Discussion :

[MichaelREMY]

bonjour,

Criteo est une grosse (énorme même) société qui sert à monétiser des diffusions de bannières publicitaires (entre autres..).

Depuis longtemps, j'avais remarqué que je voyais des publicités de produits dont je n'avais aucune idée qu'ils existaient et qui ne suscitaient pas mon intérêt.

Je viens de comprendre que je vois en fait les bannières de pub qui sont censées aller chez mon voisin de palier avec qui je partage la connexion internet (la même adresse IP).

J'ai vérifié avec lui, ce sont des produits qu'il a regardé sur son ordi avec internet explorer. Or moi j'utilise Seamonkey (un fork de Mozilla).
Comment se fait-il qu'une énorme société puisse faire une telle erreur de collecte et de diffusion de données marketing ?
J' n'arrive pas à croire que leur ingénieur n'a pas pensé à lier l'IP à l'id-navigateur (au moins le browser ou user-agent) pour la collecte des données et la mise à jour des cookies.
Criteo ne ferait sa collecte et sa rediffusion de données marketing qu’en identifiant très mal le client !?

Je me dis qu'il doit y avoir une explication technique, mais je ne l'a trouve pas, peut-être est-ce un problème législatif ? ils auraient le droit de stocker notre IP mais pas notre navigateur...j'y crois pas.


Franchement je ne sais pas, avez-vous une idée technique à cela ?

[MichaelREMY]

ce problème m'a titillé.

Les conséquences de ce bug (ou de cette limitation pour être gentil) sont catastrophiques :
- perte de la confidentialité des informations dans le cas d'une IP publique ou partagée.
- possibilité d'afficher des publicités pornographiques à des enfants (si le père (ou un ami de la famille) visite des sites porno en utilisant la même connexion internet que les enfants du foyer, alors les enfants risquent de voir des publicités porno sur leur page internet

Dans mon cas, j'ai visité mon webmail Orange, orange a donc un contrat commercial pour gagner de l'argent en vendant son espace publicitaire supérieur à Criteo.
Là je vois que mon voisin a visité (et c'est régulier d'après lui) un site où il achète des produits pour la musculation, cela se trouve sur le site www.nu3.fr (qui lui aussi doit avoir un contrat avec Criteo théoriquement).

j'ai mis une pièce jointe en bas de la page.

Si ma fille a un email chez Orange, elle risque donc de voir des publicités dangereuses pour elle à cause de Orange et Criteo ! Et bun ! bravo la bourde!

Franchement, je ne comprends pas.
Peut-être est-ce une contrainte de langage de programmation :l'API du site client ou de Criteo n'a pas la capacité à identifier le navigateur (ce qui serait une tare énorme).

Une chose est certaine, si demain je dois prendre un contrat avec Criteo, je réfléchirai trois fois car ce bug je l'ai remarqué depuis des mois et je trouve stupéfiant que les responsables marketing (qui doivent tester ce qu'ils achètent) ne l'aient pas vu ni signalé.

Côté Criteo, on peut y voir un effet positif (mais pas honnête) : criteo diffuse plus de pubs mais hélas pas aux bons consommateurs potentiels ! Et oui à cause de ce bug, la cible marketing est majoritairement fausse car beaucoup de gens utilisent une connexion internet partagée et dans le cas des smartphones c’est encore pire. Ça peut vouloir dire que tous ceux qui font des campagnes de pub pour smartphone sont en quelques sortes biaisés. Car le smartphone n’affiche pas la bonne publicité que la cible!!
J'ai testé aDsense, et je n'ai pas décelé le même problème, donc pourquoi Criteo possède ce gros problème ? Comme Criteo est (ou était?) une startup française, peut-être est-ce un problème législatif...

[Criteo RD]

bonjour,

on m'a averti de votre poste et j'ai souhaité vous apportez notre réponse sur le point que vous avez soulevé.
Le respect de la vie privée a toujours été et sera toujours au cœur de la technologie Criteo.

A cet égard, lorsque nous avons développé une solution unique de matching de profils utilisateurs (cross-device ou ID-syncing), nous avons fait le choix de fonder notre technologie uniquement sur des informations déterministes, envoyées par les sites marchands de nos partenaires lorsque leurs utilisateurs se connectent sur leurs sites internet, par exemple.

Contrairement aux technologies probabilistes qui sont souvent fondées sur la collecte de l’adresse IP et sont par nature incertaines, l’utilisation d’informations déterministes (exact matching) nous permet en théorie d’obtenir 100% de fiabilité dans le ciblage d’un utilisateur mais aussi dans la prise en compte de ses choix en matière d’exposition à nos services (opt out).

Par ailleurs, Criteo est engagée dans une démarche de « data minimisation » et ne collecte que les informations indispensables à la fourniture de ses services. L'adresse IP des utilisateurs n'est donc 1) pas stockée par Criteo ; 2) pas utilisée pour relier deux identifiants techniques dans notre solution cross-device.

Ceci étant dit, nous sommes tributaires de la qualité des informations transmises par nos partenaires. Or au regard des faits que vous décrivez, il se pourrait qu'un site marchand ou une solution de tag container nous ai transmis des informations erronées ou non déterministes ("devinées" depuis l'adresse IP de l'utilisateur par exemple) ce qui aurait eu pour conséquence d’induire notre algorithme en erreur.

Nous vous remercions pour ce retour d’expérience et vous assurons que nous portons une grande attention à la détection de telles anomalies, qui n'entrent pas dans notre approche cross-device. Nous allons mettre en œuvre nos meilleurs efforts pour identifier précisément les causes de cette anomalie afin de continuer à améliorer notre technologies et nos services.

Nous souhaiterions également profiter de cet échange pour préciser deux points qui sont évoqués dans vos messages :

S’agissant du risque de vous exposer vous ou votre famille à des produits « non recommandables » :
Vous vous interrogez en particulier sur le risque d’afficher des publicités non adaptées à des enfants. Sachez toutefois que Criteo est engagée dans une démarche de publicité responsable et impose à l’ensemble de ses partenaires des règles strictes concernant les produits et services éligibles à une campagne. Ainsi aucun produit « non recommandable » ou douteux ne peut être l’objet d’une campagne par le biais de nos services.
Voici le lien vers notre politique qui liste de manière non exhaustive les catégories de produits pour lesquelles nous nous interdisons de mener des campagnes. http://www.criteo.com/fr/advertising-guidelines/

S’agissant d’un potentiel « effet positif » de cette anomalie pour Criteo :
Criteo n’a aucun intérêt à diffuser des publicités à des utilisateurs qui ne sont pas directement intéressés par les produits objets de nos campagnes, bien au contraire.
Criteo achète auprès de ses partenaires éditeurs de sites internet (publishers) des espaces publicitaires au coût par mille et les revend à ses clients (advertisers) au coût par clic. Ce mécanisme qui fait l’originalité du business model de Criteo implique que Criteo n’est payée que si l’internaute clique effectivement sur une bannière. Juridiquement, c’est donc Criteo qui supporte le risque lié à l’affichage d’une publicité sur laquelle un internaute ne cliquera pas. Dans tous les cas le publisher est rémunéré alors que Criteo ne le sera que si elle a su afficher une publicité pertinente sur laquelle l'utilisateur a cliqué.

j'espère que nos informations vous ont apporté un autre éclairage et si vous souhaitez poursuivre cette conversation offline, nous sommes à votre écoute.
merci

[MichaelREMY]

merci Criteo RD pour avoir expliqué, et argumenté chaque point de mes informations et craintes.

Toutefois, permettez-moi encore d'émettre des incohérences. Vous parlez d'exact matching et dîtes que Criteo ne stocke pas l'adresse IP.
Soit, j'ai donc nettoyé mes cookies et refait le test à l'instant.
Et bingo, j'ai encore les publicités issues d'une bannière Criteo.
Pourquoi ces bannières réapparaissent alors ? Diriez-vous que Orange (mon webmail) ou Nu3 (le commerçant de mon voisin dont j'ai dorénavant bloqué les cookies définitivement sur mon poste) le fait au travers de votre API (permettant l'insertion de votre bannière sur le site).
C'est très bien et je salue le fait que Criteo ne stocke pas, ni ne collecte les IP des visiteurs de ses clients, mais visiblement vos clients le font et quelque part ça déteint sur Criteo.

Une chose est certaine, la vie privée de mon voisin (certes ce n'est pas un jeune enfant) m'est divulguée à son insu.
S'agissant de produit extra-vitaminé pour son activité sportive ce n'est pas grave (même si certains produits de Nu3 ressemblent fort à des 'para-médicaments').
Néanmoins, comme je l'ai dit ça fait plusieurs mois que j'ai remarqué cela, même auparavant j'avais vu des produits de vêtements féminins apparaitre, je pense donc que c'était les choix de navigation de sa compagne...
Quand j'y pense, heureusement que ce n'était pas des produits de lingerie! (humour)
Je n'ai pas d'enfants sur l'utilisation de ma connexion IP, mon exemple était pour montrer l'influence maximale de ce mauvais matching (qui n'est donc pas exacte).
Je relative la situation présente car mon voisin a un profil « teenager », si c’était une surfer à fort potentiel investisseur, je suppose que je pourrais connaître ses produits financiers intéressants (humour aussi).
Je ne parle aussi que de ma situation, mais il est facile d'imaginer ce problème dans un lieu public avec une centaine d'utilisateurs reliés à une même borne wifi...

Vu que cela fait plusieurs mois que ça dure (au moins 6sixj'en suis certains), ça veut dire que personne chez Criteo ne teste et vérifie le bon fonctionnement des bannières de chaque commerçant ?
Durant ces 6 mois j'ai même changé de connexion internet (passage de l'adsl à la fibre) et je change mon adresse IP régulièrement au moins une fois par semaine, et pourtant ces bannières reviennent...

Je vais donc attendre et suivre l'évolution de votre correctif... dès que je verrai dans une bannière un produit inapproprié à ma navigation, j'irai vérifier qui est le fournisseur de bannière par curiosité.

Encore une fois je vous remercie pour les détails que vous avez apportés, nulles doutes que d'autres membres de la communauté des développeurs vont argumenter et blablater..

[MichaelREMY]

Appel aux développeurs, techniciens et curieux qui souhaitent plancher dessus.

Voici mon lien qui affiche des produits provenant d'un site que je n'ai jamais visité ni effectué d'achat et dont j'ai supprimé et interdit les cookies de nu3.fr (j'ai laissé pour l'instant les criteo)

Que chacun fasse le test d'afficher le rendu chez lui et donne ce qu'il affiche :

https://cas.criteo.com/delivery/afr....2526adurl%253D

chez moi c'est curieux car dans mon navigateur coutumier (mozilla seamonkey), ça affiche les produits de vitamines sportives

et quand je poste l'url dans un navigateur fraichement installé (vm et sandbox), ça n'affiche pas les produits de sport mais une bannière pour la croix-rouge française !
Comment l'algorithme de criteo peut déduire cela? Est-ce que la croix-rouge est la bannière par défaut quand il n’y a aucun produit à recommander ?

J’ai hâte de voir les résultats de chacun avec l’url que j’ai posté, espérant qu’il n’y a pas d’id ni de mot de passe perso enregistrés dans cette chaîne url crypté (car ce serait celle de mon voisin).
Au passage on voit que ça utilise PHP, donc l’algo de criteo pourrait se dire avec le User-Agent:
« tiens le client X a acheté 10fois avec le navigateur Y en étant logé et sécurisé », là maintenant il est sur un navigateur Z sans être logé, c’est peut-être pas lui, attendons la prochaine commande sur Z avant de proposer ce produit…
Bref ajouter une couche probabiliste derrière la couche déterministe ferait du bien…

[MichaelREMY]

Maintenant je vois que le site leboncoin affiche aussi le système Criteo et me dévoile la vie privée de mon voisin!
image jointe.

Je suppose donc que le problème est centré (comme pour orange) sur l'intégration (dans l'API de criteo ?) sur le site web partenaire.
L'adresse IP est vraiment stockée et réutilisée et il n'y a aucun doute surtout que j'ai bloqué le domaine de nu3.fr pour les cookies.
Si le problème persiste longtemps, je vais devoir bloquer le domaine criteo sur mon routeur et firewall et conseiller à mon réseau personnel d’en faire de même.

[Criteo RD]

Bonjour,

je crois que nous n'arriverons pas à totalement clarifié par echanges de messages car il y a une vraie incompréhension sur le "comment ça marche" de notre côté. je vous invite à m'écrire directement pour venir nous voir au CriteoLabs à Paris dans le 9eme et on pourra passer du temps ensemble en face à face cela sera certainement plus facile et plus rapide pour obtenir vos réponses. pressfr@criteo.com

en espérant vous voir bientôt parmi nous.

[MichaelREMY]

bonjour,

Merci de votre réponse, ce serait avec plaisir que je viendrais mais le déplacement en région parisienne m'est impossible actuellement. Je le garde sous la main car il peut être utile à ma recherche d'emploi.
Sinon, puis-je relayer votre offre à une personne de developpez.com ?

Toutefois, pour clarifier le phénomène, pourriez-vous juste s'il vous plaît expliquer pourquoi je vois les publicités Nu3 destinées à mon voisin (qui a visité nu3.fr) alors que je suis dans mon webmail Orange ou en train de regarder leboncoin et que je n'ai jamais (et même maintenant bloqué nu3.fr).
De même je souhaiterai connaître un autre e-marchant utilisant votre système pour vérifier si la cause du problème (une fuite de données de vie privée quand-même voire un mauvais ciblage de client potentiel) provient de Nu3 ou des afficheurs (Orange,leboncoin).

Et pourquoi y-a-t-il "souvent" une bannière pour faire un don à la Croix-rouge quand je teste dans un environnement blank (vm,sandbox,nocookie) ? Mon ptit coeur me dit que par défaut, en l'absence de toute donnée utilisateur "exploitable", Criteo offrirait sa visibilité à la Croix-Rouge, ce qui est une bonne initiative si c'est le cas.

cdt,

Michael REMY.

[MichaelREMY]

C’est le sixième jour depuis que j'ai remarqué cette "anormalité" de diffusion des bannières Criteo.
J'ai compris que Orange, Pluzz et Le boncoin les diffusent sur mon ordinateur personnel et tablette; ces 3 sites sont issus de mes habitudes de visites.
J'ai compris que Nu3, Hp, Priceminister,LaRedoute sont les 3 webmarchants dont je suis censé être la cible et dont je vois constamment des publicités dans les bannières Criteo.

J'ai identifié que les pubs vers Nu3 ne sont pas ciblées vers moi mais vers mon voisin , avec qui je partage ma connexion IP.
J'ai pris ces initiatives :
- bloquer Nu3.fr sur ma machine de test. (nocookie & delete)
- Laisser mon voisin utiliuser Nu3 à sa guise sans rien changer dans ses habitudes à lui
- clean&delete les cookies de orange,laredoute,priceminister,hp,pluzz

après avoir nettoyer tout cela, je vois apparaître une publicité pour faire un don à la Croix-Rouge ! Je suppose (à confirmer par Criteo) que c'est la bannière par défaut quand aucune information utilisateur ne nourrit les bannières publicitaires.

Maintenant je vais observer cette semaine ce que vont être les bannières de Criteo qui me seront proposées, et j'espère vraiment ne pas revoir les produits de Nu3.fr issues de la vie privée de mon voisin!

[MichaelREMY]

Voilà, ce fait presque une semaine.
Je n'ai pas revu une seule publicité concernant Nu3 (navigation privée de mon voisin) dans mes bannières.
Mais mon voisin n'a pas été là de la semaine je crois, donc wait&see...

Par contre, je me pose la question suivante :"qui garde,collecte,utilise les infos des pages webs que je visite utilisant le système Criteo ?"
Ce matin, je visitais pour la première fois le site internet dronevolt.com, j'ai cliqué sur un seul produit dans le catalogue.
Ensuite, en ouvrant ma page Facebook, j'ai eu une bannière latérale me proposant les produits/liens vers dronevolt.
En arrivant sur dronevolt, on ne m'a pourtant pas averti de cookies utilisés ni collecté ni transmis à autrui (Loi Française depuis oct 2014).
Pour trouver le site dronevolt, j'ai fait une recherche Google, mais étant donné que Google est concurrent de Criteo, je ne pense pas que mes données personnelles soient passées par cet intermédiaire...
Donc comment Facebook peut afficher-utiliser des données Criteo me concernant sans mon autorisation ?

[MichaelREMY]

Ce matin j'ai de nouveau eu cette bannière issue de Criteo qui me propose des produits dont je ne suis absolument pas le profil ciblé contrairement à mon voisin (utilisateur de la même adresse IP sur notre réseau) qui visite (ou a visité ou a acheté des produits Nu3).
Je m'empresse donc de bloquer et firewaller immédiatement Criteo sur mon réseau et mon navigateur car quelque chose n'est pas clair du tout dans la collecte et l'utilisation des données (les miennes et celles des personnes avec qui je partage ma connexion internet).

[Criteo RD]

Bonjour.
Il serait très intéressant que vous nous indiquiez l'identifiant associé à votre navigateur.
Pourriez vous aller sur cette adresse et posté ici la réponse ?
http://info.criteo.com/mycriteoid

Rapide note au passage suite à un de vos messages précédents :

Et pourquoi y-a-t-il "souvent" une bannière pour faire un don à la Croix-rouge quand je teste dans un environnement blank (vm,sandbox,nocookie) ? Mon ptit coeur me dit que par défaut, en l'absence de toute donnée utilisateur "exploitable", Criteo offrirait sa visibilité à la Croix-Rouge, ce qui est une bonne initiative si c'est le cas

.
>>> C'est tout à fait ça.

[MichaelREMY]

mon navigateur existant depuis plus de 12ans je crois et utilisé plus que safari n'est pas reconnu par Criteo alors que Google Ads le reconnaît bien.

Et je viens à l'instant de tester mon webmail avec IE que je n'utilise pas habituellement, et paf, une pub Criteo de Nu3 (encore nu3!)

[Criteo RD]

Et je viens à l'instant de tester mon webmail avec IE que je n'utilise pas habituellement, et paf, une pub Criteo de Nu3 (encore nu3!)

Dans ce cas de figure, lorsque vous voyez apparaitre une publicité Criteo dans IE, pourriez vous ouvrir un autre onglet de navigation et vous rendre sur http://info.criteo.com/mycriteoid pour trouver l'identifiant associé à IE?
Cela devrait fonctionner.

[MichaelREMY]

mon voisin est rentré cette semaine,
et devinez quoi ?

sa navigation se retrouve sur mon écran via ce même problème d'ip tracking !
Les pubs affichées par Criteo ne sont vraiment pas ciblées correctement ou plutôt elles n'atteignent pas la bonne cible pointée!

Pire, je suis tombé sur un site (hugefile, image jointe) dont le cpatcha demande une vérification en affichant 2 bannières criteo et une adv.
Voilà une manière pas très réglo de booster les hits/leads de ses partenaires.
Et comme sur hugefile, on ne retrouve pas que des téléchargements légaux, c'est d'autant plus dramatique !
Vraiment c'est du ciblage pas fiable ni sur le fond et dans la forme.

Je bloque Criteo à la source sur mon routeur maintenant.

[MichaelREMY]

Dans ce cas de figure, lorsque vous voyez apparaitre une publicité Criteo dans IE, pourriez vous ouvrir un autre onglet de navigation et vous rendre sur http://info.criteo.com/mycriteoid pour trouver l'identifiant associé à IE?
Cela devrait fonctionner.

Rebelote !
Je regarde le site Clubic et paf, en haut je vois une pub de produits pseudo-parapharmaceutiques dopant !



Je suis sous Seamonkey (mozilla) j'ouvre donc la frame dans un nouvel onglet pour voir la pub criteo intégrale :elle fonctionne.



je vérifie le l'id criteo avec votre url : rien ,nada, je ne suis pas identifié alors que j'ai des pubs "ciblées" !



je copie-colle l'adresse url de la pub dans une session internet explorer (que j'utilise une fois tous les mois et encore...)
paf la pub fonctionne ! Preuve qu'il doit y avoir un tracking IP quelque part...



je teste alors votre url d'identification de criteo :
- sous seamonkey, je n'ai aucune identification alors que la pub s'affiche !
- sous Ie, j'ai un identifiant :

On this specific browser my Criteo identifier is: 4f8a8385-e467-40c1-a22d-c7602f8d0c21
Send it by mail to privacy@criteo.com to continue with your privacy request process

[MichaelREMY]

et le ponpon !

sur firefox portable dans une sandbox en VM avec le mode pricavy, et bun j'ai la pub criteo qui arrive donc à détourner la vie privée ! (j'ai pas mis de capture car rien dans l'about box ne montre que c'est une version portable)


et enfin, dans Safari5 (idem en portable clean), la pub fonctionne !

[BlaiseV]

Bonjour

Je travaille chez Criteo (je suis là: https://fr.linkedin.com/in/blaisev) . J'ai lu les échanges au dessus , j'ai échangé avec mes collègues et on aimerait bien comprendre également. On a deux questions qui nous ennuient:

- comment se fait il qu'on vous confonde avec votre voisin. En particulier, cette histoire de pub en navigation privée est étrange
- quel site web nous a effectivement vendu l'espace publicitaire utilisé par hugefile.

Pour investiguer, il nous faudrait des éléments pour retrouver ces événements dans nos logs. Comme indiqué précédemment, on pourrait utiliser votre UID (http://info.criteo.com/mycriteoid ) . Pour ma part, je suis surtout curieux des impressions ID

J'ai vu qu'on avait une UID ci dessous, : je vais regarder ce qu'on voit. Egalement, si vous revoyez une bannière à un endroit inattendu, je suis preneur de sa display ID. Si vous cliquez sur le |i> bleu en haut à droite de nos bannières, vous serez dirigé vers une URL comme celle ci:

http://info.criteo.com/privacy/infor...29029c&uaCap=0

Si vous avez la possibilité de nous envoyer le paramètre display ID

[BlaiseV]

Je regarde vos captures d'écran... il n'y a pas de de |i> sur les pubs.... c'est extrêmement louche. Ca, plus le fait que vous n'ayez pas d'identifiant Criteo sous SeaMonkey (et donc que vous ne soyez pas ciblable par Criteo, en théorie) me fait penser plus à une action délibérée d'un intermédiaire qu'à un bug

[BlaiseV]

J'ai regardé.. je ne trouve pas encore de pub affichée à cette UID (mais le système auquel j'ai accès n'a pas la donnée de façon immédiate). Je regarderai demain