Gare aux supercookies : les associations de défense de la vie privée se mobilisent

août 19, 2015

Acces Now_site_supercookies

Les supercookies, ces identifiants uniques d’individus permettant de les suivre lorsqu’ils naviguent sur Internet avec leurs téléphones mobiles, ne seraient a priori quasiment plus utilisés aux Etats-Unis, mais largement exploités ailleurs, selon une étude de l’ONG Access Now, relayée par la presse américaine, dont le Wall Street Journal, qui a enquêté sur ce sujet.

Acces Now_rapport supercookies_couveCette association de défense de la vie privée sur Internet basée aux Etats-Unis a ainsi réalisé plus de 200 000 tests dans 164 pays durant six mois à travers un site – amibeingtracked.com – mis en place spécialement pour l’occasion. Elle a trouvé des supercookies dans dix pays, parmi lesquels le Canada, la Chine, l’Espagne, l’Inde, le Mexique, le Maroc et le Venezuela. 15,3% des tests ont prouvé l’existence de codes de tracking du type supercookies.

Ces supercookies sont des codes spécifiques à chaque terminal mobile placés au sein du réseau et donc par définition hors de la portée de l’utilisateur (contrairement aux cookies sur le desktop, qui sont accessibles au sein du navigateur). Ces codes ont ainsi l’inconvénient de fonctionner à l’insu de l’utilisateur. Les données de navigation de ces utilisateurs – tout comme des données personnelles dont disposent les entreprises de téléphonie mobile faisant usage de ces supercookies, dont des numéros de téléphone – sont ensuite transmises, sans que ceux-ci ne soient au courant, à des tiers à des fins notamment de marketing. Selon Acces Now, ces supercookies sont actifs même au sein de sites accessibles via des connections sécurisées…

Qui fait quoi et où ?

L’étude affirme que le groupe Verizon Wireless serait toujours en train d’utiliser des supercookies aux Etats-Unis. AT&T aurait progressivement arrêté cette pratique fin 2014. Selon The Wall Street Journal, le groupe Verizon aurait argumenté qu’il offre à ses utilisateurs le choix de ne pas y être exposés (opt-out). Or, d’après un chercheur de l’Electronic Frontier Foundation (EFF), association américaine très active en la matière et pour la défense de la vie privée en ligne, Jacob Hooffman-Andrews, l’opt-out n’est pas approprié pour les supercookies : il faudrait, au contraire, que les entreprises de téléphonie mobile appliquent l’opt-in, qui est une demande de consentement préalable, pour que le processus soit mis en route, contrairement à l’opt-out qui est une possibilité de ne plus être inclus dans un processus qui fonctionne par défaut et souvent à son insu.

Ailleurs, la solution serait exploitée par exemple en Espagne par Telefonica, au Canada, par Bell, aux Pays-Bas, par Vodafone et au Peru, par Viettel (la liste complète est fournie par le rapport, lire ici). L’article d’Elizabeth Dwoskin du WSJ cite également la plateforme demand side Turn, qui explorerait les identifiant uniques fournis par Verizon, même ceux relatifs à des utilisateurs qui auraient opté pour ne pas y être inclus. Aucune de ces entreprises n’aurait a priori pas souhaité répondre aux sollicitations de la journaliste.

Acces Now_rapport supercookies_par entreprise

A propos des supercookies, pratique condamnée également par le consortium W3C, lire aussi notre article publié hier.

Le rapport complet d’Acces Now est disponible sur ce lien.

Le résumé peut être téléchargé ici.

Lire ici l’article de d’Elizabeth Dwoskin, paru récemment au Wall Street Journal.

Enfin, Ad-exchange.fr publiera dès cette rentrée une série d’interviews d’acteurs de l’adtech au sujet de la data, du marketing et du respect de la vie privée.

LUL

(Images : amibeingtracked.com, The rise of mobile tracking headers : how telcos around the world are threatening your privacy, Acces Now.)