#Pistage - épisode 1 : à la découverte des cookies

vie privée 21 juil. 2020

Aujourd’hui commence une (courte ?) série d’articles concernant le pistage en ligne, la publicité, les cookies… L’objectif est double : permettre à « M./Mme Tout-le-monde » de découvrir cet écosystème, et (mais plus tard) de se doter d’un premier kit d’outils pour limiter ce suivi. C’est parti pour le premier volet.

Pourquoi ce sujet, pourquoi maintenant ?

Pas compliqué : le confinement qui se « termine » aura vu le télétravail exploser, mélangeant souvent les usages pro et perso sur une même machine. Avec aussi plus de temps à la maison, plus de navigation personnelle souvent sur smartphone, plus d’utilisation d’applications, du média social au site d’information en passant par le streaming vidéo et la visioconférence.

Certain(e)s ont donc remarqué que de façon surprenante (non) les recommandations publicitaires apparaissant sur smartphone ou dans un navigateur s’étaient affinées, et se posent la question du pourquoi. On va tenter d’y répondre, sans rentrer dans une idéologie qui pourrait effrayer, sans présumer d’un niveau de connaissance élevé du lecteur qui s’en trouverait largué dès les premières lignes, comme c’est trop souvent le cas sur ces sujets. Allons-y.

Parce qu’on « essaime » des données même sans le savoir

Lorsqu’on utilise un service en ligne quel qu’il soit, on émet plus ou moins volontairement des données, personnelles ou non, qu’on peut classer dans 3 grandes familles :

  • Celles qui sont nécessaires à l’utilisation du service : si je m’inscris à Twitter, je dois fournir une adresse mail valide, par exemple. C’est un pré-requis et sans ça je ne peux pas l’utiliser. De la même façon, si je veux créer un compte Améli (Sécurité Sociale), je dois lier le compte à mon numéro de sécu.
  • Celles que le service collecte pour ses propres usages, quels qu’ils soient. GMail « lit » vos courriels pour mieux cibler la publicité, Facebook analyse votre activité pour proposer du contenu allant dans le sens de vos centres d’intérêt et convictions, ce blog compte grossièrement le nombre de visiteurs. Utile ou non, la collecte a lieu, et vous n’êtes pas toujours au courant.
  • Celles que le service collecte pour d’autres, très souvent sans vous prévenir formellement : un jeu sur smartphone qui analyse vos usages pour alimenter votre profil chez une régie publicitaire, votre application bancaire aussi, VeePee ou Showroom qui font la même…

Ces données en révèlent pourtant beaucoup sur votre comportement, sur vos orientations (politique, sexuelles, religieuses…) ou sur votre santé. De façon très générale, sur vos habitudes quotidiennes.

Crédits photo : Glen Carrie sur Unsplash

Mais comment font-ils ?

Historiquement (j’emploie ce terme non pas pour dire que la pratique n’existe plus, mais parce qu’elle a évolué tout en restant la première et principale mise en œuvre), le meilleur moyen « connecté » d’avoir ce genre d’informations, c’était via votre navigateur internet (Internet Explorer, Safari, Chrome, Firefox…) et le mécanisme des cookies. Vous savez, ce petit fichier déposé sur votre ordinateur par presque tous les sites visités, et grâce auxquels depuis 2013 on a un bandeau plus ou moins pénible un peu partout qu’on s’empresse d’accepter, sans lire le pourquoi du comment… Bandeau qui, en théorie du moins, « retient » les cookies superflus dans l’attente d’un choix de votre part. Un bandeau utile, donc.

Un cookie, c’est un petit fichier texte. Il ne contient pas grand-chose, souvent simplement un identifiant. Si ce cookie est déposé par, mettons, Ouest-France pour son propre site, il n’y a pas réellement de problème : c’est probablement pour gérer votre compte en ligne, ou proposer des contenus plus adaptés, même si on peut légitimement vouloir refuser cela.

Ici, les cookies déposés en arrivant sur YouTube. A gauche, leur nom, à droite, ce qu’ils contiennent.

Par contre, un site qui intégrerait des boutons de partage/like tiers dans un article, permettrait à ce tiers de déposer un cookie lié à votre « vrai » compte, si vous vous êtes connecté ne serait-ce qu’une fois dans votre navigateur. Et donc de vous « suivre » sur chaque site autorisant le cookie en question. C’est notamment le cas de Facebook.

Le fonctionnement est le même pour les régies de publicité : c’est pour cela que si vous cherchez des chaussures sympa sur Sarenza, 10min plus tard sur Doctissimo il y aura un encart avec le même type de chaussures. On y reviendra dans un article dédié.

Cette pratique, intrusive, tend à évoluer : d’une part parce que les grosses régies et annonceurs se sont regroupés (et sont en mesure d’imposer leurs choix à de nombreux sites dépendant du revenu publicitaire pour vivre), et d’autre part parce qu’en réponse, des navigateurs comme Firefox ou Brave ont intégré un bloqueur de publicités et de pisteurs (dont les cookies de tiers).

Les réglages de Firefox. Le navigateur permet de bloquer les pisteurs, dont les cookies.

Alors, comment remplacer ces cookies, tout en évitant que l’utilisateur ou un tiers ne vienne les bloquer ?

En passant par nos smartphones, pardi !

Bon, en vrai c’est pas si simple, et il y a plein de façons de suivre un internaute sans cookies. Sauf que de plus en plus, on accède au contenu via une application mobile plutôt que par un site « classique ». Les régies ont logiquement suivi la masse et ont infiltré les applications de façon bien plus intrusive, et c’est pour ça qu’on va en parler.

Et finalement, en installant une application comme Doctolib ou Clash of Clans, que savons-nous réellement du fonctionnement de l’application ? Pas grand-chose. Que fait-elle de façon « invisible », peut-être même en arrière-plan ou pendant votre sommeil ?

C’est la question que s’est posée l’association Exodus-Privacy en 2017. Elle a développé un outil d’analyse des applications Android, qui s’appelle εxodus et qui a vocation à permettre à « M. et Mme Tout-le-monde » de comprendre en un coup d’œil ce que fait probablement telle ou telle appli et éventuellement d’exercer les droits que confère le RGPD (ou de vérifier que celui-ci est respecté, à savoir que ces pisteurs ne sont pas activés de base).

Un pisteur, c’est quoi ? La réponse en 3 minutes sur cette vidéo :

Prenons quelques applications au hasard parmi celles « du quotidien » :

  • 20 minutes (presse) : 16 pisteurs
  • TikTok (média social, très utilisé des enfants et ados) : 7 pisteurs
  • Clash Royale (jeu en ligne) : 12 pisteurs
  • Discord (messagerie instantanée, utilisé durant le confinement par certains établissements scolaires malgré une interdiction émise par le Ministère et différents rectorats) : 5 pisteurs
  • Pinterest (média social) : 10 pisteurs
  • Boursorama Banque (banque) : 5 pisteurs
  • Fitbit (fitness/santé) : 12 pisteurs

Dès lors, si un pisteur est commun à toutes ces applications, le tiers (l’annonceur, la régie…) peut faire directement le lien entre un compte Pinterest et un compte Facebook par exemple, permettant à Facebook d’afficher de la publicité en lien avec ce que vous avez recherché sur Pinterest alors que ces 2 applis ne communiquent normalement pas entre elles. En cause : l’identifiant publicitaire unique du téléphone, notamment.

L’intérêt pour l’éditeur (la « marque » qui produit l’appli, Fitbit sur la capture ci-dessus) n’est pas forcément d’afficher de la publicité (même si ça rapporte) mais aussi et surtout d’enrichir le profil vous concernant auprès de la régie pub, qui paie pour ça. Mieux une publicité est ciblée, plus la probabilité que vous alliez jusqu’à un achat est grande.

Pour tester vos applications, c’est ici : https://reports.exodus-privacy.eu.org/fr/

Privilégiez donc les applications sans pisteurs, si possible. Si non, passez de préférence par le site web « classique », idéalement avec une extension comme uBlock Origin ou AdNauseam pour bloquer publicité et pisteurs. Évitez également AdBlock Plus, connu pour ne pas filtrer les régies publicitaires qui lui donnent de l’argent. On reviendra sur les outils plus tard dans la série.

Pour les utilisateurs d’Android à la maison, vous pouvez regarder du côté de F-Droid, un « store » d’applications gratuites, libres, et sans aucun pisteur.

Quant à la publicité ciblée, ne vous faites pas trop de soucis, elle a malgré tout encore de beaux jours devant elle, notamment parce qu’elle devrait débarquer dans nos décodeurs TV à l’automne.

A bientôt pour la suite ! Spoiler : ce sera sur ce que votre fournisseur d’accès à Internet sait de votre navigation (peut-être pour cibler la publicité dont je parle juste au-dessus, allez savoir). Spoiler bis : si vous voyez le Linky comme une atteinte grave à votre vie privée, commencez par résilier votre accès à Internet.

Et pour patienter, venez découvrir mon métier 🙂

Mots clés

Maxime

Recommandé pour vous