Publicité ciblée : les cookies, c'est dépassé

Anthony Nelzin-Santos |
On le sait : la publicité ciblée fait un grand usage des cookies pour tracer l'historique de navigation de l'utilisateur et lui fournir des annonces toujours plus en rapport avec ses préférences personnelles (lire : « Don't be evil » : le système publicitaire Google à l'épreuve des réseaux sociaux). Jacqui Cheng d'Ars Technica survole une méthode encore plus retorse pour le faire : l'utilisation des bases de données locales dans les navigateurs récents.

Les équipes du projet WebKit utilisent depuis trois ans la spécification Web SQL : comme son nom l'indique, cette spécification proche de SQLite est un format de base de données permettant de stocker des données côté client. Dit plus simplement, c'est ce qui permet à certaines webapps de fonctionner même en l'absence de connexion Internet active, en utilisant les données stockées chez l'utilisateur. Web SQL est utilisé par Safari (Mac, PC et iOS), Chrome et Opera. Internet Explorer 8 et 9 utilisent un système similaire, Web Storage, proposé au W3C.

Le problème est l'utilisation de cet espace de stockage à des fins de ciblage publicitaire. Une régie comme Ringleader Digital utilise par exemple un Ring Leader Digital Globally Unique ID (RLDGUID) pour identifier un téléphone mobile et stocke des « informations ne permettant pas d'identifier un individu » dans une base Web SQL : « navigateur, informations de session, type d'appareil, opérateur, adresses IP, ID de l'appareil, ID de l'opérateur » et… « sites visités ».

Comme il est possible de désactiver (ou au moins de filtrer) les cookies, il est possible de désactiver l'utilisation de Web SQL dans Safari sur Mac (Préférences > Taille de la base de données > Aucun). Mais ce n'est pas possible sur iOS (ou l'utilisation de webapps et la nécessité de mettre des données en cache est plus fréquente et critique). On peut néanmoins effacer les bases de données RLDGUID, mais dès que l'on visite à nouveau un site utilisant les publicités de Ringleader, de nouvelles bases apparaissent.

Pire encore : il semble que le RLDGUID soit stocké à l'extérieur du téléphone — même si on a effacé toutes les bases, les éventuelles nouvelles bases contiendront le même ID de téléphone, et toutes les connaissances emmagasinées par Ringleader seront à nouveau utilisées pour le ciblage. Même si on demande à Ringleader d'être exclu du ciblage (sur une page d'opt-out), il suffit de mettre à jour son navigateur pour la collecte recommence — et oui, le RLDGUID revient à la charge. Tant que le navigateur n'est pas mis à jour, Ringleader désactive tout ciblage, servant de la pub en rapport avec le contenu, mais pas avec les goûts de l'utilisateur. Mais il y a une condition supplémentaire à ce que cette désactivation reste effective : il faut conserver les bases RLDGUID déjà installées, ce qui permet à tout moment la reprise de la collecte et la récupération de l'identifiant. Il y avait les cookies zombies, voici venir les bases de données zombies.

skitched

Ringleader a expliqué à Ars préférer l'utilisation du stockage local aux cookies « parce que certains appareils suppriment les cookies, ou les navigateurs les gèrent mal, ou d'autres appareils désactivent pas défaut les cookies ». Bref, pour s'assurer que l'utilisateur est bel et bien suivi et que Ringleader lui fournir les meilleures publicités possibles, le stockage Web SQL est préféré. D'autres sociétés avaient fait ce choix : Quattro Wireless, depuis rachetée par Apple pour former iAd, utilisait QWAPI, un système très similaire.

La pratique de Ringleader n'est pas beaucoup plus invasive que ne l'est la pratique déjà ancienne de suivi des cookies : elle a cependant un aspect plus systématique qui peut inquiéter. On l'a déjà dit à propos de Google : si le géant de l'Internet se décidait un jour à intégrer ses services les uns aux autres, il aurait la capacité de suivre de la manière la plus efficace du marché les traces d'un internaute, et de lui fournir des publicités ciblées à l'extrême. C'est donc à l'utilisateur de placer le curseur : soit il considère qu'il préfère recevoir de la publicité ciblée et donc pertinente plutôt que le tout-venant ; soit il considère que le suivi systématisé de son historique de navigation par le rapprochement de données éparses est une violation de sa vie privée, et il peut alors mettre en place des mécanismes pour l'empêcher. Tant qu'il le pourra.

avatar Nihondjin | 
Le combat continue !
avatar marc_os | 
Je me demandais bien ce qu'était ce réglage de taille de base de données dans Safari. Avec les coockies, on a quand même d'autres options que le tout ou rien. :( Well, big brother is watching you ! Officiellement c'est pour de la pub ciblée. Mais est-ce tout ?
avatar pseudo714 | 
On nous dit qu'on a le choix, qu'on peut supprimer les cookies mais ils mettent en place d'autres moyens plus tordus de nous pister. En gros on nous rassure pour mieux nous pister. Il y a aussi des cookies flash. Merci quand même pour l'article, même si le combat pour ne pas être suivi sur internet semble bien perdu.
avatar Anonyme (non vérifié) | 
La pub c'est le cancer de notre société.
avatar Anonyme (non vérifié) | 
--- et les métastases évoluent de plus en plus...
avatar BioSS | 
Au contraire, moi je suis bien content d'avoir de la pub qui me concerne et pas pour les escaliers Stanha, un dentier fixodent ou des prothèses auditives.
avatar bompi | 
Action / réaction : c'est logique. Pour l'instant les technos anti-pubs marchent plutôt pas mal. Ce qui ne veut pas dire que l'on n'est pas tracé : au moins est-il possible de ne pas être phagocyté par les publicités. Ça va se compliquer avec des engins comme l'iPad, par exemple si l'on a des publicités lardant les livres qu'on lit avec lui. D'une manière générale, avec iOS on peut s'attendre à des désagréments en terme de publicité et de vie privée.
avatar SimR69 | 
Le local storage ne change rien au problème par rapport aux cookies. Il suffit que les navigateurs laissent à l'utilisateur le contrôle sur les données sauvegardées en local, comme ils le proposent avec les cookies. C'est donc à l'iPhone de s'adapter.
avatar MachX | 
J'utilise les DNS Google. Ça fonctionne bien mieux qu'avec ceux d'Orange. Mais depuis je n'arrête pas de recevoir des mails et des mails de pub à n'en plus finir
avatar YannK | 
"J'utilise les DNS Google. Ça fonctionne bien mieux qu'avec ceux d'Orange. Mais depuis je n'arrête pas de recevoir des mails et des mails de pub à n'en plus finir" En même temps… faut pas venir s'étonner quand on passe outre le paradoxe de la chose… Des DNS open fournis par une boîte qui fait son beurre sur la pub… Mouais. A ce moment là, faut pas venir pleurer après…
avatar rva1mac | 
Moi, la pub ne me dérange pas tant qu'elle n'est pas trop invasive ni trop répétitive. Par contre, je déteste la pub sous cette forme. Surtout que je doute fortement sur l'efficacité de la publicité ciblée de cette façon. Je n'utilise principalement qu'un navigateur avec lequel on peut désactiver et gérer au mieux tous ces espions qui prennent de la place disque et surtout qui alourdissent le navigateur pour rien. En même temps, j'ai l'impression que depuis que Apple s'intéresse à la pub. On en entend parler de plus en plus sur les sites Mac. Préparerait-on le terrain mine de rien ?
avatar lecoeur | 
Une base de données pour la pub derrière les navigateurs internet ? C'est dire la quantité de messages dont on nous gave de force. Rien que prendre le métro le matin, j'emmagasine plus de messages (inutiles) que pendant toute ma journée de travail (réunions, courriels et conversations incluses). Une espèce de "pollution informationnelle" qui nous sature et nous détourne de l'essentiel. Un désaisissement de soi. Une prison de sons et d'images.
avatar sambucus | 
En Europe et en Suisse, la question est d'actualité. Si je ne me trompe, La Cour européenne des droits de l'homme (CEDH) a statué que les adresses IP, tout comme les N° de téléphone, les adresses électroniques ou postales relèvent du domaine privé, puisque servant à identifier une personne. Par conséquent, chacun doit avoir le droit de pouvoir refuser certaines choses telles que la publicité non sollicitée. Je ne sais pas pour vous, mais je refuse que ma boîte aux lettres en soit remplie. Non seulement je ne la lis pas, mais je dois porter des kilos de papiers à la déchetterie. Et je ne vous parle pas de la charge environnementale. Il faut passablement d'énergie électrique pour envoyer de la pub sur internet et il en faut tout autant pour la recevoir, la lire ou s'en débarrasser. En somme, ce que l'on propose de nous imposer apparaît un équivalent du pourriel. Est-ce cela que nous voulons ?
avatar Timekeeper | 
Est-ce que désactiver la base de données dans Safari peut entrainer des soucis d'utilisation sur certains sites ? En d'autres termes, est-ce que cette base de données sert à autre chose qu'aux publicités ?

CONNEXION UTILISATEUR