Discussion :

[Stéphane le calme]

DuckDuckGo accusé de faire du profilage des utilisateurs malgré sa promesse d'être l'anti-Google,
le moteur assure qu'il n'en est rien

Le moteur de recherche DuckDuckGo a nié une affirmation faite dans un message de forum suggérant qu’il se servait du fingerprinting du navigateur.

Disposant de paramètres variés, le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, est souvent utilisé par des sites web par exemple pour diffuser de la publicité ciblée. Parmi ces paramètres, nous pouvons citer l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

À ce propos, rappelons qu’en début 2017, des chercheurs ont affirmé avoir mis au point une nouvelle technique qui, en plus de fonctionner sur plusieurs navigateurs, pouvait rendre plus précises que les techniques existantes :

« Dans cet article, nous proposons une technique de fingerprinting du navigateur qui permet de pister les utilisateurs non seulement sur un navigateur, mais aussi sur différents navigateurs sur la même machine. Plus précisément, notre approche utilise de nombreuses nouvelles fonctionnalités apportées par les systèmes d’exploitation et au niveau des hardwares, comme celles des cartes graphiques, des CPU. Nous extrayons ces fonctionnalités en demandant aux navigateurs d’effectuer des tâches qui reposent sur le système d'exploitation et les fonctionnalités matérielles correspondantes », ont indiqué les chercheurs.

« Notre évaluation montre que notre approche peut identifier avec succès 99,24 % des utilisateurs contre 90,84 % pour l'état de l’art sur l'empreinte numérique d'un seul navigateur avec le même ensemble de données. En outre, notre approche peut atteindre un taux d'unicité plus élevé que la seule approche multinavigatrice avec une stabilité similaire ».

Le fingerprinting n’est pas nécessairement mauvais, tout est une question de perspective. Par exemple, certains pourraient approuver que les banques puissent s’en servir : s’appuyant sur l’empreinte numérique, la banque pourrait détecter si un individu tente de se connecter depuis un ordinateur qui n’a pas été utilisé pour entrer dans son compte bancaire. La banque pourrait alors vérifier la légitimité de cette opération avec le titulaire du compte via un appel téléphonique. Néanmoins, la plupart du temps, les empreintes numériques soulèvent des inquiétudes sur la vie privée.

En quoi cela dérange si DuckDuckGo fait du profilage ?

Étant donné la position de DuckDuckGo, qui se revendique être le champion de la vie privée dans le domaine des moteurs de recherche, il n’est donc pas étonnant de voir que certains utilisateurs aient été surpris.

Rappelons qu’il s'est taillé une place sur le marché de la recherche en tant qu'alternative pro-vie privée en affirmant qu'il ne fait pas de profilage des utilisateurs pour diffuser des publicités ciblées, mais qu'il affiche des annonces en fonction des mots clés entrés pour effectuer une recherche.

Si DuckDuckGo venait à se servir du fingerprinting de navigateur pour suivre les utilisateurs, cela irait clairement à l'encontre des principes de non-pistage énoncés depuis longtemps.

Un utilisateur a affirmé que :

DuckDuckGo utilise l’API Canvas DOMRect sur son moteur de recherche. Canvas est utilisé pour effectuer des mesures de géométrie uniques sur les navigateurs cibles, et l'API DOMRect utilise des rectangles. Ceci peut être vérifié avec l'add-on CanvasBlocker Firefox de Korbinian Kapsner. DDG a récemment redirigé certaines navigations de sites Web vers de jolies images avec des remarques sur leurs promesses de confidentialité. L'organisation cherche maintenant à élargir sa présence sur Internet. DDG est sans aucun doute un courtier en données, et les sites Web commerciaux qui font des promesses telles que DDG ne survivront pas longtemps s'ils les tiennent réellement.

La réponse de DuckDuckGo

Brian Stoner, le responsable de la recherche de DuckDuckGo, a réfuté l'accusation en ces termes ::

Nous ne faisons absolument aucun fingerprinting. S'il vous plaît, pensez à parcourir notre politique de confidentialité, elle est assez claire à ce sujet : "Nous ne recueillons pas ou ne partageons pas les informations personnelles." https://duckduckgo.com/privacy

Nous utilisons diverses API de navigateur pour offrir une expérience de recherche compétitive par rapport à celle de Google. De nombreuses extensions de protection contre le "fingerprinting" adoptent une approche de terre brûlée, bloquant toute API de navigateur susceptible d'être exploitée par un mauvais acteur.

Gabe Weinberg, PDG de DuckDuckGo, lui a fait écho et a déclaré que cet avertissement est un faux positif :

Les bibliothèques de détection de fingerprinting créent malheureusement des faux positifs car elles n'anticipent pas les bons acteurs qui utilisent certaines API de navigateur à des fins non néfastes pour lesquelles ils ont été conçus. Nous le savons non seulement parce que nous avons été faussement identifiés ici (et l’avons été ailleurs), mais parce que nous intégrons ce type de détection dans notre application mobile et dans notre extension de navigateur, et nous ne voulons pas non plus faire de fausses déclarations.

Source : accusation

Et vous ?

Qu'en pensez-vous ? Êtes-vous convaincu par la plainte formulée ? Êtes-vous satisfait des réponses apportées ?

Voir aussi :

Google cède et transfère Duck.com à DuckDuckGo afin de dissiper la confusion des utilisateurs, même si les détails de cette entente ne sont pas connus
Google influencerait considérablement les résultats des recherches même lorsque vous êtes déconnectés ou en mode privé, selon une étude de DuckDuckGo
DuckDuckGo fait le ménage dans la bibliothèque de la commande permettant de faire des recherches sur les sites, et supprime les sites dits pirates
DuckDuckGo a franchi la barre des 30 millions de recherches quotidiennes sur son moteur, une croissance annuelle de 50%
DuckDuckGo obtient un financement de 10 millions de $ pour améliorer ses outils, tandis que Google fait face à des plaintes relatives à la vie privée

[Uther]

Je connais pas les détails mais si l'accusation se contente comme semble le suggérer l'article à dire "Mon addon m'a dit que l'API DOMRect est utilisée, donc DuckDuckgo sont des méchants", c'est en effet plus que léger.

Il faut avant tout regarder ce qui est fait avec cette API. Si elle est utilisée pour générer un empreinte transmise au serveur, ça serait en effet inquiétant. Par contre, si elle n'est utilisée qu'en local, il n'y a pas de problèmes.

Si les personnes crient au loup sans avoir pris la peine de vérifier ça, c'est pas du tout sérieux. Tant qu'ils prennent pas la peine de faire cette vérification, ça ressemble juste à du FUD.

[julienzk]

@Uther exactement, faire un audit du réseau n'aurait pas pris plus que quelques minutes, et ca reste du Javascript , donc même obfusqué ca reste relativement facile à lire/décoder.

[itwaves]

Le véritable problème de ce moteur de recherche c'est la pertinence des résultats qu'il retourne. Je préfère un Google qui me track mais avoir de la pertinence et de la perspicacité.

[Invité]

C'est ton choix de continuer à donner tes informations mais ne te cache pas derrière la soit disant mauvaise pertinence des résultats de DuckDuckGo car ils sont loins d'être mauvais. Je l'utilise au quotidien depuis 2 ans maintenant et je trouve toujours ce que je souhaite. Les seules fois où j'ai besoin d'utiliser Google c'est quand je cherche des gens, c'est le seul domaine où DuckDuckGo n'est pas pertinent.

[BenoitM]

C'est ton choix de continuer à donner tes informations mais ne te cache pas derrière la soit disant mauvaise pertinence des résultats de DuckDuckGo car ils sont loins d'être mauvais. Je l'utilise au quotidien depuis 2 ans maintenant et je trouve toujours ce que je souhaite. Les seules fois où j'ai besoin d'utiliser Google c'est quand je cherche des gens, c'est le seul domaine où DuckDuckGo n'est pas pertinent.

oui et non.
Tu dois être plus précis dans tes recherches.
Si tu tape salle de concert google va te proposer les salles de concert en Belgique
DuckDuckGo me propose des salles de concert en France

Alors oui j'aurai pu tapé "salle de concert en Belgique"...