Pour Mozilla, la techno FLoC déployée par Google ne protège pas vraiment vos données

15 juin 2021 à 08h00
8
Google Floc © Alexandre Boero pour Clubic
© Clubic

Pour le directeur technique de Mozilla, Eric Rescorla, FLoC n'est pas encore viable pour la protection des données des utilisateurs. Mais il pense que certaines propriétés peuvent encore être corrigées chez Google.

FLoC, c'est un peu le descendant des cookies tiers de Google, le futur du tracking en ligne, une solution censée satisfaire les annonceurs tout en protégeant mieux les données personnelles de ses utilisateurs. Mais beaucoup ne l'entendent pas de cette oreille. Des navigateurs comme Vivaldi , Brave ou DuckDuckGo sont opposés à cette solution. D'autres gardent le silence et certains, comme Mozilla, sont encore dans l'hésitation. Ce dernier, justement, a procédé à une analyse de la confidentialité de FLoC, à l'issue de laquelle il pointe plusieurs problèmes devant être résolus si Google veut obtenir le soutien diplomatique de Mozilla.

FLoC, de Google : la bascule d'un traçage individuel à un traçage collectif par « cohortes »

Eric Rescorla, Directeur technique de Mozilla, l'affirme : « FLoC repose sur une idée convaincante ». Google teste actuellement sa future technologie publicitaire dans un certain nombre de pays, mais pas encore en Europe, où la conformité avec le RGPD ne semble pas encore assurée.

FLoC (Federated Learning of Cohorts) propose en effet de mettre fin aux cookies tiers pour basculer d'un traçage individuel à un traçage collectif, moins intrusif. Google veut regrouper les personnes qui ont des habitudes, des intérêts de navigation communs au sein de différentes cohortes. Dans le même temps, le géant américain s'engage à ne pas partager l'historique de navigation avec les annonceurs.

Aujourd'hui encore, les traceurs rattachent un cookie à chaque utilisateur, ce qui fait que chaque internaute ou mobinaute qui visite un site web embarque avec lui un traceur qui permet ensuite à l'annonceur d'obtenir la liste des sites visités par l'utilisateur et de se livrer à de la publicité ciblée. Sur le papier donc, FLoC ne permet plus de cibler un seul et unique utilisateur, mais d'en rassembler un nombre X dans une même cohorte, sans révéler quelconque historique de navigation. Sauf que pour Mozilla, il découle de cela plusieurs problèmes de confidentialité.

Accumulée l'une à l'autre, les cohortes pourraient aider à faire la distinction entre les utilisateurs

Le CTO de Mozilla en est convaincu : ce n'est pas parce qu'une cohorte est de taille importante (même si la taille d'une cohorte dépend du sujet) qu'elle ne peut pas être utilisée pour le suivi. « Étant donné que seulement quelques milliers de personnes partageront un identifiant de cohorte donné, si les trackers disposent d'une quantité importante d'informations supplémentaires, ils peuvent affiner très rapidement l'ensemble des utilisateurs », affirme Eric Rescorla.

Le technicien explique sa pensée en indiquant que chaque élément de variation peut aider à faire la distinction entre les utilisateurs, comme l'un qui parlerait anglais, l'autre français ; ou l'un qui serait sous Windows et l'autre sous Mac. Ajoutés les uns aux autres, ces éléments pourraient contraindre à réduire à l'extrême la taille de certains groupes.

Rescorla est aussi préoccupé par les ID FLoC attribués aux utilisateurs, qui changent une fois par semaine environ. Cela signifie qu'un traceur pourrait relier les visites des utilisateurs au fil du temps, en se basant sur telle ou telle semaine pour distinguer les utilisateurs. Et le mécanisme résisterait même à la fonctionnalité « Total Cookie Protection » (TCP) de Mozilla, car il est « destiné à empêcher les trackers de corréler les visites entre les sites, mais pas les visites multiples sur un même site. FLoC restaure le suivi inter-sites même si les utilisateurs ont activé TCP », s'inquiète le patron technique de la fondation.

Eric Rescorla nous explique aussi que les identifiants FLoC sont les mêmes sur tous les sites. Ils deviennent ainsi une clé partagée à laquelle les traceurs peuvent associer des données qui proviennent de sources externes. « N'importe quel site pourra en apprendre beaucoup sur vous avec beaucoup moins d'efforts qu'il n'en aurait besoin aujourd'hui », redoute-t-il. Et pour cela, un site n'aura qu'à appeler les API FLoC pour obtenir l'identifiant de la cohorte, et ensuite l'utiliser pour retrouver des informations dans le service.

Mozilla ne ferme toujours pas complètement la porte à FLoC

Mozilla essaie de tempérer ses craintes en rappelant que FLoC n'est pas une obligation et que Google supprimera les cohortes considérées comme trop sensibles, par exemple celles issues de sites web médicaux, politiques, sexuels ou religieux. Une hypothèse balayée par Eric Rescorla, de même que l'exclusion des sites sensibles, redoutant par exemple que des trackers intelligents puissent tout de même apprendre des informations sensibles, malgré ces contrôles.

Dans sa conception actuelle, FLoC présente donc diverses propriétés de confidentialité pouvant créer des risques importants, s'il devait être déployé au-delà des tests. Mozilla estime néanmoins que ces risques peuvent être corrigés et atténués, pour rendre FLoC viable et définitivement plus protecteur de la vie privée des utilisateurs.

FLoC, la saga by Clubic : tout savoir sur le futur du traçage publicitaire en ligne

Source : Mozilla

Modifié le 15/06/2021 à 08h55
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
7
Voir tous les messages sur le forum

Lectures liées

Cyberattaque : la France est dans le viseur de hackers chinois
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Intel serait en pourparlers pour racheter GlobalFoundries, deuxième plus gros fondeur au monde
Xbox : une mise à jour de l'application familiale pour mieux contrôler les dépenses des enfants
PrintNightmare : le patch ne suffit pas, il faut éditer la base de registre...
La Commission européenne repousse son projet de taxe numérique à octobre
Droits voisins : l'Autorité de la concurrence inflige une amende de 500 millions d'euros à Google
Intel : bientôt une usine en France ?
JEDI : poursuivi en justice par Amazon, le Pentagone annule son énorme contrat avec Microsoft
TSMC fait +20 % sur ses revenus annuels malgré les pénuries
Haut de page