Les témoins et le suivi sur le Web

Mai 2011

Les témoins ordinaires

Un site Web ne vous offre pas seulement de l’information ou des services : votre ordinateur est également susceptible de recevoir un « témoin ». Un témoin désigne un petit fichier transmis d’un site Web à l’ordinateur d’un utilisateur final (vous), bien souvent à l’insu ou sans le consentement de ce dernier. Il sert à stocker des données sur vos interactions avec le site : justificatifs d’identité, préférences, ou toute tâche en cours. Votre navigateur (Internet Explorer ou Firefox, par exemple) stocke automatiquement le fichier témoin sur votre disque dur local. Ce témoin pourra être récupéré plus tard par le site Web.

C’est en 1994 qu’on a vu apparaître les premiers témoins, créés pour permettre la conservation de renseignements entre chacune des visites d’un site. Grâce à eux, vous n’avez plus à ouvrir une session chaque fois que vous visitez le même site. Les témoins servent aussi à enregistrer vos préférences et les tâches en cours (notamment les articles dans un panier d’achat électronique). Tous les grands sites Web actuels, ou presque, se servent des témoins pour une raison ou pour une autre. Ils sont très utiles en ce sens que, sans eux, il n’y aurait aucun historique des sessions Web et vous auriez à saisir vos données maintes et maintes fois.

Les témoins tiers

Les premiers témoins n’étaient communiqués qu’entre le site Web (la « première partie » de la transaction) et l’utilisateur (la « deuxième partie »). Peu après leur apparition, toutefois, on a étendu leur utilisation à des tiers — soit des organisations extérieures à l’interaction, notamment les entreprises de publicité sur le Web.

Si la page Web d’une première partie contient de la publicité, cette publicité et un témoin sont transmis par l’annonceur (tiers) à l’ordinateur de l’utilisateur final (vous). Lors de votre prochaine visite sur ce site, ou sur un autre site où figure de la publicité de cet annonceur, ce dernier pourra récupérer le témoin tiers. Si le témoin comprend un identificateur unique, il sera alors possible de regrouper les données sur vos visites de sites Web.

En outre, les renseignements personnels éventuellement recueillis par l’un des sites (les sites de réseaux sociaux, par exemple) risquent de l’être aussi par les publicitaires. Les agences de publicité sont ainsi en mesure de suivre l’historique des sites que vous visitez, ainsi que d’établir des profils personnels détaillés qui, par la suite, pourront servir à cibler les publicités qui vous seront présentées.

Les témoins tiers sont sources de préoccupations en matière de protection de la vie privée, parce que les transactions types impliquent des tiers inconnus et s’exécutent à votre insu ou sans votre consentement. À moins que vous ne portiez attention à une série de paramètres souvent obscurs de votre navigateur, les témoins sont créés et utilisés sans que vous vous en aperceviez, et les données qu’ils recueillent sont stockées indéfiniment. En outre, le suivi et le profilage par les annonceurs peuvent être effectués à grande échelle; il n’est pas rare, en effet, que votre ordinateur compte des dizaines de témoins tiers.

Les témoins Flash

Les témoins Flash (ou objets locaux partagés) sont créés par le module d’extension mis au point par Adobe pour la lecture de fichiers multimédias Flash par le navigateur. Tout comme les témoins ordinaires, ils servent notamment à conserver, entre les sessions, des renseignements sur la situation de l’utilisateur et ses préférences. On les emploie aussi pour suivre l’historique des sites Web que vous visitez. D’ordinaire, vous ne pourrez pas les repérer. Les options ou les commandes vous permettant de les supprimer ou de circonscrire leur action sont généralement difficiles à trouver, voire inexistantes. On trouve les témoins Flash dans nombre de sites Web, où ils sont utilisés de concert avec les témoins ordinaires. Si l’on supprime ces derniers, les témoins Flash peuvent les recréer.

Les témoins Flash sont sources de nouvelles préoccupations en matière de protection de la vie privée : comme ils sont mieux cachés que les témoins ordinaires, il vous faut prendre un soin particulier pour les supprimer. De surcroît, bon nombre de politiques en matière de protection de la vie privée abordent l’utilisation des témoins ordinaires, mais non celle des témoins Flash, et les moyens de refuser les premiers n’ont souvent aucun effet sur les seconds.

Les supertémoins

On voit aujourd’hui apparaître un troisième type de témoins : les « supertémoins ». Ils enregistrent de l’information à votre sujet dans de nouveaux emplacements intégrés aux navigateurs, par exemple le stockage « userData » dans Internet Explorer et le stockage « DOM » dans Firefox. La spécification HTML5, en cours de préparation, prévoit que le stockage Web peut se limiter à la session de navigation ou être conservé indéfiniment (jusqu’à sa suppression). Comme les mécanismes de stockage des supertémoins sont plus étendus et plus adaptables que ceux des témoins ordinaires, ils sont en mesure de mémoriser davantage de données. En outre, vous n’avez souvent aucune idée de leur présence, comme c’est le cas pour les témoins ordinaires et les témoins Flash. Enfin, vous disposez rarement des outils permettant de choisir les données à stocker.

Le suivi sans témoins

Il est possible de suivre les habitudes de navigation d’une personne sans l’aide de témoins, notamment par les pixels espions. Il s’agit de petits fichiers images invisibles placés dans une page Web ou dans un courriel. À l’ouverture de la page ou du courriel, l’image est téléchargée d’un serveur en mesure de tenir des registres détaillés sur votre emplacement, votre adresse Internet, la page ou le message lu, la date et l’heure de consultation.

Lorsque des gens surfent sur le Web, leur navigateur peut révéler une mine de renseignements. Il est en effet susceptible d’être interrogé au sujet de ses caractéristiques, notamment le numéro de version, la taille des fenêtres, les paramètres, les modules d’extension installés et les personnalisations. Cette combinaison de renseignements, ou « l’empreinte de l’appareil », est très caractéristique : selon une expérience menée par l’Electronic Frontier Foundation, on ne retrouve pas une même combinaison plus d’une fois parmi un million de personnes.

Les outils de protection de la vie privée sur le Web

Protéger sa vie privée tout en naviguant sur le Web n’est malheureusement pas une mince affaire. Les navigateurs Web offrent certains outils de stockage et de suppression des témoins, mais ils les mémorisent tous par défaut pour une durée indéterminée, sans compter que ceux-ci sont souvent difficiles d’accès et d’utilisation. Il est certes possible de configurer les navigateurs pour que ceux-ci bloquent les témoins, mais cette manœuvre vous empêchera d’utiliser une multitude de sites Web qui ont besoin de ces témoins pour fonctionner. Même le blocage des témoins tiers risque de nuire au bon fonctionnement de certains services. Dans ce contexte, les utilisateurs doivent assumer eux-mêmes la tâche fastidieuse qui consiste à autoriser certains témoins et à en refuser d’autres. Enfin, si vous configurez votre navigateur pour que soient supprimés les témoins en mémoire, seuls les témoins ordinaires seront touchés, contrairement aux supertémoins et aux témoins Flash.

Certains navigateurs comportent depuis peu un « mode de navigation privée » visant à protéger vos renseignements personnels. Dans Firefox, par exemple, les témoins ordinaires sont supprimés au terme d’une session de navigation privée. Seulement, les supertémoins et les témoins Flash ne sont pas toujours touchés par ce mode. Ils demeurent par conséquent en mémoire au terme de la session. Pour vous débarrasser de toutes formes de témoins et de stockage Web, il vous faut généralement installer et utiliser des modules d’extension spéciaux. Parmi les plus populaires pour Firefox, on retrouve BetterPrivacy, NoScript et Targeted Advertising Cookie Opt-Out (TACO).

Conclusion

Les témoins constituent des outils redoutables fournissant au Web une mémoire pouvant rehausser l’expérience des utilisateurs. Par contre, ils constituent également une source de préoccupations en matière de protection de la vie privée : souvent utilisés à votre insu ou sans votre consentement, ils peuvent favoriser le suivi de vos habitudes de navigation et établir des profils détaillés de votre personne.

Pour protéger votre vie privée sur le Web, il vous faut apprendre les commandes de votre navigateur qui limitent l’action des témoins. En outre, vous auriez intérêt à étudier certains outils spécialisés capables de s’attaquer à tous les types de témoins. Toutefois, même si vous vous armez contre ces derniers, il existe à l’heure actuelle peu de moyens de vous prémunir contre les méthodes de suivi qui n’y ont pas recours.

Le Commissariat à la protection de la vie privée du Canada se penche présentement sur la question. Il a fait état de ses préoccupations en matière de suivi dans son rapport sur les consultations de 2010 sur le suivi, le profilage et le ciblage en ligne, et l’infonuagique. Il continuera de faire part au besoin de ses inquiétudes à l’industrie.

Lectures complémentaires (en anglais)

ECKERSLEY, P. Browser versions carry 10.5 bits of identifying information on average (en ligne en anglais seulement), 2010.

KRISHNAMURTHY, B., et WILLS, C.E. « On the leakage of personally identifiable information via online social networks », dans ACM SIGCOMM Computer Communication Review (en ligne en anglais seulement), 2010, vol. 40, no 1, p. 112-117.

McKINLEY, K. Cleaning up after cookies (en ligne), 2008.

SCHŒN, S. New cookie technologies: Harder to see and remove, widely used to track you (en ligne en anglais seulement), 2009.

SOLTANI, A., et coll. Flash cookies and privacy (en ligne en anglais seulement), 2009.

Wall Street Journal. (2010). What they know (en ligne en anglais seulement), 2010.

Date de modification :