Vie privée : Google accusé de tracer les utilisateurs

[Hinault Romaric]

Vie Privée : Google répond en mettant en cause Internet Explorer
Et un protocole obsolette, et accuse Microsoft d'écrire des billets "fallacieux"

Edit du 22/02/012 : Suite à la parution hier, d'un billet de blog de Microsoft accusant Google de mauvaises pratiques concernant le respect de la vie privée des internautes, Google nous a contacté pour donner sa réponse et sa version des faits. La voici en résumé.

Pour Google « Microsoft a omis des informations importantes dans son billet ».

La première est que Microsoft utilise un protocole d'auto-déclaration (le fameux "P3P") qui date de 2002. Un protocole aujourd’hui uniquement utilisé par Internet Explorer et qui serait, en substance, largement périmé.

Avec ce protocole, Microsoft demande aux sites de déclarer eux-mêmes leurs pratiques concernant le respect de la vie privée dans une forme compréhensible pour une machine. En fonction de ces réponses (« que font vos cookies, etc. ») IE certifie qu'un site est sûr ou non.

« Mais, et même Microsoft le sait, cette requête sous cette forme est incompatible avec les fonctionnalités des sites modernes », accuse Google qui contre-attaque en affirmant que le protocole P3P ne peut pas comprendre les nouvelles fonctionnalités du Web qui s'appuient sur les cookies « comme le bouton "Like" ou la possibilité de se connecter à des services webs avec son identifiant Google ».

Preuve avancée de cette obsolescence, 11.000 sites ne donneraient pas de réponses valides et contourneraient le protocole P3P. Même ceux de Microsoft - Live.com et MSN.com.

En passant outre le protocole P3P, Google ne piraterait ou n'espionnerait donc pas (NDR : ou en tout cas pas plus) la vie privée des utilisateurs. Il contournerait en fait comme tout le monde (Microsoft y compris) une technologie dépassée que seule IE utilise.

Deuxième point souligné par Google, qui enfonce le clou en citant le New-York Times, « dès 2010, on savait que des navigateurs comme Chrome, Firefox et Safari ont des paramètres de sécurité plus simples. Au lieu de vérifier globalement la politique de confidentialité d'un site, ces navigateurs laissent aux utilisateurs le choix de bloquer tous les cookies, seulement ceux de tiers particuliers, ou aucun ».

Autrement dit, il n'y a pas besoin de P3P avec ces trois navigateurs. Le problème ne serait donc pas son contournement, mais Internet Explorer.

Google, qui a contacté Developpez.com par mail, se demande pourquoi Microsoft n'a pas fait allusion aux déficiences de cette technologie qui expliquent que les acteurs du web passent outre.

Autre interrogation formulée dans ce mail : pourquoi Microsoft s'offusque-t-il de ce contournement dans le cas de Google et pas pour Facebook ou Amazon ? Ou pour Live.com et MSN.com ?

Troisième point de sa réponse, Google (ré)explique noir sur blanc, et dans le détail, sa pratique par rapport au P3P pour jouer la clarté. Il souligne par ailleurs que cette « affaire » n’a strictement rien à voir avec celle de Safari (lire ci-avant).

Et d'inviter Microsoft à s'occuper d'IE et de son implémentation du P3P « au lieu d'écrire des billets "disingenuous" » (que l'on peut traduire par : fallacieux ou malhonnêtes).

NB : Cette réponse n'est pas une analyse de la rédaction mais un résumé de celle que Google nous a transmise. Par souci d’objectivité nous publierons bien évidemment celle de Microsoft.

Maj de Gordon Fowler


Vie privée : Google accusé de tracer les utilisateurs
en contournant les paramètres de confidentialité de Safari et IE9


Les méthodes de gestion de la confidentialité et de la sécurité de la vie privée des utilisateurs chez Google semblent être de plus en plus pointées du doigt

Après la controverse créée par la nouvelle politique de confidentialité de Google qui va entrer en vigueur dès le mois prochain, la firme revient encore au devant de la scène dans une autre affaire concernant la vie privée des internautes.

Selon un récent article du Wall Street Journal, Google et certaines agences de publicité auraient implanté un code dans des millions d’iPhone pour suivre le comportement des utilisateurs.

Le code en question aurait contourné les paramètres de confidentialité de Safari, et installé un cookie de tracking qui est exploité à des fins publicitaires. La découverte a été faite par Jonathan Mayer, un chercheur de l’université de Stanford.

Google, dans un communiqué adressé au magasine, a déclaré que les cookies n’avaient pas pour but de tracer les utilisateurs à des fins publicitaires et qu’il n’avait pas prévu que les cookies générés par le bouton Google + pouvaient contenir autant d’informations sur l’activité des internautes. La firme dit également avoir supprimé les cookies incriminés.

Cependant, il s’avérait que des méthodes similaires soient également utilisées par le géant de la recherche pour passer les mécanismes de protection de la vie privée des utilisateurs et tracer ceux-ci sur Internet Explorer.

Dans un billet blog, Dean Hachamovitch, vice-président de Microsoft en charge d’Internet Explorer accuse Google de ne pas respecter la norme P3P (Platform for Privacy Preferences) du navigateur qui oblige les sites à spécifier les informations qui sont collectées par les cookies. Google aurait contourné cette norme afin de placer des cookies pour collecter discrètement des informations sur les utilisateurs.

Google n’a pas tardé pour répondre aux attaques de Microsoft, et a déclaré ne pas être la seule entreprise à contourner le système P3P. Parmi celles-ci, figurent Amazon ou encore Facebook qui n’ont pas été ciblées volontairement par Microsoft.

Selon la firme, Microsoft avait été alerté en 2010 sur une faille de P3P qui aurait autorisé plus de 11 000 sites Web non conformes à P3P.

Mauvaise foi de la part de Google ou erreur imprévue dans ses services ? Quoiqu’il en soit, Microsoft ne rate pas de pareilles occasions pour critiquer Google et promouvoir à la place ses services.


Source : WSJ, Blog IE


Et vous ?

Trouvez-vous les justifications de Google acceptables ?

[eclesia]

C'est de notoriété publique que google ne respecte pas la vie privée.

Pourquoi chercher a le faire croire quand tout le monde sait que les informations collectés sur nous sont revendues ?

[sevyc64]

Citation:

Google n’a pas tardé pour répondre aux attaques de Microsoft, et a déclaré ne pas être la seule entreprise a contourné le système P3P. Parmi celles-ci, figurent Amazon ou encore Facebook qui n’ont pas été ciblées volontairement par Microsoft.

Ils auraient aussi parait-il citer Microsoft pour ses applications msn.com et live.com qui contourneraient elles-aussi la dite protection de IE

[DotNET74]

Perso,

j'ai arrêté depuis longtemps d'utiliser les produits Google !!!

[sevyc64]

Citation:

Envoyé par DotNET74

Perso,

j'ai arrêté depuis longtemps d'utiliser les produits Google !!!

Tu les utilise tous les jours et en permanence sans le savoir, puisque le "+1" de Google (tout comme le "J'aime" de Facebook) se retrouve sur de plus en plus de sites.

[Bluedeep]

Citation:

Envoyé par Hinault Romaric

[Google n’a pas tardé pour répondre aux attaques de Microsoft, et a déclaré ne pas être la seule entreprise à contourner le système P3P.

Drôle de défense (ok, on le fait, mais d'autres aussi .....)

Citation:

Trouvez-vous les justifications de Google acceptables ?

Non.
Mais n'utilisant que leur moteur de recherche, et paramétrant les navigateurs pour virer les cookies à chaque fermeture(comme devrait le faire toute personne sensée) ça ne me gène pas beaucoup plus que cela - du moins, à titre personnel.

[Bluedeep]

Citation:

Envoyé par sevyc64

Tu les utilise tous les jours et en permanence sans le savoir, puisque le "+1" de Google (tout comme le "J'aime" de Facebook) se retrouve sur de plus en plus de sites.

Ca t'arrive souvent d'utiliser un "+1" sur un site qui n'a pas de "-1" ?

[sevyc64]

Citation:

Envoyé par Bluedeep

Ca t'arrive souvent d'utiliser un "+1" sur un site qui n'a pas de "-1" ?

Tu n'as pas besoin de l'utiliser, il suffit que le logo "+1" de Google soit présent sur une page pour que, apparemment, Google arrive à placer un cookie qui te trace ensuite.

[Bluedeep]

Citation:

Envoyé par sevyc64

Tu n'as pas besoin de l'utiliser, il suffit que le logo "+1" de Google soit présent sur une page pour que, apparemment, Google arrive à placer un cookie qui te trace ensuite.

Ah ok. Enfin, juste pour la session de nav.
Bon, je crois que les cookies google vont être proscrits. Merci de l'info.

[Zweet]

Citation:

Envoyé par sevyc64

Tu n'as pas besoin de l'utiliser, il suffit que le logo "+1" de Google soit présent sur une page pour que, apparemment, Google arrive à placer un cookie qui te trace ensuite.

C'est exactement la même façon de procéder (apparemment) pour Facebook.

J'utilise leurs services mais vu ce qu'ils peuvent apprendre ... (d'autant que je bloque toutes les pubs donc la publicitée ciblée c'est râté ...)

Ensuite, pour l'avoir déjà dis (et je le redis encore), on est traqué partout, donc par eux ou par d'autres ... (attention je ne dis pas qu'il faut accepter de se laisser faire, mais vu les informations "données" et ce qu'ils peuvent en faire, je ne trouve pas ça dramatique).

[Freem]

Citation:

Envoyé par sevyc64

Tu n'as pas besoin de l'utiliser, il suffit que le logo "+1" de Google soit présent sur une page pour que, apparemment, Google arrive à placer un cookie qui te trace ensuite.

Certains bloquent les cookies venant de sites externes à celui visité aussi.
Ces gens la n'utilisent donc pas ces, à mon très humble avis, vraiment stupides et pénibles boutons "+1" et "j'aime". Surtout quand ces gens la n'utilisent pas facebook ni google.

Bon, j'admets ne pas être débarrassé à 100% de google, puisque le méta moteur que j'utilise (duckduckgo) utilise les résultats de google (entres autres) pour répondre à mes demandes.
Mais c'est bel et bien la seule utilisation que je fais des services google, et il me serait possible de m'en passer si je trouvais un autre moteur qui me convienne.

Du coup, il ne me paraît pas impossible que des gens se passent totalement des services google. (Naturellement, je pense que ces gens font partie de ce que l'on appelle le public averti, je me doute que ce n'est pas ma grand-mère qui pourrait s'en passer... Ah, si, j'oubliais, elle à pas le net )

Après, pour le traçage...
Personnellement, j'aime pas, mais je conçois que 95% des gens s'en fichent.
La ou ces politiques d'espionnage m'énervent vraiment, c'est quand, au travers (travers dans tous les sens du terme d'ailleurs) de ces techniques de cookie on espionne (que ce soit un robot ou un humain ne change rien au fait) des gens qui ne veulent pourtant pas utiliser les services en question.

Par exemple, en quel honneur facebook aurait le droit de mettre des cookies sur ma machine si je n'utilise pas leur site?
Idem pour google, bien que dans mon cas, je l'utilise de façon très indirecte.

Et bien sûr, non, la "justification" de google ne tiens pas la roue 2s.
Ou alors, le partage de fichiers illégaux est aussi tout à fait justifié, puisque "mon voisin le fait aussi" (hum, je prend un risque de faire changer le sujet la... mais l'alternative c'était de partir sur des exemples plus extrêmes :/ )

Et en conclusion, je doute fortement que microsoft ne pratique pas ce type de méthodes. C'est juste qu'ils ne se "balancent" pas eux-mêmes je le crains.

[laerne]

En effet il a possibilité que la différence entre Google et Microsoft, c'est que Microsoft, il se fait pas prendre. Mais ça reste qu'un hypothèse sans fondements et on accuse pas les gens à tord et à travers ainsi… aussi crapuleux soient-ils.

L'histoire du logos +1 qui mets le cookie je connaissais pas. Du coup j'ai testé, avec l'option «*only accept cookies from sites you visit*» de mon navigateur (midori), j'ai supprimé (presque) tout mes cookies et j'ai regardé lesquels ont étés ajouté en recharchant la page de news

Résultat : les habituels cookies google analytics provenant de .developpez.com, quelques cookies perso developpez.net, mais surtout 3 cookies de linkedin.com et un cookie «*pid*» de .twitter.com*!

En passant mon curseur sur le +1 un google, il y a un chargement pour afficher l'infobulle mais pas de cookies.

Ma conclusion c'est que la gestion c'est cookie, c'est vraiment pas possible. midori me propose de limiter leur vie maximale à 24h… là encore j'ai des doutes si je revisite le site en moins de 24h, le cookie reste pour 24 nouvelles heures*?

[_ash_]

Citation:

Google et certaines agences de publicité auraient implanté un code dans des millions d’iPhone pour suivre le comportement des utilisateurs.

Dis comme ça, ça fait piratage.

Il m'avait plutôt semblé comprendre [1] qu'ils utilisent "simplement" un subterfuge à base d'iframe et de javascript qui autovalide un formulaire, afin de tromper le navigateur en lui faisant croire que google n'est pas un site tiers, mais bien le site demandé par l'internaute.

Citation:

had made Safari think that a person was submitting an invisible form to Google. Safari would then let Google install a cookie on the phone or computer

Il semblerait par ailleurs [2] qu'en ce qui concerne ie, se soit le protocole P3P qui ne soit juste pas applicable.

Citation:

arguing that Microsoft's reliance on P3P forces outdated practices onto modern websites, and points to a study conducted in 2010 (the Carnegie Mellon research from Cranor and her colleagues) that studied 33,000 sites and found about a third of them were circumventing P3P in Internet Explorer. [...]
That 2010 research even calls out Microsoft's own msn.com and live.com for providing invalid P3P policy statements.

Il semblerait toutefois qu'ils ne vont pas s'en tirer comme ça [3]

Citation:

A class-action complaint has now been filed against Google for its circumvention of Safari's privacy features.

[1] : http://www.appleinsider.com/articles...k_its_ads.html
[2] : http://arstechnica.com/tech-policy/n...oft-claims.ars
[3] : http://arstechnica.com/tech-policy/n...cumvention.ars

[minnesota]

Citation:

Vie privée : Google accusé de tracer les utilisateurs

+ le problème des tentatives de géolocalisation systématique par google via l'ip des utilisateurs...

Citation:

Envoyé par Bluedeep

Mais n'utilisant que leur moteur de recherche, et paramétrant les navigateurs pour virer les cookies à chaque fermeture(comme devrait le faire toute personne sensée) ça ne me gène pas beaucoup plus que cela - du moins, à titre personnel.

Il y a aussi les cookies du flash player, non "facilement" paramétrable ou accessible avec les navigateurs. J'utilise un script de nettoyage pour ça qui se lance en même temps que le navigateur. Après, dans le contrôle de sa vision d'internet, on peut pousser très loin...

[nirgal76]

Je me (enfin je vous) pose une question.
Ayant des règles Adblock pour virer de mes pages tous les boutons facebook, google+1, twitter et cie, est-ce que leurs coockies sont quand même actifs ?

[Gordon Fowler]

Vie Privée : Google répond en mettant en cause Internet Explorer
Et un protocole obsolète, et accuse Microsoft d'écrire des billets "fallacieux"

Edit : Suite à la parution hier, d'un billet de blog de Microsoft accusant Google de mauvaises pratiques concernant le respect de la vie privée des internautes, Google nous a contacté pour donner sa réponse et sa version des faits. La voici en résumé :

Pour Google « Microsoft a omis des informations importantes dans son billet ».

La première est que Microsoft utilise un protocole d'auto-déclaration (le fameux "P3P") qui date de 2002. Un protocole aujourd’hui uniquement utilisé par Internet Explorer et qui serait, en substance, largement périmé.

Avec ce protocole, Microsoft demande aux sites de déclarer eux-mêmes leurs pratiques concernant le respect de la vie privée dans une forme compréhensible pour une machine. En fonction de ces réponses (« que font vos cookies, etc. ») IE certifie qu'un site est sûr ou non.

« Mais, et même Microsoft le sait, cette requête sous cette forme est incompatible avec les fonctionnalités des sites modernes », accuse Google qui contre-attaque en affirmant que le protocole P3P ne peut pas comprendre les nouvelles fonctionnalités du Web qui s'appuient sur les cookies « comme le bouton "Like" ou la possibilité de se connecter à des services webs avec son identifiant Google ».

Preuve avancée de cette obsolescence, 11.000 sites ne donneraient pas de réponses valides et contourneraient le protocole P3P. Même ceux de Microsoft - Live.com et MSN.com.

En passant outre le protocole P3P, Google ne piraterait ou n'espionnerait donc pas (NDR : ou en tout cas pas plus) la vie privée des utilisateurs. Il contournerait en fait comme tout le monde (Microsoft y compris) une technologie dépassée que seule IE utilise.

Deuxième point souligné par Google, qui enfonce le clou en citant le New-York Times, « dès 2010, on savait que des navigateurs comme Chrome, Firefox et Safari ont des paramètres de sécurité plus simples. Au lieu de vérifier globalement la politique de confidentialité d'un site, ces navigateurs laissent aux utilisateurs le choix de bloquer tous les cookies, seulement ceux de tiers particuliers, ou aucun ».

Autrement dit, il n'y a pas besoin de P3P avec ces trois navigateurs. Le problème ne serait donc pas son contournement, mais Internet Explorer.

Google, qui a contacté Developpez.com par mail, se demande pourquoi Microsoft n'a pas fait allusion aux déficiences de cette technologie qui expliquent que les acteurs du web passent outre.

Autre interrogation formulée dans ce mail : pourquoi Microsoft s'offusque-t-il de ce contournement dans le cas de Google et pas pour Facebook ou Amazon ? Ou pour Live.com et MSN.com ?

Troisième point de sa réponse, Google (ré)explique noir sur blanc, et dans le détail, sa pratique par rapport au P3P pour jouer la clarté. Il souligne par ailleurs que cette « affaire » n’a strictement rien à voir avec celle de Safari (lire ci-avant).

Et d'inviter Microsoft à s'occuper d'IE et de son implémentation du P3P « au lieu d'écrire des billets "disingenuous" » (que l'on peut traduire par : fallacieux ou malhonnêtes).

NB : Cette réponse n'est pas une analyse de la rédaction mais un résumé de celle que Google nous a transmise. Par souci d’objectivité nous publierons bien évidemment celle de Microsoft.

[Gecko]

Il aurait été apréciable de voir cet email en piece jointe pour qu'on puisse voir tous les arguments de google en plus de la synthèse fournie ici

[Gordon Fowler]

Citation:

Envoyé par Gecko

Il aurait été apréciable de voir cet email en piece jointe pour qu'on puisse voir tous les arguments de google en plus de la synthèse fournie ici

PDF du texte du mail reçu

[GCSX_]

J'aime beaucoup la politique du "Ouais ce qu'on fait c'est pas joli-joli mais tous le monde le fait alors nous aussi."

Vous imaginez? "Mon voisin a pas payé ses chips au super marché alors moi aussi je vole des chips"

Ce que je veux dire par là c'est que même si les autres contournent P3P (y compris certains site de Microsoft), ça ne justifie en rien de faire pareil.

Quoi qu'il en soit, si ça poussait Microsoft à améliorer les mécanismes de confidentialité d'IE ça m'arrangerait.

Dans l'idéal je voudrai que ce soit moi qui décide de ce que le site à le droit de faire sur ma machine, et non pas le navigateur qui demande gentiement au site ce qu'il veut faire.

Un peu comme le système InPrivate d'IE8 qui permettait d'interdire purement et simplement certains comportements des sites web (par exemple, blocage pur et simple de tous ce qui viens d'un site en particulier).

[bertrand781]

Citation:

Envoyé par sevyc64

Tu les utilise tous les jours et en permanence sans le savoir, puisque le "+1" de Google (tout comme le "J'aime" de Facebook) se retrouve sur de plus en plus de sites.

Salut,

Je confirme, on pense que c'est fini mais réellement on n'arrête pas de les utiliser indirectement, leurs méthodes sont bien étudiées