S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Après celui de Safari, Google contourne le Do Not Track d'Internet Explorer

Mais puisque les autres le font ?

La semaine dernière, nous vous indiquions que Google avait contourné les règles de protection de Safari pour autoriser « +1 » sur les publicités, même quand le tracking publicitaire était justement bloqué. Il se trouve que le navigateur d’Apple n’est en fait pas le seul concerné : Internet Explorer 9 a également vu ses protections percées par Google.

html5labs IE9

Une barrière encore plus simple à contourner que pour Safari

La technique de Google pour Safari était relativement simple. Quand le tracking publicitaire est bloqué, le navigateur n’accepte des cookies que des sites expressément visités par l’utilisateur. Pour contourner cette barrière, Google crée sur une page un élément iFrame équipé d’un formulaire invisible. Ce dernier est renvoyé à Google et Safari considère alors que c’est une action de l'utilisateur, ce qui autorise un cookie en retour. Le Wall Street Journal, qui avait révélé le problème, indique que Google a immédiatement réagi en supprimant ce comportement, et Apple travaille à colmater cette brèche dans sa cuirasse.

Dans le cas de Microsoft, c’est le directeur de la division Internet Explorer lui-même, Dean Hachamovitch, qui révèle comment Google a procédé. La technique est différente car IE9 s’appuie sur les paramètres P3P (Platform for Privacy Preferences Project) dans lesquels un site ou un annonceur déclare qu’il n’utilisera pas le cookie pour du tracking. Cette déclaration volontaire porte en elle sa propre faiblesse, qui permet à Google de la contourner.

Les cookies créés par Google annoncent en effet qu’ils ne vont pas servir à effectuer du tracking alors que c’est précisément ce qu’ils font. De fait, Microsoft a officiellement demandé à Google de cesser cette pratique tandis que la liste interne de protection d’IE9 est mise à jour. Mais pour Google, la situation est loin d’être aussi simple.

Pas de problème, tout le monde le fait

Dans une réponse fournie à Ars Technica, la firme de Mountain View expose sa ligne de défense : les déclarations P3P sont totalement dépassées. Le protocole a été créé en 2002 et n’est plus capable de prendre en charge toutes les améliorations faites sur les technologies du web. Pour Google, Microsoft est parfaitement au courant de la situation, et il est impossible de répondre dans ces conditions.

Il s’agit d’un carrefour intéressant : il existait donc des consensus recouverts d’une loi du silence. Depuis les révélations du Wall Street Journal, les techniques sont exposées au grand jour, comme une guerre de voisins où chacun accumule des informations pour le jour où les hostilités seront déclarées. Évidemment, dans le cas de Google et Microsoft, l’ensemble revêt un aspect stratégique, ce qui rappelle l’affrontement récent sur la politique de vie privée de Google.

Google va d’ailleurs plus loin. La firme évoque une étude menée par l’université de Carmegie Mellon en 2010. Elle révélait que sur les 33 000 sites analysés, environ un tiers d’entre eux contournaient sans vergogne la protection d’Internet Explorer. L’explication ? Toujours la même chose : des fonctionnalités comme le bouton « J’aime » de Facebook ne pourraient pas fonctionner sur une base aussi simple.

Et pour rendre définitivement la monnaie de sa pièce à Microsoft, Google souligne un passage bien particulier de l’étude : les propres sites de Redmond msn.com et live.com s’appuient eux aussi sur de fausses déclarations P3P pour leurs propres besoins.

Le problème est qu’une solution pratique n’est pas abordée. Le constat est que chacun crée ses propres formules dans son coin selon ses besoins et le tableau général n’est guère reluisant. On rappellera ici les demandes de l’EFF (Electronic Frontier Foundation) qui souhaitait que Google respecte enfin les choix de l’utilisateur en matière de blocage du tracking publicitaire. Car si Google estime que la protection d’Internet Explorer est dépassée, pourquoi faire semblant de la respecter ? 
Source : Microsoft
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 21/02/2012 à 11:43

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 58 commentaires

Avatar de cendrev3 INpactien
cendrev3 Le mardi 21 février 2012 à 11:51:33
Inscrit le samedi 29 novembre 08 - 205 commentaires
Voila ce qu'il faut pour purifier un peu le web de toutes ces conneries :

  • Interdire les iframes sur des domaines distants.
  • Interdire l'ajax sur des domaines distants (c'est utilise uniquement pour le tracking ou hacking ca....).
  • Supprimer le referer (sert a rien a part le tracking).
  • Supprimer le css:visited (idem).
  • Pas de cookies dans le cas de GET distants. (quand on GET une image d'un site distant, on envoie pas de cookie avec).
  • Pas de Set-Cookies sans POST..


Je dis pas que c'est pas contournable mais ca reduirais deja bien la merde existante et il serais quand meme moins possible de faire de la merde comme actuellement.

Edité par cendrev3 le mardi 21 février 2012 à 11:53
Avatar de Tarpan INpactien
Tarpan Le mardi 21 février 2012 à 11:53:20
Inscrit le dimanche 2 mai 04 - 1041 commentaires
J'ai mieux : interdire Google et repartir sur des bases saines (et ce tous les 5 ans, pour éviter l'enflement des monopoles)

Edité par tarpan le mardi 21 février 2012 à 11:53
Avatar de caesar INpactien
caesar Le mardi 21 février 2012 à 11:54:29
Inscrit le mardi 8 mars 05 - 2560 commentaires
:( le tracking va devenir de plus en plus galère. Inpactien des outils pour se protéger de ça ? (addon, logiciel, ...)
Avatar de cyrano2 INpactien
cyrano2 Le mardi 21 février 2012 à 11:56:15
Inscrit le lundi 20 juillet 09 - 596 commentaires
Ghostery + RequestPolicy + noscrit c'est déjà pas mal.
Avatar de Rémy D. INpactien
Rémy D. Le mardi 21 février 2012 à 11:58:20
Inscrit le vendredi 13 janvier 12 - 9 commentaires
Google l'indique clairement ici.
Ce n'est pas une méthode cachée.

Edité par Remy D. le mardi 21 février 2012 à 12:00

Il y a 58 commentaires

;