/posts/2016-09-04-how-css-alone-can-help-track-you/
Pour ma part, je suis toujours un utilisateur de Firefox sur desktop, j’ai utilisé Brave durant un temps, je pense que c’est un bon navigateur avec de bonnes technos derrière, mais je reste attaché à l’expérience utilisateur de Firefox
, de plus, la sécurité et les performances semblent s’être fortement renforcés depuis la version 95, si on en juge les améliorations.
https://hacks.mozilla.org/2021/12/webassembly-and-back-again-fine-grained-sandboxing-in-firefox-95/
Je ne sais plus ce qu’il faut taper dans la barre URL pour être sûr que le sandboxing est activé, c’est “about:quelque chose”, mais je ne retrouve pas quoi.
#18
Ça n’a pas loupé : https://vivaldi.com/blog/technology/heads-up-googles-going-off-topics-again/
#19
Vu aussi en RSS, la réaction était hautement prévisible
#20
Merci pr les infos j’avais vaguement entendu parler de cela. C’est pas évident de s’en prémunir, j’utilise FF
On ajoute a ça le safebrowsing de FF qui envoie tout a Google… Ouïe… Je désactive dès que je peux