Martin LessardComment Google espionne les utilisateurs de Safari

Par

 publié le 20 février 2012 à 10 h 52

Google et des entreprises publicitaires se sont fait prendre en flagrant délit de contourner les paramètres de confidentialité du navigateur web Safari. On reproche à Google d’avoir déposé des témoins-espions (cookies) sur les postes de ces utilisateurs.

Safari est ce navigateur web utilisé par la moitié des mobiles (grâce à la popularité des iPhone). Il est utilisé par 6 % des ordinateurs Mac.

Or, sur Safari, des paramètres de confidentialité sévères contrôlent la création de fichiers témoins.

L’espion qui m’aimait

Ces fichiers témoins, ou témoins, sont créés sur nos ordinateurs lorsqu’on visite un site. Le témoin est pratique, car il permet de conserver des paramètres de personnalisation, par exemple.

Tant que le témoin n’est déposé que par le site que l’on visite, il n’y a pas trop de problèmes (éventuellement, on peut même paramétrer son navigateur pour empêcher que le site puisse le faire).

Mais aujourd’hui, sur une même page web, les éléments peuvent provenir de plusieurs sites : sur un site A, il peut y avoir une pub d’un site X, une image d’un site Y et un widget d’un site Z. Ça commence à faire beaucoup de sites qui peuvent déposer un témoin durant la visite d’une simple page web.

Les témoins tiers, ceux qui sont déposés par les sites secondaires, ont la fâcheuse possibilité de repérer le site principal sur lequel vous êtes. Et si, par exemple, vous êtes une régie publicitaire, vous avez des morceaux de contenus (des pubs) sur une très grande quantité de sites. Vous avez donc la possibilité, par le biais des témoins tiers que vous déposez, de suivre à la trace les internautes qui circulent sur tous les sites où vous avez un morceau de contenu.

Rien que pour vos yeux

C’est ainsi que vous pouvez voir un bouton « j’aime » de Facebook sur des pages hors Facebook. Le témoin tiers de Facebook est en mesure de savoir que vous êtes un membre de Facebook et affiche le bouton « j’aime » personnalisé sur la page principale en question.

C’est pratique pour partager les pages que vous aimez en un seul clic. Mais sachez aussi que ça veut dire que toutes les pages hors Facebook où vous voyez ce bouton « j’aime », même si vous ne le cliquez pas, sont des pages que Facebook sait que vous avez visitées.

Les paramètres de Safari peuvent bloquer ces témoins tiers qui ne viennent pas directement du site principal que l’on visite. Ce n’est pas tout le monde qui aime se faire espionner quand il butine sur Internet.

Au service secret de Sa Majesté

Google fait la même chose avec son « +1 » (l’équivalant du « j’aime » de Facebook), mais dépose des témoins tiers même si vous paramétrez Safari pour que ce soit interdit.

Par le biais votre compte Google Plus, si vous autorisez Google à ajouter des boutons  « +1 » sous les pubs, Google installe ce mouchard invisible qui vous suit à la trace.

Google passe sciemment par un iFrame (une façon de coder du contenu qui ne vient pas de la page principale) pour tromper Safari.

Pour ce faire, Google crée un formulaire invisible dans le iFrame de la publicité, le remplit à votre insu et l’envoie automatiquement. Le contenu envoyé a peu d’importance. C’est cette façon de faire qui trompe Safari, car Google l’envoie en votre nom (et c’est ça qui compte).

Or, Safari est programmé pour autoriser les témoins tiers si vous remplissez et envoyez un formulaire (une façon implicite de reconnaître que vous acceptez de faire affaire avec ce site tiers). Voilà! En envoyant ce formulaire, Google contourne le paramètre de confidentialité.

Une fois le mouchard dans la place, Google trace tout vos déplacements sur le site où se trouve sa publicité — celle de DoubleClick, en fait, une régie publicitaire que le géant a achetée il y a quelques années — et ce, que vous ayez ou non une session ouverte avec Google plus. (Source)

Casino royal

Google a, depuis la découverte de ce processus, désactivé la fonctionnalité des témoins-espions. Mais l’abus de confiance sera dur à réparer.

Comme Google a annoncé tout récemment l’unification de toutes les données de toutes ses plateformes pour créer un fichier unique de tous vos profils, ça donne un avant-goût du type de surveillance auquel on peut s’attendre…

Internet, Mobile, Sécurité