Pistage en ligne : quelles sont ses différentes natures et pourquoi s’en protéger ?

25 novembre 2021 à 10h00
Sponsorisé par
SurfShark
2
Sponsorisé par SurfShark
vie prive tracking internet © Shutterstock

Lorsque vous êtes dans la rue, il est normal qu’un ami vienne vous saluer. Mais que diriez-vous si une personne, tranquillement cachée derrière son journal, vous suivait discrètement et prenait note de tout ce que vous faites ? Bienvenue sur Internet.

Sur Internet, les annonceurs et les courtiers en données jouent un peu ce rôle d’espion. Ils cherchent à collecter des données sur vous et vos activités. Leur objectif est notamment d’améliorer l’expérience utilisateur et d’afficher des publicités ciblées. Comment arrivent-ils à leur fin et pourquoi faut-il se prémunir contre leurs techniques ?

Y'a le bon cookie…. et y'a le mauvais cookie

La technique de pistage la plus connue est celle associée aux cookies. Bien que de plus en plus encadrés par la RGPD, ces derniers tiennent encore une place de choix dans le pistage.

On vous épargnera les métaphores culinaires à leur sujet, mais simplement mentionner qu’ils sont constitués d’un petit fichier contenant du texte qui est stocké dans votre navigateur. On y trouve un nom de variable, une valeur, un domaine et parfois une date d’expiration.

Tous les cookies ne sont pas de vilains mouchards. On distingue les cookies internes, ou « first party », qui sont nécessaires au bon fonctionnement du site web que vous consultez. Ces derniers permettent par exemple d’enregistrer vos préférences.

Mais il existe également des cookies qui posent davantage problème : les cookies tiers ou « third party ». Comme leur nom l’indique, ils sont créés par des acteurs autres que ceux de l’éditeur du site que vous visitez. Mauvaise nouvelle, ils constituent l’immense majorité des cookies. Pour connaître leur nombre sur chaque site, vous pouvez par exemple cliquer sur Chrome, au niveau du cadenas situé à gauche de l’URL du site.

Notons que la distinction entre ces deux types de cookies n’est pas toujours facile. En effet, des tiers peuvent déposer sur le terminal de l’utilisateur des cookies considérés comme « first party ». L'idée étant de ne pas être bloqués par les navigateurs, comme dans le cas des dépôts de cookie « third party ». Cette technique permet de renvoyer des données grâce à des appels URL sur le domaine publicitaire ou bien grâce à un procédé de CNAME cloaking. Ce dernier tend à déléguer la gestion d’un sous-domaine de l’éditeur à un tiers via une redirection.

Pourquoi se protéger des cookies tiers ?

Avec les cookies tiers, les données sont exploitées massivement et de façon opaque. Celles-ci sont récupérées et vendues à des fins de ciblage publicitaire. Afin de lutter contre cela, la RGPD permet notamment à l’utilisateur d’être informé de façon claire et synthétique avant leur acceptation ou non des cookies. Leur refus doit se faire de façon simple et directement en un clic. Des conditions pas encore toujours respectées sur les différents sites.

Balises web et images transparentes

La balise web, c’est un peu l’homme invisible qui aurait décidé de devenir espion. La balise web est en effet souvent constituée d’une image transparente comportant un unique pixel.

Comment fonctionne-t-elle ? Lorsqu’un utilisateur ouvre une page ou un mail contenant une balise web, son navigateur web ou son logiciel de messagerie télécharge automatiquement l’image. L’ordinateur de l’utilisateur envoie ainsi une demande au serveur où l’image source est stockée.

Cette demande donne des informations d’identification sur l’ordinateur et permet à l’hôte de conserver une trace de l’utilisateur. Les informations recueillies sont souvent l’adresse IP, l’heure de la demande, le type de navigateur web ou les données liées au programme utilisé.

Un exemple d’utilisation du pixel connu est celui du pixel Facebook. Pour être efficace, le code du pixel, en JavaScript, est posé sur différentes pages du site. Ce procédé permet d’identifier le parcours et l’activité des utilisateurs, en agrégat, sur un site et d’un appareil à un autre. Ce pixel peut être utilisé aussi bien pour les audiences personnalisées que les audiences similaires.

Pourquoi se protéger contre le pistage par balise web ?

Vous ne comprenez pas pourquoi une image reçue dans un email ne se téléchargeait pas ? Le téléchargement automatique d’image peut être désactivé par défaut, non pour des raisons de performance, mais plutôt pour des aspects inhérents à la sécurité. Cela tend à éviter que l’expéditeur puisse vous espionner.

Bouygues Telecom a par exemple été récemment épinglé pour l’utilisation de ces pixels dans des mails d’information client. L’association eWatchers a porté plainte auprès de la CNIL. Son accusation portait sur le fait que l’entreprise informe ses abonnés que leurs données à caractère personnel avaient été collectées sans leur consentement. En conséquence, toute cette data fut utilisée à des fins de publicité personnalisée. Équiper son appareil d'un VPN tel que SurfShark permet une haute protection de ses données personnelles ainsi qu'une navigation 100% sécurisée.

L’empreinte du navigateur pour suivre vos traces

L’empreinte du navigateur, ou fingerprinting, constitue, selon la définition de la CNIL, une technique « probabiliste visant à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur ».

Grâce à un simple script, il est possible de récupérer des informations relatives à l'appareil sur lequel est installé le navigateur. Cette technique permet de retrouver les données issues de l’utilisation du JavaScript sur le terminal de l’utilisateur ; résolution d’écran, langue utilisée, informations contenues dans l’entête HTTP ou user agent.

Toutes ces informations doivent servir à la mise en place d’une valeur unique, appelée empreinte digitale. Les données sont en effet tellement nombreuses et les caractéristiques techniques tellement variées que la grande majorité des navigateurs web dispose d'une empreinte unique.

Sur smartphone, les applications peuvent permettre aussi, souvent à l’insu de son utilisateur, de faire remonter certaines données comme le nom de l’opérateur ou les paramètres d’affichage. Notons que vous pouvez examiner votre empreinte numérique sur des sites comme Am I Unique, Cover Your Tracks ou Device Info.

Pourquoi se protéger des empreintes du navigateur ?

Il a été démontré qu’en croisant des variables comme la liste des plug-ins utilisés, l’emplacement, ou encore la version du navigateur, les sociétés arrivent à connaître de façon quasi systématique l’identité de l’utilisateur. Soit un problème de taille quant à l’anonymisation des données.

Autre souci : les serveurs des entreprises AdTech stockent ces empreintes, et non les navigateurs des utilisateurs. Elles peuvent ainsi être difficilement visibles et supprimables par les utilisateurs. La CNIL dénonce notamment l’absence de recueillement de l’avis de l’internaute.

Ciblage par cohorte : le cas Google

Google veut mettre fin aux cookies tiers dès la fin de l’année 2023. C’est dans cette optique qu’a été lancé en août 2019 le programme Google Privacy Sandbox. But affiché par la firme de Mountain View : mieux sécuriser la confidentialité de ses utilisateurs. Problème : Google doit concilier cela avec les attentes des entreprises et des acteurs du marché de la donnée, alors que la publicité ciblée et personnalisée fournit environ 80 % de son chiffre d'affaires mondial.

Dans cette optique, Google planche notamment sur une méthode alternative de ciblage publicitaire, avec le FLoC, pour Federated Learning of Cohorts. Ce système ne cible plus les personnes en particulier. Il remplace le ciblage « one to one »  par un ciblage « one to few », fondé sur les centres d’intérêt. Cela se fait grâce à des « cohortes » d’utilisateurs, classés grâce à leur l’historique de navigation.

Pourquoi se protéger contre le pistage par cohorte ?

Selon la CNIL, le pistage par cohorte relève de questions liées à la protection des données personnelles et à la protection des terminaux et des communications des utilisateurs.

L’utilisation de ces techniques est en effet réglementée par la RGPD et la directive « vie privée et communications électroniques ». Or, avec le projet FLoC, la CNIL écrit : « il est possible pour tout domaine exécutant des scripts depuis un site d’accéder à l’identifiant de cohorte par le biais de l’interface offerte par le navigateur Chrome au site web ».

Avec FLoC, se pose aussi la question des cohortes sensibles. FLoC pourrait être vulnérable aux attaques dites d’ « homogénéité ». Celles-ci pourraient intervenir sur des cohortes partageant un attribut sensible, comme une maladie grave. Pour lutter contre cela, Google indique vouloir regarder si les cohortes visitent des pages sur des sujets sensibles. Si tel est le cas, Chrome fera en sorte de ne pas utiliser cette cohorte. Cela sera-t-il suffisant pour convaincre la CNIL ? Affaire à suivre donc !

Article proposé et conçu par La Rédaction Clubic en partenariat avec SurfShark
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
DrGeekill
Existe il des outils en ligne permettant de tester le niveau de confidentialité d’un ordinateur. Je ne trouve pas les bons mots pour exprimer cela mais ce serait du genre Firefox monitor\HaveIbeenPowned dans leur domaine. J’avais testé l’extension lightbeam sur Firefox et c’était intérressant de voir la différence entre le navigateur avec et sans ses extensions.
molije
Et pourquoi ne pas utiliser « Cookie Factory » mis au point par l’UNESCO. C’est un outil qui permet de générer des cookies bidon avec un faut profil. Cette extension ne fonctionne que sous chrome, mais je la trouve excellente. Ils veulent nos données… et bien ont va leur en donner, des biens pourries complètement fausses. Je trouve la démarche meilleure que de tenter de se protéger. Si tout le monde adoptait ce système le recueil d’informations personnelles n’aurait tout simplement plus d’intérêt puisque complètement pollué par des données erronées… et voilou.
Voir tous les messages sur le forum

Lectures liées

Black Friday : à l'occasion du Cyber Monday, CyberGhost n'hésite pas à pulvériser le tarif de son VPN de - 85% !
VPN : le service NordVPN à son plus bas prix pour le Black Friday, jusqu'à -72% 🔥
Surfshark VPN fait couler ses tarifs : faut il craquer pour ce VPN prometteur ?
Bon plan VPN : pourquoi faut-il se ruer sur l'offre Black Friday de CyberGhost ?
Black Friday VPN : votre futur VPN se trouve sûrement dans une des offres de Cyberghost, NordVPN ou Surfshark !
Le Black Friday bat son plein chez NordVPN, le moment idéal pour un abonnement à prix choc !
NordVPN vous gâte pour le Black Friday : pourquoi succombe-t-on à cette promotion immanquable ?
Black Friday chez PureVPN : bénéficiez de prix jamais vus avec un code Clubic exclusif !
CyberGhost VPN poursuit le Black Friday avec une offre toujours aussi immanquable !
Avec l'offre Black Friday d'Ivacy, équipez-vous d'un VPN pour moins de 1 € par mois !
Haut de page