Google contourne les paramètres de confidentialité des utilisateurs

  • Article

Après avoir appris que Google ignorait les paramètres de confidentialité des utilisateurs dans Safari, l'équipe IE d'est demandée si Google en faisait de même avec les préférences des utilisateurs d'Internet Explorer. D'après nos constatations, la réponse est oui : Google emploie des méthodes similaires pour contourner les dispositifs par défaut de protection de la confidentialité d'IE et suit les utilisateurs d'IE par le biais de cookies. Dans ce billet, nous dévoilons plus en détail nos constatations et nous proposons quelques recommandations permettant aux utilisateurs d'IE de protéger leur confidentialité vis-à-vis de Google, à l'aide de la fonctionnalité Protection contre le tracking d'IE9. Nous avons également contacté Google pour leur demander de s'engager à respecter les paramètres de confidentialité P3P de tous les utilisateurs, quel que soit le navigateur utilisé.

Nous avons constaté que Google contourne la fonctionnalité P3P d'IE, qui protège la confidentialité de l'utilisateur. Ces constatations corroborent les commentaires récents signalant que Google contourne les dispositifs de protection de la confidentialité mis en œuvre dans Safari, le navigateur Web d'Apple. Cependant, le mécanisme utilisé par Google avec IE est différent.

Internet Explorer 9 dispose d'une fonctionnalité de protection supplémentaire, Protection contre le tracking, qui ne peut pas être contournée de cette manière. Microsoft recommande aux clients qui souhaitent empêcher Google de contourner la fonctionnalité P3P de protection de la confidentialité d'utiliser Internet Explorer 9 et de cliquer ici pour ajouter une liste de protection contre le tracking à leur navigateur. Des listes et des informations supplémentaires sont disponibles sur cette page.

Contexte : Google contourne les paramètres de confidentialité d'Apple

Un article récent publié en une du Wall Street Journal décrit comment Google contourne les paramètres de confidentialité du navigateur d'Apple. Le P-DG et rédacteur en chef du site d'analyse et d'information économique Business Insider résume ainsi la situation :

En secret, Google a mis au point une méthode permettant de contourner les paramètres de confidentialité par défaut appliqués par son concurrent Apple. Google a ensuite utilisé cette solution de contournement pour déposer des cookies sur les ordinateurs des utilisateurs de Safari, une pratique qu'Apple essayait justement d'empêcher grâce aux paramètres par défaut.

Les cookies tiers sont couramment utilisés pour suivre les utilisateurs en ligne. Safari empêche le suivi de ses utilisateurs en appliquant des paramètres utilisateur par défaut qui bloquent les cookies tiers. Business Insider résume ainsi ce principe de fonctionnement :

Par défaut, Safari n'autorise PAS l'envoi de cookies tiers sur l'ordinateur de l'utilisateur sans l'accord explicite de ce dernier. Ces cookies de suivi publicitaire constituent pour de nombreux internautes une intrusion dans leur vie privée et à ce titre, il est tout à fait compréhensible qu'Apple ait décidé de les bloquer par défaut.

Cependant, à cause de ces paramètres par défaut, Google s'est retrouvé en porte à faux vis-à-vis de ses objectifs publicitaires.

En raison de l'approche de Google par rapport aux cookies tiers, Safari pense qu'il s'agit en fait de cookies internes.

Déroulement des opérations dans IE

Par défaut, IE bloque les cookies tiers, sauf si le site possède une déclaration de politique P3P abrégée indiquant comment il utilise le cookie et confirmant que l'utilisation du site n'implique pas de suivi de l'utilisateur. En raison de la politique P3P de Google, Internet Explorer accepte les cookies de Google, même si la politique en question ne fait pas état des intentions de Google.

La technologie P3P, qui constitue une recommandation officielle du W3C (l'organisme de normalisation du Web), est compatible avec tous les navigateurs et tous les sites. Les sites utilisent la technologie P3P pour décrire comment ils comptent utiliser les cookies et les informations relatives à l'utilisateur. En prenant en charge la technologie P3P, les navigateurs peuvent bloquer ou autoriser les cookies afin de respecter les préférences de confidentialité de l'utilisateur, conformément aux intentions exposées par le site.

Il convient de remarquer que les utilisateurs ne peuvent pas accéder facilement aux politiques P3P. Les sites Web envoient ces stratégies directement aux navigateurs Web à travers des en-têtes HTTP. Les seules personnes consultant les descriptions P3P disposent de compétences techniques et utilisent des outils spécifiques, tels que l'inspecteur de cookies de l'outil Fiddler. À titre d'exemple, voici la déclaration de politique P3P abrégée du site Microsoft.com :

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Chaque jeton (ALL, IND, etc.) a une signification bien précise pour les navigateurs Web conformes à la spécification P3P. Par exemple, SAMo signifie « Nous (le site, en l'occurrence) partageons des données avec des entités juridiques, conformément à nos pratiques ». Le jeton TAI signifie quant à lui que « les informations peuvent être utilisées pour adapter ou modifier les contenus ou l'apparence du site, uniquement dans le cadre d'une visite ponctuelle du site et non pas dans le cadre d'une personnalisation ultérieure ». Les détails liés à la confidentialité sont complexes et la norme P3P l'est tout autant. Vous trouverez ici des informations supplémentaire sur la spécification P3P.

D'un point de vue technique, Google utilise une variante de la spécification P3P, qui contourne les préférences de l'utilisateur en matière de cookies. Afin d'anticiper les futures avancées dans le domaine des politiques de confidentialité, la spécification P3P force les navigateurs à ignorer les politiques non définies rencontrées. Google envoie une politique P3P qui ne précise pas au navigateur comment Google utilise les cookies et les informations relatives à l'utilisateur. En fait, la politique P3P de Google est une déclaration qui ne constitue pas une politique P3P. Elle est lisible en clair sans outil spécifique, alors même que les politiques P3P sont destinées à être « lues » par les navigateurs : 

P3P: CP="This is not a P3P policy! See https://www.google.com/support/accounts/bin/answer.py?hl=en\&answer=151657 for more info."

Au vu de la politique de Google, les navigateurs conformes à la spécification P3P déduisent que le cookie ne sera pas utilisé dans le cadre d'un suivi, voire qu'il ne sera pas utilisé à quelque fin que ce soit. En envoyant ce texte, Google contourne la protection contre les cookies et permet à ses cookies tiers d'être autorisés au lieu d'être bloqués. La spécification P3P (« 4.2 Compact Policy Vocabulary ») exige la mise en œuvre du comportement d'IE lors du traitement de jetons inconnus : « If an unrecognized token appears in a compact policy, the compact policy has the same semantics as if that token was not present. (Si un jeton non reconnu figure dans une politique abrégée, cette dernière présente la même sémantique que si ce jeton était absent.) »

La section « 3.2 Policies » de la spécification P3P va dans le même sens :

3.2 Policies

In cases where the P3P vocabulary is not precise enough to describe a Web site's practices, sites should use the vocabulary terms that most closely match their practices and provide further explanation in the CONSEQUENCE field and/or their human-readable policy. However, policies MUST NOT make false or misleading statements. (Lorsque le vocabulaire de la spécification P3P n'est pas suffisamment précis pour décrire les pratiques d'un site Web, le site en question doit utiliser les termes correspondant le mieux à ces pratiques et fournir des explications supplémentaires dans le champ CONSEQUENCE et/ou dans la politique rédigée en texte clair, lisible sans outil spécifique. En revanche, les politiques ne doivent PAS contenir de déclarations mensongères ou trompeuses.)

La spécification P3P vise à prendre en charge les sites exprimant leurs intentions en matière de confidentialité. Or Google utilise la spécification P3P sans exprimer ces intentions de façon cohérente avec la technologie. 

En raison des problèmes évoqués ci-dessus et puisque de nouveaux mécanismes de suivi des utilisateurs n'utilisant pas de cookies sont régulièrement mis au point, nous nous concentrons désormais sur la nouvelle technologie Protection contre le tracking.

Étapes suivantes

Après avoir analysé les données que Google envoie à IE, le fonctionnement décrit ci-dessus a pu être confirmé. Nous avons créé une liste de protection contre le tracking destinée aux utilisateurs d'IE9. Cette liste, qui permet à l'utilisateur de rester protégé, même si Google décide de ne pas modifier ses pratiques, peut être ajoutée au navigateur en cliquant ici. Des listes et des informations supplémentaires sont disponibles sur cette page.

La fonctionnalité de protection contre le tracking d'IE9 part du principe que les serveurs de suivi n'ont jamais la possibilité d'utiliser des cookies ou un autre mécanisme pour suivre l'utilisateur si celui-ci n'envoie aucune information à ces serveurs de suivi. Cette logique explique pourquoi la fonctionnalité de protection contre le tracking bloque totalement les requêtes réseau. Cette nouvelle approche de la technologie est en phase de normalisation auprès du W3C.

Ce billet de blog contient des informations supplémentaires sur les dispositifs de contrôle des cookies d'IE et explique comment vous pouvez bloquer tous les cookies d'un site (par exemple *.google.com), qu'il s'agisse de cookies internes ou de cookies tiers. Les méthodes utilisées par Google n'ont aucun effet sur cette méthode de blocage des cookies. Nous recommandons aux utilisateurs qui n'utilisent pas encore IE9 de prendre les mesures décrites dans ce billet.

Le comportement de Google nous pousse à analyser plus en détail les éventuelles modifications à apporter à nos produits. D'après la spécification P3P, les navigateurs doivent ignorer les jetons inconnus. Les défenseurs de la vie privée à l'origine de la spécification initiale ont récemment suggéré qu'IE pouvait ignorer la spécification et bloquer les cookies contenant des jetons inconnus. Nous envisageons sérieusement cette possibilité.

―Dean Hachamovitch, Vice-président du groupe, Internet Explorer