Les Secrets de Saint Pierre

Les géants du Net se préparent à l'ère post-cookies
Les Echos du 18 décembre 2013
Nicolas Rauline

Google, Apple et Facebook pourraient opter pour un système propriétaire.

Les « indépendants » préparent leur riposte, basée sur les technologies d'identification.

Et si les cookies étaient déjà dépassés ? Alors que la CNIL s'empare du sujet (lire ci-dessous), l'industrie de la publicité en ligne se tourne déjà vers les prochains systèmes d'identification et de ciblage. Il y a quelques semaines, des rumeurs autour de Google, sorties à quelques jours seulement de l'introduction en Bourse du spécialiste français du ciblage Criteo, ont mis le feu aux poudres.

D'après la presse américaine, le géant du Net songerait à interdire les cookies tiers sur son navigateur Chrome. Google préparerait ainsi son propre système d'identification, basé en partie sur l'identifiant Gmail. Celui-ci serait plus précis : un ordinateur sur lequel un cookie est téléchargé peut être utilisé par plusieurs personnes, alors que l'identifiant Gmail (qui est désormais le même que l'identifiant YouTube ou Google +…) correspond à un seul individu. Le ciblage publicitaire serait donc plus efficace et s'adapterait indifféremment au PC, au smartphone ou à une tablette. Apple, qui interdit déjà les cookies tiers sur son navigateur Safari, et Facebook, qui dispose de l'un des systèmes d'identification les plus puissants, vont aussi dans ce sens.

Ces projets seraient de nature à bouleverser le secteur. De nombreuses sociétés, dont Criteo, ont basé leur activité sur l'analyse des cookies. Selon les informations recueillies (habitudes de navigation, achats sur Internet), elles proposent des publicités qui correspondent aux goûts des internautes (des promotions sur un billet d'avion pour une destination que l'on a déjà recherchée sur Internet, par exemple). Si les cookies sont remplacés par des systèmes propriétaires, ces sociétés seront dans la main de géants comme Google, Apple ou Facebook, qui pourront très bien leur fermer l'accès aux données… ou leur ouvrir moyennant rémunération.

De nouvelles techniques
Les « indépendants » n'ont donc pas attendu de prochaines annonces pour réagir. La plupart d'entre eux travaillent déjà, eux aussi, sur un nouveau système d'identification. C'est le cas de la régie Hi-Media, qui affirme « discuter » avec plusieurs autres acteurs du secteur et prépare sa propre solution. Criteo, de son côté, confirme qu'il a en la matière des projets « qui vont dans le sens de l'industrie ». Mais le français reste discret sur ses développements, qui devraient aboutir courant 2014.

L'américain Drawbridge a, de son côté, développé un système permettant d'identifier un internaute, quel que soit le terminal qu'il utilise, en se basant uniquement sur des probabilités liées à son comportement. Actuellement, cette technologie permettrait de déterminer qu'un smartphone et un PC, par exemple, sont utilisés par une même personne, avec un taux de réussite de 60 à 70 %. Mais, dans les mois qui viennent, ce taux pourrait encore s'améliorer.

Drawbridge, fondé par une ex-« data scientist » de Google et soutenu par deux des plus gros fonds américains, Sequoia Capital et Kleiner Perkins Caufield & Byers, vient de se payer le luxe de débaucher l'ex-patronne de Google au Royaume-Uni pour développer ses activités en Europe. La course à la technologie est bien lancée.
Nicolas Rauline, Les Echos

Vie privée, Microsoft et Google se disputent pour des cookies
01Net du 21 février 2012

Redmond accuse Google d'outrepasser les règles de confidentialité d'Internet Explorer pour installer de force ses cookies. Mais pour Google, l'approche employée par Microsoft dans IE serait juste « ringarde ». Qui a raison ?
Eric le Bourlout

Après Safari, Internet Explorer ? Microsoft vient, sur son blog consacré à IE, de s’en prendre violemment à Google… Et c’est Dean Hachamovitch qui s’y colle. Le vice-président en charge d’Internet Explorer rebondit sur la polémique qui a agité le Web la semaine dernière : « Quand l’équipe d’IE a entendu dire que Google avait outrepassé les réglages de confidentialité dans Safari, nous nous sommes posés une question simple : Google contourne-t-il aussi les préférences de confidentialité par défaut dans IE ? »

Microsoft propose un filtre spécial pour IE 9, afin de bloquer les cookies de Google.
La réponse, on vous la donne en mille : oui. Selon Dean Hachamovitch, Google détourne bien les paramètres de confidentialité d’Internet Explorer pour mieux traquer ses utilisateurs. Mais pas du tout de la même façon que dans Safari. Le vice-président pointe du doigt le non-respect par Google d’un standard méconnu des internautes, le P3P (Platform for Privacy Preferences Project), défini il y a dix ans par le W3C pour permettre aux sites Web de déclarer ce qu’ils vont faire des informations personnelles qu’ils récoltent sur les internautes et des cookies qu’ils installent.
Or « par défaut, IE bloque les cookies de sites tiers, à moins qu'ils ne présentent des règles P3P indiquant comment ils vont utiliser le cookie et que le pistage de l’utilisateur n'est pas prévu », indique D. Hachamovitch. Mais « les règles P3P de Google forcent Internet Explorer à accepter ses cookies même si elles n’indiquent pas l'intention du géant du Web », poursuit-il.

Pour comprendre, il faut se pencher sur le fonctionnement de ce standard complexe, qui s'appuie sur une grammaire bien précise, que ne respecte pas Google. Ce dernier estime en effet que sa règle P3P (capture ci-dessous) n’en n’est pas une… Il l'indique même noir sur blanc : « Ce n’est pas une règle P3P » !
Or, et c’est un des gros défauts du P3P, si la déclaration n’est pas correctement remplie, les cookies sont installés tout de même. IE, en décryptant le message mal conçu de Google, laisse donc la porte ouverte au pistage de ses utilisateurs. « Les navigateurs compatibles P3P interprètent la règle P3P de Google comme indiquant que le cookie ne sera pas utilisé pour du pistage. En envoyant ce texte, Google outrepasse la protection contre les cookies et permet leur installation », détaille D. Hachamovitch.
Pour parer à ce problème, Microsoft propose donc aux utilisateurs d’IE 9 une solution radicale sous la forme d'un add-on : ajouter une liste de protection contre le tracking, qui va définitivement bloquer les cookies de Google et l’empêcher de pister les internautes.

Google réagit par la moquerie
Google a réagi aux accusations de Microsoft par une réponse envoyée à certains bloggeurs et journalistes américains, comme MG Siegler de Techcrunch. Cette missive, malgré un ton diplomatique, est une contre-attaque cinglante contre le post de D. Hachamovitch, contre Microsoft… et contre le P3P.
Il faut dire que Google a le Web avec lui. D’abord parce que, le P3P n’est supporté, parmi les navigateurs dominants, que par Internet Explorer. Mozilla, Apple ou Google ont préféré d’autres techniques de blocage de cookies. « Microsoft utilise un protocole “d’auto-déclaration” (connu sous le nom de P3P) qui date de 2002 et grâce auquel la firme de Redmond demande aux sites Web de présenter leurs pratiques en matière de confidentialité selon une forme compréhensible par une machine. Il est bien connu – y compris par Microsoft – qu’il est irréalisable de se conformer à ses requêtes tout en fournissant des fonctions Web modernes », indique Rachel Whetstone, vice-présidente au sein de Google. D’après elle, le P3P est notamment incompatible avec les boutons « j’aime » de Facebook, par exemple, ou le nouveau « +1 » de Google.
Une étude de l'université Carnegie Mellon montre que de nombreux sites importants ne respectent pas le P3P.
Elle enfonce ensuite le clou en accusant Internet Explorer d’être en retard technologiquement : « Les navigateurs comme Chrome, Firefox et Safari ont des réglages de sécurité plus simples. Plutôt que de vérifier les règles de vie privée d’un site, ces navigateurs laissent les gens choisir de bloquer tous les cookies, de bloquer seulement les cookies de tiers ou de les autoriser tous. »
Rachel Whetstone revient enfin sur l’échec de la technologie P3P. Une idée qui n’a jamais vraiment décollé. D’après les statistiques de TRUSTe qu’elle rapporte, seuls 12 % des 3 000 sites vérifiés par cette entreprise disposeraient d’entêtes P3P valides. Elle pointe même sur une étude [PDF] de l’université Carnegie-Mellon, qui en 2010 a montré que la plupart des sites Web les plus fréquentés au monde ne respectaient pas ce protocole : Google, mais aussi Amazon ou Facebook, voire certains sites de la galaxie Microsoft, comme live.com ou msn.com !
Alors, ringard, le P3P ? Pas sûr que Microsoft l’entende de cette oreille. Il n’en demeure pas moins que Google – comme d’autres – profitent bien d’une faille dans ce protocole recommandé par le W3C pour mieux vous pister !