Journal Google (et autres regies publicitaires) se moquent de vos préférences.

Posté par . Licence CC by-sa
23
17
fév.
2012

D'après des recherches du Wall Street Journal et du chercheur de Stanford Jonathan Mayer, Google et d'autres régies publicitaires (Vibrant Media, Media Innovation Group et Gannett PointRoll), contournent les réglages sur les cookies de Safari pour pouvoir placer des cookies non voulus.

En effet par défaut Safari bloque les cookies des sites tiers et des publicitaires, et pour contourner cette restriction, Google ajoute une iframe dans ses publicités, qui lance la soumission d'un formulaire invisible pour l'utilisateur. De cette façon le cookie peut être crée. Si la personne est logué avec son compte Google, ce cookie contient des informations encodés, sinon le cookie est quand même crée, mais sans données.
Le WJS a publié une infographie sur cette technique.

Google à déjà répondu que le Wall Street Journal se trompait sur l’intérêt de ce cookie. C'est une "fonction connue de Safari pour fournir des fonctionnalités aux utilisateurs de Google connectés. Il est important de souligner que ces cookies publicitaires ne recueillent pas de informations personnelles." (La citation exacte :"mischaracterizes what happened and why. We used known Safari functionality to provide features that signed-in Google users had enabled. It's important to stress that these advertising cookies do not collect personal information.").

Les autres régies publicitaires ont une justification plus ...disons... étrange; c'est un contournement pour que Safari se comporte comme les autres navigateurs, qui eux ne bloquent pas par défaut les cookies tiers.

Je suppose c'est pour cela que seul Safari était visé, mais cette technique peut très bien marcher avec les autres navigateurs.

Une fois de plus cela montre tout l’intérêt de NoScript ou autres extensions pour contrôler le Javascript.

Un article intéressant et complet sur AppleInsider.
Un article sur le site de l'EFF.

  • # extension

    Posté par . Évalué à 10.

    J'utilise noscript pour attraper se genre de comportement. Ghostery est plus fin pour enlever les techniques connu mais ne peut pas anticiper les nouveautés. La combinaison des 2 est donc utile. De plus, ghostery est publié par une société qui pourrait être tenter de tracer ses utilisateurs.

    request-policy permet de filtrer les requêtes entre site, et permet d'attraper tout ce qui n'est pas relatif au site web. Souvent, les sites web utilisent un autre site pour leur contenu static mais c'est assez facile à mettre en place d'un clic droit.

    Betterprivacy efface les cookies flash en sortie de firefox, un peu comme Ghostery.

    https-everywhere évite le profilage surtout en entreprise (par exemple en récupérant vos recherches google).

    On peut aussi effacer les cookies tier à la sortie du navigateur (configuration firefox).

    Il reste quand même un gros nombre de technique pour pister les internautes. Je me rappelle d'une lib "forevercookies" qui utilise une vingtaine de technique différente jouant sur des caches d'image, des url déjà visité. Mais il reste toujours l'empreinte du navigateur qui reste une "clef" assez précise (version du navigateur+version de l'os+ fonts du système présent + réglage de préférence + ip).

    Je ne sais pas si la navigation "privé" permet d'éviter complètement d'inscrire un marquage sur le pc, mais cela doit limiter le problème (pas de pré-remplissage de formulaire ou de site déjà visité entre session).

    "La première sécurité est la liberté"

    • [^] # Re: extension

      Posté par . Évalué à 3.

      Mais il reste toujours l'empreinte du navigateur qui reste une "clef" assez précise (version du navigateur+version de l'os+ fonts du système présent + réglage de préférence + ip).

      Je ne sais pas si la navigation "privé" permet d'éviter complètement d'inscrire un marquage sur le pc, mais cela doit limiter le problème (pas de pré-remplissage de formulaire ou de site déjà visité entre session).

      Si ton ip est statique, ça ne leur suffit pas?

      • [^] # Re: extension

        Posté par . Évalué à 2.

        bloquer le javascript par défaut, utiliser "No-script" ? "No-merci" pour moi.

        Il est tellement plus simple de bloquer les cookies par défaut et avoir une whitelist de domaines.

        • [^] # Re: extension

          Posté par . Évalué à 2.

          whiteliste de domaine ? C'est exactement ce que fais No-scrit. Qu'est-ce que tu veux de plus ?

          "La première sécurité est la liberté"

          • [^] # Re: extension

            Posté par . Évalué à 3.

            noscript ne bloque pas les cookies mais les éléments non HTML.
            cookiesafelite bloque les cookies avec une whitelist.

            • [^] # Re: extension

              Posté par . Évalué à 2.

              "noscript ne bloque pas les cookies mais les éléments non HTML."

              En général, les problèmes viennent des cookies "tier" : les régies publicitaires, facebook, googlead, etc...

              Coté gestion des cookies pures, Firefox les gère déjà nativement.

              "La première sécurité est la liberté"

          • [^] # Re: extension

            Posté par . Évalué à 3. Dernière modification le 17/02/12 à 18:26.

            whiteliste de domaine ? C'est exactement ce que fais No-script. Qu'est-ce que tu veux de plus ?

            C'est plus facile de comprendre quand on a déjà développé un site ou tout autre appli légère. Javascript est utilisé pour :

            • ajax
            • retaper le rendu car chaque navigateur à sa façon de faire bien à lui
            • étendre les fonctionnalités (animation...)
            • ...

            Il est devenu maintenant indispensable pour surfer alors que le cookie ne l'est pas. Si à chaque fois que je visite un site (donc sans savoir à l'avance ce que je vais trouver) je dois autoriser javascript, j'ai pas fini. Alors que le cookie, je whitelist le domaine uniquement si j'ai besoin de m'authentifier ou conserver mes préférences.

            • [^] # Re: extension

              Posté par (page perso) . Évalué à 3.

              retaper le rendu car chaque navigateur à sa façon de faire bien à lui

              Quand je pensais encore que le Web était une bonne plateforme, il y a 5 ans, je faisais un truc : je suivais la norme.

              Il est devenu maintenant indispensable pour surfer alors que le cookie ne l'est pas.

              Tu visites des sites bizarres. J’ai plus souvent des messages m’invitant à me faire tracer (« veuillez activer les cookies ») que des messages m’invitant à activer le Javascript. Pourtant, je n’active les cookies et le Javascript que sur les sites en lesquels j’ai confiance.

  • # plein le c*l

    Posté par (page perso) . Évalué à 10.

    Plus ça va et plus ça me gonfle de devoir bloquer la moitié du web pour pouvoir surfer normalement. Ici on parle de l'aspect vie privée, mais il y a aussi simplement le confort de navigation. Ne pas se faire bruler la rétine à chaque clic de sourie, accéder directement à l'information ...

    Je pensais que les bloqueurs de popup avaient suffit à calmer le jeu en montrant que massivement les internautes ne voulaient pas qu'on envahisse leurs écrans de merdes en tout genre. Je pensais que les designers avaient retenu la leçon du succès de google et de sa page simple et claire (à l’époque). Mais visiblement ce n'est pas le cas. J'ai l'impression que sous prétexte d'ihm on fait un retour massif vers le web des années 2000 que ce soit dans ses gifs animés et ses applet java, que dans ses popups pour dl dial_setup.exe

    Finalement entre espionnage et interface bling-bling on en vient presque à regretter gopher : de l'information et des liens

    • [^] # Re: plein le c*l

      Posté par (page perso) . Évalué à 10.

      Sans parler des ralentissements créés par ces bidules. J'ai remarqué que la majorités des pages qui mettaient du temps à s'afficher le faisaient parce qu'elles attendaient les bidules facebook. Depuis que j'ai bloqué facebook, c'est beaucoup plus rapide.

      • [^] # Re: plein le c*l

        Posté par (page perso) . Évalué à 2. Dernière modification le 17/02/12 à 14:23.

        qu'elles attendaient les bidules facebook.

        Le pire c'est que bien souvent tu t'en es déjà payé autant côté serveur.

  • # Quel est le problème ?

    Posté par (page perso) . Évalué à 1.

    Je veux dire, le propriétaire du site que vous visitez a choisi google pour afficher des pubs. Ils pourraient utiliser une API côté serveur mais ils ont aujourd'hui choisi que c'était plus simple de le faire en JS (tant mieux pour nous, ça se bloque plus facilement).

    Pour mettre des pubs un peu bien pertinentes plus rentables (pas toujours les mêmes, cibler en fonction de ce que j'aime, etc.), du point de vue de l'hébergeur, google a besoin d'un cookie.

    "Tous" les navigateurs acceptent ça de base, et Safari, pour éviter des fuites de données d'un site vers l'autre, dit que les cookies se créent pas d'un domaine sur l'autre (donc seulement dans des (i)frames).

    Google utilise cette astuce : en quoi est-ce mal ?

    Vous voulez pas de pub ? changez de sites visités utilisez Adblock.
    Vous voulez que google ignore tout de vous ? changez de sites visités utilisez Adblock.

    Je ne comprends pas qu'on reproche à Google de donner tenter de donner un cookie à des visiteurs de ses clients...

    • [^] # Re: Quel est le problème ?

      Posté par . Évalué à 5.

      Je ne reproche pas aux site d'afficher des pubs, ni même d'utiliser du javascript pour cela, ni même que Google place un cookie.

      Je reproche à Google, et aux autres régies utilisant ce système, d'outrepasser mon choix (ou celui fait par défaut par mon navigateur) de ne pas avoir de cookie tiers. Je ne veux pas de cookie tiers, mais ils font croire à mon navigateur que j'en ai voulu un.

      Et ce n'est pas parce qu’on peut bloquer ces pratiques qu'elles sont excusables.

      • [^] # Re: Quel est le problème ?

        Posté par (page perso) . Évalué à 5.

        Je reproche à Google, et aux autres régies utilisant ce système, d'outrepasser mon choix (ou celui fait par défaut par mon navigateur) de ne pas avoir de cookie tiers. Je ne veux pas de cookie tiers, mais ils font croire à mon navigateur que j'en ai voulu un.

        Dans ce cas il faut peut-être reprocher aux navigateurs de te proposer un choix (ne pas vouloir de cookie tiers) alors qu'ils ne sont pas capable de le faire.
        Car c'est bien là finalement le problème. L'iframe étant une solution pour placer des cookies tiers, le choix de bloquer les cookies tiers devrait s'y appliquer aussi (par rapport au parent de l'iframe).

        • [^] # Re: Quel est le problème ?

          Posté par . Évalué à 6.

          Mouais, enfin si je met une porte à mon domicile c'est pour afficher que je ne veux pas que tout le monde rentre chez moi. Si quelqu'un arrive a rentrer parce que je n'ai pas mis une porte blindée, le responsable, c'est quand même celui qui a tout fait pour rentrer non ?

          • [^] # Re: Quel est le problème ?

            Posté par (page perso) . Évalué à 3.

            Non, il y a là une grosse différence.
            Là où tu dis que tu ne veux pas de cookies tiers, c'est au niveau de ton navigateur. Mais c'est pas une information qui est communiquée aux sites (ou plutôt de manière incomplète).
            Surtout que là, tu fais passer les sites pour quelqu'un qui réalise une effraction. Mais c'est pas le cas du tout.
            Surtout qu'il faut bien comprendre un point : en visitant un site, qui lui va afficher une pub, au final tu as visité les adresses de la pub. Donc c'est une communication initiée par ton navigateur (même si non souhaitée par toi). La pub ne rentre pas toute seule sur ton navigateur, en quelque sorte tu lui as dit de venir. Après, on te fais croire qu'il y a une option qui permet de dire "rentres si tu veux mais laisse tes chaussures à l'entrée" ... sauf que cette option ne couvre pas tous les cas.
            Rien ne dit que le cookie posé par une iframe ne devrait pas être là. Donc il arrive.

            • [^] # Re: Quel est le problème ?

              Posté par . Évalué à 5.

              Je considère que la seule question à se poser est : «la volonté de la régie publicitaire a-t-elle été de contourner la volonté de l'utilisateur ?» et il me semble que oui (mais je suis ouvert à la discussion sur leur bonne foi).

              On peut regretter que le navigateur ne soit pas parfait et ne fasse pas tout exactement comme on s'y attend, mais ce n'est pas une raison pour justifier l'utilisation des "trous" des applications... sinon, on peut justifier l'utilisation de n'importe quelle faille (ah non monsieur le juge, le serveur s'est planté tout seul, ce n'est pas de ma faute s'il a mal réagi à mes requêtes conçues exprès pour qu'il se plante, c'est lui tout seul qui s'est petit suicidé [y'a un article sur apache killer dans Misc :)]).

              • [^] # Re: Quel est le problème ?

                Posté par (page perso) . Évalué à 1.

                la volonté de la régie publicitaire a-t-elle été de contourner la volonté de l'utilisateur ?

                Pour ça, il faudrait déjà que tu puisses dire ta volonté à la régie. Et en effectuant une requête depuis ton ordinateur vers leur serveur pour afficher de la pub, c'est pas vraiment le bon message qui est envoyé...

                une raison pour justifier l'utilisation des "trous" des applications...

                Mais quel trou ?
                Une iframe c'est tout ce qu'il y a de standard. Et poser un cookie aussi.
                C'est juste que tu as eu, l'espace d'un moment, une illusion apportée par une option de paramétrage de ton navigateur.

                • [^] # Re: Quel est le problème ?

                  Posté par . Évalué à 3. Dernière modification le 18/02/12 à 18:29.

                  Même si les navigateurs ont beaucoup de choses à améliorer sur ce point la, dans ce cas cela montre plus un problème de "comportement" et d’éthique de Google et des régies qu'un problème technique.
                  Le navigateur laisse une fausse impression de sécurité, et à l’extrême ils faudrait ne pas initialiser la connexion vers le serveur de pub pour ne pas avoir de cookie; sauf que l'on peut très bien accepter de voir des publicités, sans vouloir être tracé par un cookie.

                  D'ailleurs l'article de l'EFF demande à Google de respecter et d’implémenter dans ces produits Do Not Track, qui la est effectivement une facon claire (et "active") de signaler le refus d’être traqué.

                  Google utilise quand même un formulaire invisible soumis automatiquement pour pouvoir laisser un cookie. Il fait croire à mon navigateur que j'ai moi même voulu ce cookie. La volonté est clairement de mettre un cookie dans un cas refusé par l'utilisateur.

                  C'est le même cas que les "cookies" flash, comme les utilisateurs effacent leurs cookies, on contourne en passant par flash pour stocker l’équivalent d'un cookie, vu que le stockage flash n'était pas effacé en même temps et que les utilisateurs ne connaissait pas cette technique.

    • [^] # Re: Quel est le problème ?

      Posté par . Évalué à 3.

      Et non !

      Si le propriétaire du site passait par une API côté serveur, la régie de publicité ne pourrait pas faire le lien avec d'autres sites visités et pas non plus avec le site par excellence qui est ton compte google si tu en as un et que tu y es logué.

      L'idée là est de te faire charger une url qui contient l'identifiant du site propriétaire mais sur le domaine de google, donc ton navigateur envoi le cookie google qui peut alors faire le lien entre ton identité chez eux et ton passage sur le site en questions.

      Donc ils font ça volontairement car un profile bien riche et bien gras vaut de l'or.

      Dans la même idée, je déteste les sites qui lorsque tu demande un "logout" laisse trainer un petit cookie histoire de pas perdre ta trace. FB pour ne pas le citer.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.