Attaque. Parade. Contre-attaque. Nouvelle parade. Nouvelle feinte… Sur le Web, le jeu de cache-cache technologique est permanent. Dernier avatar en date, le traçage des internautes à des fins publicitaires ou de profilage.
Naïvement sans doute, on pensait ce problème réglé par le règlement général sur la protection des données et sa partie la plus visible, la bannière de consentement, grâce à laquelle on peut refuser certains cookies, ces fichiers stockés sur l’ordinateur ou le téléphone, et souvent propres à un utilisateur, qui permettent justement de savoir quels sites ont été visités.
Deux articles de recherche corrigent sérieusement cette naïveté. Près de 4 % des sites Web les plus fréquentés arrivent à recréer des cookies, que l’on pensait pourtant avoir effacés. Plus de 60 % de sites « santé » identifient le visiteur avant même de proposer la fameuse bannière de consentement. Et 15 % continuent à le pister, même s’il l’a refusé !
« Tout est surprenant et embêtant dans ce que nous avons découvert », résume Arnaud Legout, chercheur au centre Inria de l’université Côte d’Azur, collaborateur de Nataliia Bielova, chercheuse à l’Inria au moment de ces travaux et détachée jusqu’en septembre comme experte en protection de la vie privée à la Commission nationale de l’informatique et des libertés (CNIL). En juillet, ces deux scientifiques exposeront, lors d’une conférence en Australie, leur travail sur la « recréation de cookies ». Et en mars, ils ont mis à jour leur travail présenté en novembre 2021, sur des techniques de traçage qui passent sous les radars et qu’ils ont repérées sur des sites de spécialistes médicaux (médecins, hôpitaux ou plateformes de prise de rendez-vous).
Les propriétaires et les tiers
Ces deux études tournent autour des cookies. Certains de ces fichiers stockés sont dits « propriétaires » et utiles au site visité. D’autres, dits « tiers », sont déposés par des services présents sur le site visité, comme des boutons de partage sur les réseaux sociaux, des moteurs de recherche ou des services de distribution automatique de publicité. Ils permettent de suivre la navigation d’un internaute et sont désormais réglementés.
La première étude montre comment régénérer un cookie tiers ou en tout cas « identifiant ». La seconde explique comment un cookie peut être synchronisé entre plusieurs sites, parfois sans que le site propriétaire en soit informé, transformant même un cookie propriétaire en un cookie tiers. « On montre qu’il existe des techniques méconnues pour faire du traçage, mais bien sûr on ne peut pas montrer si elles servent effectivement dans ce but », précise Arnaud Legout.
Il vous reste 65.37% de cet article à lire. La suite est réservée aux abonnés.
