Vie privée : les internautes, même précautionneux, pistés à leur insu
▻https://www.lemonde.fr/sciences/article/2022/04/12/vie-privee-les-internautes-meme-precautionneux-pistes-a-leur-insu_6121754_16
Deux études montrent comment la désactivation des cookies peut être contournée pour continuer à suivre et profiler les utilisateurs du Web, notamment dans le secteur de la santé.
Deux articles de recherche corrigent sérieusement cette naïveté. Près de 4 % des sites Web les plus fréquentés arrivent à recréer des cookies, que l’on pensait pourtant avoir effacés. Plus de 60 % de sites « santé » identifient le visiteur avant même de proposer la fameuse bannière de consentement. Et 15 % continuent à le pister, même s’il l’a refusé !
La première étude montre comment régénérer un cookie tiers ou en tout cas « identifiant ». La seconde explique comment un cookie peut être synchronisé entre plusieurs sites, parfois sans que le site propriétaire en soit informé, transformant même un cookie propriétaire en un cookie tiers. « On montre qu’il existe des techniques méconnues pour faire du traçage, mais bien sûr on ne peut pas montrer si elles servent effectivement dans ce but », précise Arnaud Legout.
Détaillons la première étude, sur la recréation de cookies. Les chercheurs ont mis en évidence des techniques qui pistent les internautes par leur « empreinte de navigation ». Celle-ci consiste en une série d’informations comme le fuseau horaire, la version du navigateur ou du système d’exploitation, la langue préférée… Le site Amiunique.org permet de se faire une idée de cette empreinte. Contrairement aux cookies, elle ne peut être effacée, mais elle est moins stable, car elle peut changer pour un même utilisateur au cours du temps, par exemple lors d’une mise à jour.
Des prises de rendez-vous chez un pédiatre, un dermatologue ou un cancérologue en disent beaucoup sur l’état de santé des personnes, ce qui pourrait intéresser les assurances ou les banques
L’équipe de l’Inria a découvert que l’empreinte peut servir à recréer un cookie. Au départ, un cookie est associé à une empreinte dans la base de données du site « suiveur ». Puis si ce cookie est effacé, mais que l’empreinte ne change pas, alors le cookie est recréé pour assurer le suivi.
Des « pixels invisibles »
La méthode a consisté à vérifier si ces sites utilisent des techniques subtiles que les auteurs de l’étude avaient dévoilées en 2020 et qui permettent de synchroniser des cookies entre plusieurs sites, et donc de suivre les internautes. Ces six méthodes recourent à des « pixels invisibles », c’est-à-dire que, lors d’une visite, une requête est envoyée vers un site tiers qui renvoie un pixel blanc, donc invisible pour l’utilisateur, mais qui génère un dépôt ou une récupération de cookie chez l’internaute. Une extension de navigateur a même été développée pour automatiser la détection de ces techniques. « Nous avions montré que les techniques habituelles de blocage, basées sur des listes noires de sites suiveurs, ratent entre 25 % et 30 % des “traceurs” », rappelle Imane Fouad, doctorant dans ces études.
Appliquées à 385 sites de santé, les conclusions sont sévères : 62 % d’entre eux recourent à ces pistages méconnus… avant même que l’internaute ne réponde à la bannière de consentement ; 40 % ne permettent pas de refuser le traçage. Et 15 % tracent même si le visiteur a refusé ! « Malheureusement, il était déjà connu que les bannières ont ce genre de défauts. Nous montrons en plus que c’est le cas avec des techniques peu connues et qui échappent aux bloqueurs habituels », résume Arnaud Legout.
Ces résultats arrivent dans un contexte particulier, où le plus grand acteur de la navigation sur le Web, Google avec son outil Chrome, a annoncé vouloir bloquer les cookies tiers, tout en fournissant des solutions techniques aux publicitaires, dont le géant fait lui aussi partie, permettant de « cibler » sans « suivre » chaque internaute. Mais en 2021, l’entreprise a annoncé reporter ce déploiement technique à 2023.
« On peut faire l’hypothèse que les techniques que nous avons mises au jour servent aux entreprises qui les développent pour montrer leur savoir-faire et offrir de meilleurs services. Mais c’est aussi sûrement pour se préparer à la fin des cookies tiers », estime Arnaud Legout. La bataille n’est pas finie.
David Larousserie