Le média des professionnels du digital
Le média des professionnels du digital
Fermer

Décryptage : les techniques de tracking avancées et les enjeux de la protection des données

Ludwig Hervé, le 16 mai 2017

En mai 2018, un nouveau règlement européen va entraîner d’importants changements dans la pratique des entreprises en matière de gestion des données personnelles. La protection des données est donc un sujet d’actualité qui reste cependant bien flou pour les moins avertis. Afin d’en savoir plus sur le sujet, nous avons interrogé Valère Fédronic, fondateur de Facetts. Ingénieur informatique, il travaille depuis plusieurs années pour permettre aux gens de mieux comprendre comment sont utilisées leurs données personnelles et les problématiques de la « Privacy » (vie privée et informatique) sur Internet.

Quel constat actuel fais-tu de la collecte et de l’utilisation des données personnelles ?

Le constat est assez terrible, je pense que le traçage des internautes nous met en danger. Par exemple, si vous recherchez des informations ou discutez à propos d’un sujet difficile, d’un hobby exotique, de problèmes de santé… Ces informations peuvent devenir à tout moment gênantes. Ne serait-ce que par une publicité personnalisée, avec des effets embarrassants, faisant aussi parfois surgir un traumatisme ancien. Nous sommes dans un espace où le traçage est très fort, les sociétés peuvent tout connaître de nos vies. Cela rend difficile et va rendre de plus en plus périlleux notre expression en ligne.

Si l’on pouvait encore dire il y a un certain temps qu’il suffisait de faire attention à ce que l’on partage, ce n’est maintenant plus suffisant. Il faut faire attention à ce que l’on fait. Chaque recherche, chaque click, chaque visite est enregistrée pour une durée illimité et nous en avons perdu le contrôle. Nous faisons face à une « machine à détruire la vie privée ». Les progrès technologiques permettent la collecte et la compréhension de types d’informations qui par le passé s’avéraient hors d’atteinte. Et cela a des conséquences directes sur notre façon de nous exprimer.

À lire également
identite_numerique Tristan Nitot : « une société sous surveillance n’est plus une société libre »

Peux-tu nous en dire un peu plus sur les méthodes de traçage employées ?

Oui, c’est un point très important. J’ai pu constater lors de mes interventions que la plupart des gens se disent très concernés par la protection de leur vie privée en ligne, mais bien peu se mobilisent pour se protéger car très peu savent comment procéder. Cela m’amène souvent à préciser les méthodes de traçage, d’un point de vue technique pour savoir de quoi l’on parle.

Premièrement tout le monde connait un peu les cookies, on pourrait les voir comme une sorte d’étiquette que l’on nous colle dessus quand on arrive sur un site, afin de nous reconnaître. C’est une technologie nécessaire pour le fonctionnement de nombreux sites web, cela permet de relogger automatiquement ou de se souvenir des préférences de l’utilisateur, de son panier lors d’achats.

Il existe cependant aussi un usage plus controversé des cookies, se sont les « third party cookies ». Ils sont utilisés pour tracer les internautes sur plusieurs sites, afin de créer un profil d’intérêts pour envoyer de la publicité ciblée par exemple. L’avantage de cette technologie est qu’elle est sous le contrôle des utilisateurs, il est facile de bloquer ou d’effacer les cookies. Les navigateurs incluent même des modes incognito pour les effacer automatiquement.

Ce que nous considérons comme un avantage pour nous peut être vu comme un inconvénient pour ceux qui créent les technologies de traçage. De façon presque naturelle ont été développées de nouvelles technologies plus efficaces…

Il y en a une en particulier, très ingénieuse. Elle s’appelle le « browser fingerprinting », ou comment identifier votre navigateur sans les cookies, et sans même vous avertir. Quand on affiche un site web, le navigateur expose son nom, sa version, d’autres informations. Par exemple tous les plugins utilisés, les polices de caractères installées, et toute une liste d’autres renseignements. Cela permet d’effectuer une signature (une marque permettant d’identifier). On peut identifier ainsi votre navigateur de façon assez unique car personne n’a exactement les mêmes fonts, les mêmes plugins installés, la taille de l’écran, les langues acceptées… On voit déjà qu’on a fait un petit saut hors de l’éthique parce qu’on ne peut pas bloquer le fingerprinting, ni l’effacer comme on peut le faire avec les cookies.

Encore plus ingénieux, Il y a la technique du « canvas fingerprinting ». Elle demande en cachette à votre navigateur de dessiner des petites lettres qu’on ne voit pas s’afficher. Chaque carte graphique dessine un peu différemment, et ce dessin peut également servir de signature. On pourrait aussi lister d’autres type de fingerprinting comme le « battery fingerprinting », qui consiste à regarder à quelle vitesse votre batterie se charge/décharge. Toutes les batteries ne se vident pas à la même vitesse donc ça créé à nouveau une signature. Il existe aussi l’audio fingerprinting, on peut même créer une signature à partir de la vitesse de la roulette de votre souris (mouse wheel fingerprinting). Et tant d’autres techniques…

Ce nouveau type de signature à une autre propriété, celle d’être unique à votre configuration matérielle et non plus juste à votre navigateur. Le fait de changer de navigateur, ou de passer en mode incognito n’a aucun effet, votre PC est devenu le cookie. Ces méthodes deviennent même très difficiles à bloquer ou même à détecter par les fabricants de navigateurs. Vous pouvez aller tester votre configuration sur le site amiunique.org pour voir si vous êtes identifiable de façon unique.

Les technologies de traçage évoluent sans arrêt, et une nouvelle étape est maintenant franchie. Maintenant, on peut qualifier le fingerprinting de « behaviorial ». Cette technique à pour objectif par exemple de réussir à détecter si deux historiques de navigation anonymes appartiennent à la même personne. Cela permet de construire « l‘identity graph » d’un utilisateur, c’est à dire de réunir au même endroit tous les identifiants et activités associées à un même utilisateur (nom, email, adresse physique, numéros de téléphones, différents ordinateurs, smartphones, historiques de navigation, d’achat…).

Nous nous trouvons face à une véritable machine à détruire la vie privée. L’avènement du big data, et des méthodes d’analyse associées rendent maintenant possible des techniques jusqu’ici inatteignables. Mais c’est aussi cette machine qui nous permet d’avoir tout un écosystème de services et outils fantastiques gratuits. Il s’agit de trouver un équilibre.

Comment s’articule l’écosystème du web autour de cette problématique des données tracées ?

Nous pensons que pour que cet écosystème soit viable et ne soit pas rejeté par les utilisateurs, il doit reposer sur 4 piliers :

  • La transparence, savoir ce qui est tracé et à quoi ça sert.
  • Le choix, avoir la possibilité de ne pas être tracé si l’on n’en a pas envie.
  • Les données sensibles, certaines données ne devraient jamais pouvoir être tracées comme les informations de santé par exemple.
  • La sécurité, car il est crucial que les compagnies qui possèdent ces données puissent maintenir un bon niveau de sécurité. C’est d’ailleurs une obligation légale en France.

Si un seul de ces piliers est manquant on observe un rejet. On peut l’observer par exemple avec les réactions des Américains au changement des règles permettant aux FAI de vendre les historiques de navigation (choix) ou avec la récente affaire unrollme (transparence).

Nous avons une identité en ligne et elle va servir à de plus en plus de choses. Par exemple si on voyage aux États-Unis, on nous demande de renseigner nos comptes de réseaux sociaux. C’est encore optionnel mais ils vont regarder ce qu’on dit sur les réseaux, si on exprime des opinions politiques, religieuses… Et ça va plus loin encore, on peut mobiliser toutes les données récoltées lors d’un processus d’obtention d’un crédit automobile, d’une assurance santé, tout ça sans nous laisser le choix. Des brevets ont été déposés, des algorithmes non-éthiques créés qui vont parfois, soumettre des offres discriminatoires.

À lire également
decryptage Le métier de Data Protection Officer (DPO), obligatoire dès 2018 dans de nombreuses entreprises

Comment est-ce que ça fonctionne ?

Classiquement je paierai un peu plus cher mon crédit ou mon assurance que certains, parce qu’un algorithme l’a décidé en m’attribuant un faible score. Si on regarde les entreprises qui créent ces algorithmes, il y a des géants du web mais il s’agit plus particulièrement de quelques data brokeurs (qu’utilisent notamment Facebook et les autres).

On peut nommer des géants comme Acxiom, ces sociétés que personne ne connaît mais qui connaissent tout de nous. Ces sociétés offrent toutes nos informations aux entreprises et leur devise est de « casser les silos », autrement dit récupérer toutes nos données. Elles proposent leurs services en disant « vous avez besoin de cibler des gens, nous avons leurs noms, numéros de téléphone, adresse, revenus, crédits, centres d’intéret… ».

Pourquoi les sociétés collectent et monétisent les données des internautes ?

Certaines données sont syndiquées, il y a des échanges de données qui permettent de faire du profiling plus important, les sociétés le font parce que cela se monnaye. C’est « le prix du gratuit », si le service est gratuit bien souvent c’est qu’il y a une contrepartie. Beaucoup d’entreprises gagnent de l’argent grâce à cela et c’est bien, mais on est en droit d’en fixer les limites.

Les créateurs de WhatsApp expliquaient ça au début, en affirmant qu’ils avaient travaillé dans d’autres sociétés où une grande partie du temps les ingénieurs développaient des fonctionnalités non pas pour les utilisateurs mais pour la publicité car c’est leur source de revenus. C’est pour cette raison qu’ils ont voulu créer une application pour les gens et non pas pour les advertisers.

*Whatsapp Manifesto extract

C’était payant (1$/an) parce qu’il n’y avait pas d’autre choix, et puis est arrivée la «trahison» avec le rachat par Facebook. Pendant un moment on a dit que les gens se préoccupaient peu, voire pas de leurs données personnelles. Maintenant WhatsApp collecte des données pour Facebook, mais il y a une option pour refuser cette collecte. Dans leurs derniers chiffres, près de 30 % des utilisateurs la refusent. C’est quelque chose que l’on pensait impossible quelques temps en arrière, et qui montre qu’il y a bien une prise de conscience qui est en train d’opérer.

Des outils de plus en plus simples d’utilisation font leur apparition, qui font qu’on peut reprendre un peu le contrôle de nos données. Les différents acteurs avancent, les marques aussi demandent plus de transparence et de contrôle sur les endroits ou leurs produits sont affichés. Une nouvelle législation européenne va arriver également… Tout un écosystème se met en place sur la data minimization, le respect des données personnelle et offre des solutions.

As-tu des exemples d’outils simples et efficaces pour nous permettre de protéger nos données ?

Bien sûr, il y a des moteurs de recherche alternatifs comme Qwant, qui montrent qu’il existe un modèle d’affaire basé sur la publicité qui ne soit pas intrusif, on peut citer aussi duckduckgo ou ixquick.

Il y a aussi les navigateurs privés (Tor Browser, Brave, URBrowser) et les plugins comme ghostery qui ont une valeur très importante car didactique, en montrant aux utilisateurs les traceurs présents sur une page ainsi que les données qu’ils collectent.

On pourrait essayer de dérouler une liste ainsi, mais c’est une tâche compliquée car c’est un écosystème très dynamique. Il semble plus important que nous adoptions des réflexes avant d’utiliser un nouveau service et comprendre comment il marche pour savoir si l’on veut l’utiliser. Il faut toujours se poser la question du business model, comment gagne t-il de l’argent ?. Encore une fois si c’est gratuit on est certainement le produit, mais ce n’est pas forcément le cas. Certains modèles freemium offrent un accès gratuit à leur service et cela peut être vu comme un coût d’acquisition pour amener des clients vers les plans payants.

Pour illustrer cette complexité on peut par exemple citer AdBlock qui bloque les publicités, mais dont le système de rémunération est de faire payer les marques pour figurer dans une « liste blanche » et pouvoir ainsi passer entre les mailles du filet.

C’est dans le cadre de cette démarche, et en opposition aux sociétés qui essayent de casser les silos de données (tear down silos) pour en faciliter la monétisation, que nous avons démarré l’initiative #silotech. Ils cassent les silos, nous voulons en recréer dans certains cas. Le terme « Silotech» est une contraction de « Siloed» et de « technology ». Cette démarche vise à fournir des services intégrant le respect de la vie privée dès la conception, en ayant un modèle d’affaire sain et respectueux.

Avec Facetts nous travaillons à créer une meilleure expérience en ligne, en commençant par le monde du mobile (où les moyens de défense sont plus faibles), et pour les communautés afin de redonner le choix aux utilisateurs de discuter de sujets privés en se soustrayant à toute surveillance commerciale.

Recevez nos meilleurs articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *