Google détourne les paramètres Cookies de Safari pour pister les utilisateurs
Dans un rapport du Wall Street Journal, Google, ainsi que d'autres agences publicitaires, a découvert un point faible dans Safari sur Mac et iOS qui permet d'outrepasser les protections de confidentialité, afin de pouvoir pister les utilisateurs par des publicités ciblées sur des sites populaires. Google utilise cette faille pour inclure des boutons +1 dans ses publicités en trompant le système et autorisant des cookies normalement bloqués par Safari, les faisant apparaître comme des cookies de premières importances.
Le remplissage d'un formulaire, par exemple, est considéré comme une interaction de première importance et est donc accepté par Safari. Dès lors, Google ajoute du code sur certaines de ses publicités qui fait croire à Safari que cette personne soumet un formulaire invisible à Google, laissant Safari installer le cookie sur le téléphone ou l'ordinateur. Et bien que le cookie incriminé ne soit valide que 12 à 24 heures, cela pourrait amener à un pistage excessif des utilisateurs de Safari, car une fois un cookie installé par une entreprise, il est plus facile d'en rajouter par la suite.
Google a cessé cette pratique une fois contactée par le Wall Street Journal et a minimisé l'impact en précisant que les cookies ne contenaient pas d'informations personnelles et que cela ne touche que les personnes possédant un compte Google actif (signed-in).
Un blog du Wall Street Journal dénonce d'autre part que cette faille, qui était déjà bloquée par le passé dans Webkit – le moteur libre (open-source) de Safari et Google Chrome et disponible en ligne – a été modifiée par deux ingénieurs de chez Google pour permettre de la contourner. Apple s'est dite au courant de ces pratiques de contournement des options de confidentialité et travaille pour y mettre un terme. Une mise à jour de Safari devrait dès lors arriver pour interdire l'installation de cookies après la soumission automatique d'un formulaire invisible.
Dans le contexte actuel de bataille rangée autour de la problématique "identité sur le net"(utilisation compte fb, twitter, g+, etc pour se loguer sur quasi tous les sites/services), bataille rangée laissée à deux ou trois "monstres" prônant en plus souvent ouvertement la fin de l'anonymat, utilisation de pseudos, privacy sur le net (déclarations claires à ce sujet de E Schmidt ou M Zuckerberg, du genre « le vie privé c’est fini, il faudra juste vous y faire), ou par exemple : http://www.slate.fr/story/48099/facebook-tu-me-fais-peur ou : http://www.glazman.org/weblog/dotclear/index.php?post/2011/11/14/Facebook-Morons Ainsi que l'utilisation/vente des données personnelles, valeur majeure de l'affaire, par exemple : "#Facebook, 800 millions d'users, valorisé 100 milliards. A la bourse de l'humain numérique, je vaux donc 125$. " https://twitter.com/#!/marklor/status/163698040195121152 Il est assez évident qu'aucune loi uniquement "défensive" ou "contraignante" sur l'existant ne "fonctionnera", et il est essentiel de définir un nouveau rôle et organisations associées, à ce sujet : http://iiscn.wordpress.com/2011/06/29/idenum-une-mauvaise-idee/ Ou rappelons le, pour que les choses "fonctionnent sans friction"(ne pas voir 36000 login/passwrds à se rappeler), il n'est nécessaire en aucune manière qu'un identifiant unique par personne ne soit partagé entre les acteurs (pas plus que votre numéro de profil facebook ou google est transmis à qui que ce soit), et que cette direction devrait de fait être évitée à tout prix. Rôle et organisations (plusieurs bien évidemment et avec possibilité de déménager, condition sine qua non à possibilité de relation de confiance) associées, exactement le et les mêmes nécessaires pour la mise en place d'un environnement du type : http://iiscn.wordpress.com/2011/05/15/concepts-economie-numerique-draft/ Et il ne s'agit en aucun cas de "tout refaire", techniquement quasi tout est déjà là.