S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Google contourne les protections de Safari pour ses publicités

J'ai vu de la lumière, je suis entré

L’année 2010 avait été marquée par une évolution des navigateurs vers des fonctionnalités de blocage du suivi publicitaire, le fameux « Do Not Track ». Google, puissamment installé dans le domaine de la publicité en ligne, a trouvé un moyen de contourner les protections de Safari, le navigateur d’Apple. Des révélations faites par le Wall Street Journal et qui ont provoqué un brusque arrêt de la technique par Google.

google tracking

Le tracking doit s'arrêter quand l'utilisateur le décide

Le tracking est une technique courante dans le monde de la publicité en ligne. Via un ou plusieurs cookies, une collecte d’informations peut être organisée auprès de l’utilisateur pour suivre sa navigation et lui proposer des publicités en relation avec les sites visités. Google est friand de ce système et la récente décision de briser les barrières en harmonisant sa politique de vie privée à travers ses services a braqué les feux des projecteurs sur les appétits du géant.

Safari, présent sur Mac OS X et iOS, possède plusieurs fonctionnalités assez utiles pour bloquer le tracking. L’une permet d’activer le « Do Not Track » qu’on trouve maintenant sur de nombreux navigateurs, et une autre, activée par défaut, permet de n’accepter que les cookies d’un site expressément visité.

Or, le Wall Street Journal a révélé que Google contournait ces protections. La découverte a été faite en premier lieu par un chercheur de l'université Stanford, Jonathan Mayer. Le Journal a repris ses résultats et les a fait confirmer par un autre ingénieur, Ashkan Soltani, qui est parvenu aux mêmes conclusions.

google tracking
Source de l'image : WSJ

Voici la procédure utilisée par Google :
  1. Les publicités du réseau Google introduisent un iFrame dans une page afin de détecter la présence de Safari
  2. Si tel est le cas, un formulaire invisible vient se placer dans l’iFrame
  3. Même si l’utilisateur n’a rien entré dans le formulaire, ce dernier est quand même envoyé. Safari réagit alors comme si le formulaire avait été envoyé intentionnellement, et Google peut alors placer un cookie sur la machine.
  4. À partir du moment où ce cookie est en place, d’autres peuvent être ajoutés
Le Wall Street Journal ajoute en outre que la situation est pire si l’utilisateur est connecté à sa session Google+ puisque des informations sur le compte peuvent être envoyées dans la foulée.

Il s’agit d’un comportement conçu expressément pour contourner la protection d’un navigateur. Contacté par le Wall Street Journal, Google a immédiatement désactivé ce comportement

Les dangers soulevés par l’EFF

L’Electronic Frontier Foundation s’est emparé du dossier et a souligné les dangers inhérents à une telle attitude. L’association estime que ces dangers n’ont pas été prévus par Google et qu’il s’agit d’un effet de bord non intentionnel. Explications.

Pour l’EFF, Google a surtout cherché à contourner les protections pour que les actions « +1 » de Google+ sur des publicités ne soient pas bloquées (Personnalisation des +1). Pour que cette action fonctionne, un lien doit être créé entre google.com et doubleclick.net, d’où la technique utilisée. Mais il y a dommage collatéral : une fois la porte ouverte, tous les cookies DoubleClick peuvent entrer, ce qui inclut le cookie principal de tracking, vaporisant ainsi les barrières de Safari.

La Fondation en profite donc pour publier une lettre ouverte à Google, dans laquelle elle demande à la firme de bien vouloir respecter les politiques de tracking mises en place par l’utilisateur, même celles qui sont actives par défaut : « L’heure est venue d’un nouveau chapitre dans la politique de Google concernant la vie privée. Il est temps de s’engager à donner la voix aux utilisateurs sur le tracking et de respecter leurs choix ».

L’EFF remet sur le tapis l’intégration d’une fonction Do Not Track directement dans Chrome, alors que Google a considéré jusque-là qu’il était plus sage de laisser les annonceurs s’organiser entre eux. Elle souligne également la participation de Google au forum Tracking Protection Working Group et l’encourage à s’y plonger plus intensément pour améliorer l’universalité de la fonction DNT. Et, en guise de bonne volonté, elle demande que le DNT soit relié directement aux propres paramètres d’opt-out de Google, ce qui signifierait une application générale « aux publicités, +1 et outils d’analyse ».

La technique déjà largement utilisée

Le Wall Street Journal indique que le mécanisme de détournement a été retrouvé sur de nombreuses publicités DoubleClick trouvées sur des sites à forte fréquentation telles que AOL, Match, YellowPages et autre. Interrogés par le Journal, tous ont répondu ne pas être au courant d’un tel procédé.

En outre, trois autres sociétés utilisent cette technique de contournement : Vibrant Media, WPP's Media Innovation Group, et Gannett's PointRoll. Vibrant a bien confirmé qu’il s’agissait d’un contournement, mais qu’en aucun cas des informations personnelles n’étaient collectées. WPP n’a pour sa part pas réagi et Gannett's PointRoll a affirmé qu’il s’agissait d’un test limité pour voir combien d’utilisateurs de Safari se rendaient sur le site de l’annonceur après avoir vu la publicité. D’ailleurs, le Journal indique que son propre site contient des publicités contenant le code de Gannett's PointRoll.

Actuellement, Google n’utiliserait plus cette technique. Apple a également été averti et a répondu qu’une solution était en travaux pour bloquer ce contournement. Reste la question du timing : cette découverte intervient après la polémique suscitée par le changement de politique sur la vie privée. L’image de la société est donc écornée d’autant qu’elle s’est régulièrement posée en championne de la transparence et du respect.
Source : WSJ
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 17/02/2012 à 13:00

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 99 commentaires

Avatar de Malesendou INpactien
Malesendou Le vendredi 17 février 2012 à 13:06:14
Inscrit le vendredi 21 mai 10 - 6045 commentaires
Adblock, No-Script et Ghostery.
Avatar de zefling INpactien
zefling Le vendredi 17 février 2012 à 13:09:05
Inscrit le mercredi 30 juin 04 - 12458 commentaires
Et bien, j'ai de moins en moins envie de me servir des services de Google pour mon site.
Avatar de Holly Brius INpactien
Holly Brius Le vendredi 17 février 2012 à 13:16:45
Inscrit le vendredi 16 décembre 11 - 1299 commentaires
Mais non google n'est pas bigbrother.... juste little brother...
Avatar de Mihashi INpactien
Mihashi Le vendredi 17 février 2012 à 13:20:33
Inscrit le mardi 29 janvier 08 - 3007 commentaires
L’image de la société est donc écornée d’autant qu’elle s’est régulièrement posée en championne de la transparence et du respect.

C'est ironique ?

Adblock, No-Script et Ghostery.

+ BetterPrivacy, CS Lite Mod et RefControl.

Qu'est-ce qui faut pas faire pour protéger sa vie privée…

Edité par Mihashi le vendredi 17 février 2012 à 13:20
Avatar de gaboul49 INpactien
gaboul49 Le vendredi 17 février 2012 à 13:21:17
Inscrit le dimanche 8 janvier 06 - 453 commentaires
Mais non google n'est pas bigbrother.... juste little brother...


Mais non, Google se nourrit de la publicité ciblée...
Quel est l'intérêt d'aller chercher plus loin ?

Il y a 99 commentaires

;