Faire une recherche sur Internet est devenu l'acte le plus commun qui soit. On rentre une série de mots, on clique sur le bouton «recherche Google» , et hop, la page de résultats s'affiche. Mais entre le clic et l'apparition de la page suivante, tout un processus s'est mis en marche. Et la recherche elle-même n'en est qu'une partie. Une simple requête sur Google crée en effet une passerelle avec sa régie publicitaire DoubleClick. Le premier informe la seconde des termes tapés et de l'identité de l'internaute qui les a cherchés, puis DoubleClick répond en fournissant, s'il en a en stock, des annonces susceptibles d'intéresser l'internaute en question. Cette conversation est normalement invisible aux yeux des utilisateurs.
Quelles traces ?
Mais grâce à Collusion , une extension à installer sur le navigateur Firefox, elle se matérialise soudain sous la forme d'une ligne reliant deux petits ronds : l'un pour Google, l'autre pour DoubleClick. Lancée il y a dix jours à peine, Collusion a été développée par Mozilla, la fondation en charge de Firefox, toujours très impliquée dans les questions de vie privée sur Internet. Le petit logiciel permet de visualiser toutes les interactions des sites que l'on visite et les tierces parties avec lesquelles ils communiquent en arrière-plan.
Le graphique qui se déploie à l’écran en temps réel est impressionnant. On lit un article sur Lemonde.fr, et ce ne sont pas moins de sept nouveaux fils qui se tendent : l’un pointe vers Facebook, les autres vers Weborama, VisualRevenue, Estat, Xiti, Ligatus… Autant de régies publicitaires et d’outils de mesure d’audience pour les sites web avec lesquels travaille le journal pour mieux connaître et monétiser ses lecteurs. Un tour sur Dailymotion: dix-neuf liens jaillissent. Sur Liberation.fr, cinq, et sept pour Ecrans.fr (beurk).
Au fil de la navigation, la bestiole déploie d’innombrables mandibules et tisse une toile complexe, telle une araignée numérique sous ecstasy, nous offrant un schéma précis des traces qu’on a laissées sur le Web, involontairement et surtout inconsciemment. Après un jour ou deux de surveillance, Collusion peut répertorier jusqu’à plusieurs centaines de régies et de serveurs différents, qui ont tous gardé un petit souvenir de notre passage.
À quoi servent-elles ?
Le graal, c’est le clic. Pas celui sur le titre d’un article sur un site d’actualité, mais celui sur la bannière de publicité ou le lien sponsorisé. Car si certaines campagnes sont encore aujourd’hui payées en fonction du nombre d’affichages sur un navigateur, il est intéressant pour les annonceurs de ne payer que pour les internautes qui interagissent effectivement avec leur annonce. D’où l’impérieuse nécessité de cibler au maximum les pubs en fonction du profil des internautes, pour avoir une chance qu’ils daignent leur accorder une pression sur le bouton de la souris. Résultat, il suffit d’avoir un jour regardé la dernière collection sur un site de maillots de bain de luxe, pour se retrouver avec des réclames pour bikinis pendant qu’on recherche un horaire de cinéma ou qu’on se renseigne sur le prix d’un hôtel.
Et c'est la version simple du dispositif. L'idéal (du point de vue des annonceurs, bien sûr), c'est de connaître les centres d'intérêt d'un internaute avant qu'il ne s'égare de lui-même sur un site marchand. C'est, entre autres, la spécialité de Google et Facebook qui ont l'avantage, par leur position centrale dans les activités numériques, d'accompagner les internautes tout au long de leur surf (lire ci-contre). On peut d'ailleurs avoir accès à son profil publicitaire sur Google , où on peut découvrir ce qu'il a deviné de nos activités en ligne. L'âge et le sexe (pas forcément exacts, d'ailleurs) y côtoient divers centres d'intérêt comme «jeux en ligne» , «shopping» , «appareils photo» …
On peut se cacher ?
Naviguer incognito est presque mission impossible sur Internet. Il faudrait pour cela anonymiser intégralement sa connexion en utilisant un réseau comme Tor, un peu disproportionné si l’on est juste gêné par le pistage publicitaire… Quelques précautions permettent toutefois de réduire le flot d’informations personnelles qui se déverse sans cesse vers les sites visités et les tierces parties.
D'abord dans les préférences du navigateur : cocher les cases «bloquer les cookies et les données de sites tiers» et «ne pas me pister» . La seconde option n'a aucune garantie d'efficacité : elle se contente d'envoyer un message aux sites visités, qui peuvent obéir ou non. Elle est intégrée sur tous les navigateurs… sauf Chrome, celui de Google (mais ça va bientôt changer ).
Le plus efficace reste de s'en prendre aux serveurs qui collectent les traces. On peut se protéger des régies publicitaires avec un bloqueur comme Adblock Plus , qui se greffe au navigateur. Il faut ensuite choisir des listes noires d'annonceurs à bannir : sur adblockplus.org/fr/subscriptions , sélectionner par exemple easyprivacy et/ou adversity. Des extensions comme Ghostery font la même chose, et éradiquent en plus les systèmes de mesure d'audience (Google Analytics, SiteMeter…) et le pistage des réseaux sociaux. Un dernier vaccin sur le site Privacychoice.org , véritable encyclopédie des traqueurs, met hors-jeu 160 espions d'un seul clic.
Quant à Google, il disperse en plusieurs lieux les quelques contrôles laissés à ses utilisateurs. On désactive l'enregistrement des recherches sur Google.com/history , l'historique des vidéos visionnées sur Google.com/dashboard , section YouTube, ainsi que la constitution d'un profil d'internaute et l'affichage de pubs ciblées sur Google.com/settings/ads . Ouf ! Si Google promet «transparence et liberté de choix» pour tous ses utilisateurs, il ne faudrait tout de même pas que ça soit facile…
Trois types d’espion
La pub
C’est bien sûr le nerf de la guerre : pister les internautes pour connaître leurs goûts et afficher de jolies publicités où qu’ils soient.
Du coup, à chaque fois qu’une bannière publicitaire est affichée, des informations sur l’utilisateur sont envoyées aux serveurs des agences. Et un petit mouchard appelé «cookie» est placé dans l’ordinateur de l’internaute.
«J’aime»
Ils fleurissent sur les sites d’information, les blogs et sur toutes les pages web qu’on peut se partager sur Facebook. Le pouce en l’air sur fond bleu permet d’un seul clic de faire savoir à ses amis qu’on «aime» tel article, telle chanson, telle vidéo ou tel produit. Problème : même si on ne clique pas, Facebook est au courant de notre visite sur cette page et peut stocker tranquillement l’info sur ses serveurs. Le petit «+1» de Google + fonctionne exactement sur le même principe.
Le code caché
Plus pernicieux, il y a des codes invisibles à l’œil nu et qui ne se privent pas de récolter leur part d’information sur les visiteurs de passage. Ils se nichent généralement au fin fond du code HTML et n’apparaissent pas sur la page. Il s’agit par exemple des outils de statistiques des visites qui font appel à des serveurs privés. Sans surprise, Google propose un tel service qui s’appelle Analytics.
Paru dans Libération du 12 mars 2012