Voilà qui ne va pas augmenter le capital confiance des internautes vis à vis de certains des sites qu’ils ont l’habitude de visiter (et plus généralement vis à vis d’internet). Une nouvelle méthode de tracking vient en effet d’être révélée au grand jour par une équipe de chercheurs en sécurité, une méthode qui a pour particularité de ne pas s’appuyer sur les cookies, ce qui dans les faits signifie qu’elle est aussi capable de contourner les pare-feu anti-trancking actuels.
Développé par la société AddThis, cet « outil » serait déjà installé sur près de 5% des sites les plus visités dans le monde, et ceci bien sûr totalement à l’insu des utilisateurs.
Comment cela fonctionne t-il ? Aussi incroyable que cela puisse paraître, le procédé est extrêmement simple : lors de la connexion à un site « équipé » du logiciel d’AddThis, une instruction est envoyée au navigateur de l’utilisateur afin que celui-ci stocke une image cachée et calculée de façon à n’être jamais identique à une autre image déjà générée sur un autre navigateur. Cette « empreinte« , comme un signe qui aurait été marqué sur votre porte, va ensuite permettre de spécifier l’historique des visites pour cet identifiant particulier, de la même façon que le ferait un cookie.
Des sites français utilisent déjà le bout de code d’AddThis, comme Météo France, Telerama, Metronews ou bien encore Louvre.fr, et l’on peut s’étonner (et pas qu’un peu) qu’un tel système de traçage ait pu être placé sur ses sites sans jamais que l’option d’avertir l’utilisateur ait été envisagée. Il semble qu’en fait AddThios s’appuie ici sur un « trou » légal lui permettant de contourner les lois en vigueur sur l’emploi de cookies. Et pour cause puisque ces lois, en ne plaçant que les seuls cookies dans le viseur de la justice (et rendre par exemple illégal le fait de contourner un blocage de cookies voulu par l’utilisateur), ont laissé un boulevard a tout autre méthode de « suivi », même si l’utilisateur n’est pas informé qu’on vient de lui nouer un fil à la patte.
Certes, AddThis précise que les données collectées ne sont qu’à usage interne (doit-on vraiment le croire ?), mais en soi la méthode employée pose de lourdes questions. Afin de ne pas (trop) porter le flanc à la critique, AddThis a fourni un outil optionnel d’Opt out pour contrôler l’activation du tracking, mais encore faudrait-il que les utilisateurs soient au moins au courant qu’un tracking légal est déjà à l’oeuvre dans leur navigateur.
