DuckDuckGo, le moteur qui ne vous profile pas

Magazine
Marque
Linux Pratique
Numéro
95
Mois de parution
mai 2016
Domaines


Résumé
Quand vous utilisez un moteur de recherche tel que Google, il vous profile dans le but de personnaliser les résultats et les publicités qui vous sont envoyés. DuckDuckGo, lui, n'enregistre aucune information sur vous.

Body

En France, le moteur de recherche Google détient environ 94 % de parts de marché [JDN]. Dès lors, peut-on s'en passer ? J'ai décidé de tenter l'expérience, après l'avoir utilisé pendant plus de seize ans. Je vais donc vous raconter dans quel contexte j'ai adopté Google à la fin des années 90, ce que les moteurs font de nos données, puis essayer de comprendre pourquoi j'ai mis si longtemps à franchir le pas. Nous verrons ensuite qu'il existe des moteurs de recherche qui par principe ne vous pistent pas, en particulier DuckDuckGo. Après avoir présenté ce moteur et ses spécificités, nous ferons un bilan nuancé après quelques mois d'utilisation.

À noter que si le nom de Google revient régulièrement dans cet article, il aurait pu aussi s'agir de Bing, Yahoo ou tout autre acteur majeur du secteur, leurs pratiques étant similaires.

1. La conquête de l'Ouest

Le premier site web, celui du CERN, est mis en ligne au début des années 90 et le CERN met sa technologie dans le domaine public le 30 avril 1993 [WEB], ouvrant la voie à une croissance exponentielle du Web. Les moteurs de recherche deviennent alors vite indispensables. Au milieu des années 90, on utilise des moteurs tels que Lycos et AltaVista, dont les algorithmes sont principalement basés sur l'apparition des mots clés dans les pages web. À l'époque, le cyberespace peut être perçu par les premiers internautes comme une sorte de Far West, d'espace libertaire, de monde virtuel et donc hors-la-loi.

Google est créé en 1998 par deux doctorants, Larry Page et Sergey Brin. Dès les premières utilisations, il est évident que le fameux algorithme pagerank, basé sur le nombre de liens pointant vers chaque page (leur popularité en quelque sorte), donne des résultats plus pertinents que ceux des moteurs de l'époque. Autre contraste, la sobriété des pages d'accueil et de résultats de Google. Ces deux points feront rapidement son succès. J'adopte alors Google.

2. À l'est d'Eden

Nous sommes aujourd'hui pris dans la toile pour le meilleur et pour le pire. Nous savons que nos cyber-activités sont épiées et archivées par nos fournisseurs d'accès, par les grandes entreprises du réseau, par les États et leurs services secrets, et que les pirates et bandits de grand chemin sont légion. Il importe donc de savoir ce que chaque outil que nous utilisons fait des données que nous lui confions consciemment ou non.

Pour ce qui est des moteurs de recherche, il faut savoir que la plupart enregistrent non seulement les termes que vous recherchez, et DuckDuckGo le fait, mais également votre adresse IP et des informations sur votre navigateur, ainsi que la date et l'heure. Ils peuvent également utiliser un cookie contenant un identifiant pour vous pister. L'objectif est de vous profiler afin de personnaliser à la fois les résultats de recherche et les publicités qui vous seront envoyées [TRA]. Il faut bien que l'entreprise gagne de l'argent puisque le service offert est gratuit : « si c'est gratuit, vous êtes le produit ! » Dans la pratique, c'est votre ordinateur qui est profilé, car peut-être que plusieurs personnes l'utilisent. Mais si en plus vous êtes connecté au compte de votre moteur, les données peuvent alors être mises en relation avec votre personne. Enfin, quand vous cliquez sur un résultat proposé par le moteur de recherche, les mots recherchés sont généralement transmis aux sites visités, ce qui leur permet de faire des statistiques, mais éventuellement également de mieux vous profiler.

Or sur quoi portent vos requêtes ? Vous souciez-vous du devenir des mots-clés tapés dans votre moteur ? Par exemple, si vous avez un problème de santé, vous tapez des mots-clés dans votre moteur de recherche et tout cela est enregistré par ce dernier. Donc en même temps que vous cherchez de l'information, vous produisez et diffusez de l'information sur vous-même. À noter que l'on pense généralement au problème de la vie privée, mais qu'en est-il du secret professionnel ? N'est-il pas problématique qu'un moteur enregistre toutes les requêtes des salariés, et en particulier des cadres, d'une entreprise ? En cumulant quelques mois de requêtes, ne pourrait-on pas en déduire des choses sur la stratégie et les projets de l'entreprise ? Ainsi se trouve donc posé également le problème de l'espionnage industriel.

Et n'oublions pas qu'aucun système informatique n'est à l'abri d'un piratage, d'une interception, d'un bug ou d'une erreur humaine. Les données collectées par votre moteur de recherche peuvent se retrouver du jour au lendemain entre les mains de pirates ou publiées sur la toile. C'est ce qui est arrivé à 650000 utilisateurs d'AOL en 2006 [AOL] : heureusement leur nom n'apparaissait pas, mais un identifiant numérique permettait de relier les recherches entre elles.

Un élément important pour se protéger consiste bien sûr à ne pas mettre tous ses œufs dans le même panier, c'est-à-dire dans le même trust. Si nous prenons le cas de Google, ce n'est plus la start-up de 1998, mais une multinationale avec une capitalisation boursière de 500 milliards de dollars. Taper ses requêtes dans le moteur de Google, confier ses documents à Google Docs, confier ses courriels à Gmail, utiliser le réseau social Google+ est pratique, mais mieux vaut probablement disperser ses données chez le plus grand nombre d'acteurs possible afin de limiter les recoupements. En 1974, le projet SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus) consistant à interconnecter les fichiers administratifs avait à juste titre été repoussé et avait provoqué la création de la CNIL (Commission nationale de l'informatique et des libertés).

Le fondateur de DuckDuckGo dénonce également un effet de bulle créé par les grands moteurs de recherche [BUB]. Ils finissent par tellement bien vous profiler qu'ils ne vous servent que les résultats que vous souhaitez obtenir. Par exemple, si vous avez l'habitude de cliquer préférentiellement sur les actualités proposées par les journaux d'une certaine sensibilité politique, le moteur vous servira préférentiellement des informations correspondant à votre sensibilité. Exit la sérendipité, vous voilà enfermé dans une bulle, à l'abri de ce qui vous déplaît.

Enfin, Google soutient activement le mouvement transhumaniste [H+]. Le sujet est vaste, mais plutôt que d'attendre le moment où nous pourrons télécharger notre si précieuse personnalité dans une Intelligence Artificielle, moment nommé Singularité, peut-être pourrions-nous plus prosaïquement adopter un canard afin que notre dignité de citoyen soit un peu moins piétinée ?

Ô brave New World !

Dans 1984, écrit quelques années après la guerre, George Orwell imagine un monde totalitaire où chacun est constamment sous surveillance (« Big brother is watching you ») et où l'un des trois slogans du Parti est « Freedom is slavery ». Dans la novlangue appauvrie (newspeak) d'Oceania la pensée orthodoxe s'appelle goodthink et toute pensée déviante est qualifiée de crimethink. La thinkpol, police de la pensée, règne. Dans notre monde, faire une recherche sur la distribution Linux Tails utilisée par Snowden ou visiter le site de la distribution, suffirait à vous faire classifier par les algorithmes de la NSA comme un extrémiste [TAI]. S'intéresser à Tails est donc crimethink, alors qu'accepter la surveillance de masse est goodthink. Quand la SNCF expérimente des caméras [CAM] pour détecter les comportements suspects en se basant en particulier sur la température corporelle, le ton de la voix et les gestes, cela a un nom chez Orwell : facecrime.

Regarder en face ces évolutions peut donner le vertige. Surveiller la population n'est pas nouveau et cette surveillance a été et est assez massive dans les pays totalitaires. Mais désormais elle semble presque totale et globale, quels que soient les régimes politiques. Il est pourtant difficile d'accepter qu'un algorithme puisse décider que vous êtes suspect sur la base de quelques mots-clés ou de quelques clics. N'oublions pas que dans le film Brazil de Terry Gilliam (1985), M. Buttle est arrêté à la place du terroriste M. Tuttle, suite à un véritable bug : une mouche tombée dans l'imprimante provoque l'impression d'un B à la place du T.

On nous dira bien sûr qu'il n'y a pas de problème si nous n'avons rien à nous reprocher, mais des millions d'innocents ont été tués au XXe siècle pour leurs opinions ou leurs origines, et certains sans savoir ce qu'on leur reprochait, comme le héros de Kafka dans Le Procès. Nos démocraties nous surveillent bien sûr pour notre bien, mais en oubliant la possibilité qu'un changement de régime politique puisse faire qu'un gouvernement malintentionné, ici ou ailleurs, se retrouve à la tête de toutes ces données collectées et archivées. Et quand vous passez une frontière, que sait-on de vous ? Comment être sûr qu'un système informatique n'a pas décrété que vous étiez coupable de crimethink dans le pays en question ?

Pour échapper à ce totalitarisme soft (avec et sans jeu de mots), nous pourrions essayer de renoncer à toute technologie. Julian Assange préconise ainsi l'utilisation… de la Poste traditionnelle ! Ne pas utiliser les nouvelles technologies, c'est plutôt crimethink. Nous pouvons en tout cas nous informer sur le fonctionnement de nos outils et objets et les utiliser intelligemment pour limiter les risques.

3. Servitude volontaire

J'ai bien essayé occasionnellement au fil des années d'autres moteurs tels qu'Exalead ou Qwant, sans qu'il ne me semble y avoir de gain significatif… Mais la donne a changé. Pourtant, sachant ce que nous savons, pourquoi avons-nous tant de mal à agir ? Il m'a ainsi fallu deux ans avant de me lancer dans la lecture intégrale de l'excellent hors-série de MISC d'octobre-novembre 2013 consacré à la protection de la vie privée [HS]. C'est que toutes ces pensées sont dérangeantes et nous avons donc tendance à les évacuer rapidement plutôt que d'en tirer les conséquences : « j'y pense et puis j'oublie ». Pourquoi changer ses habitudes ? Quelqu'un né en démocratie et n'ayant jamais vécu de guerre pourra avoir tendance à croire que le monde est relativement stable. Seuls certains événements, nationaux ou internationaux, peuvent nous sortir au moins temporairement de notre torpeur et nous rappeler que d'autres générations ont vu leur monde partir en vrille et que nous n'en sommes pas à l'abri.

Face à ceux qui veulent nous profiler, la force de l'habitude est un de nos pires ennemis. On s'imagine simplement qu'il serait difficile ou désagréable de changer d'outil. Pour La Boétie, « la première raison de la servitude volontaire, c'est la coutume » et pour défaire le tyran, « il ne faut pas lui ôter rien, mais ne lui donner rien. »

Enfin, nous pouvons avoir tendance à croire que Google fournit toujours de meilleurs résultats que les autres moteurs, puisque c'est ce qui lui a permis de s'imposer rapidement. Et il est indéniable que Google fait le job et le fait très bien ! Mais les autres moteurs utilisent maintenant les mêmes principes. Il n'y a donc plus de raison valable de ne pas changer d'habitudes.

4. Adoptez un canard

Pour commencer à réagir, on peut donc adopter un moteur respectant notre vie privée, comme par exemple :

- DuckDuckGo : https://duckduckgo.com/ ;

- Ixquick : https://www.ixquick.com/. Fonctionnalité intéressante, ce moteur vous permet d’ouvrir les pages via son proxy d’anonymisation.

- Framabee, le moteur de Framasoft : https://framabee.org/ ;

- Qwant, un moteur français : https://www.qwant.com/ ;

- et pour les enfants Qwant Junior : https://www.qwantjunior.com/.

Sur la page d'accueil de chaque moteur, vous trouverez un lien vers sa politique de confidentialité (privacy policy), qu'il est conseillé de lire avant de faire son choix. Chaque moteur mériterait probablement un article, mais j'ai choisi de m'intéresser à DuckDuckGo, en particulier pour la clarté de sa politique de confidentialité et pour ses fonctionnalités.

4.1 Présentation de DuckDuckGo

DuckDuckGo est lancé fin 2008 par Gabriel Weinberg. Au début, il n'est pas orienté respect de la vie privée, mais plutôt vers l'apport de réponses exactes appelées Instant Answers. Puis son créateur comprend rapidement que s'il est un créneau sur lequel il peut concurrencer les grands moteurs sans craindre d'être mis à genou, c'est bien celui-là !

D'après son créateur, le nom du moteur lui aurait été inspiré par un jeu de cour d'école nommé duck duck goose (goose=oie). Il paraît que certaines personnes hésitent à utiliser DuckDuckGo parce qu'avoir un canard (Dax the duck) à l'écran ne fait pas sérieux. Mais les amateurs de pingouins, de gnous et de renards roux savent que le sérieux d'un outil passe avant tout par le respect de l'utilisateur.

Fin janvier 2012, Google annonce qu'il agrégera les informations qu'il détient sur les utilisateurs de son moteur, de Gmail, de YouTube et de 57 autres services, ce qui lui permettra de faire plus de « choses cool ». En un mois, DuckDuckGo passe de 700000 requêtes journalières à 1,4 million. Le 6 juin 2013, date à laquelle Edward Snowden commence ses révélations, le nombre journalier de requêtes directes dans DuckDuckGo est de 1,8 million [REQ]. Fin juin 2013, il dépasse les 3 millions. Début mars 2016, il est proche de 12 millions et continue de croître linéairement. À comparer néanmoins aux 3 milliards de requêtes par jour de Google.

Depuis fin 2014, DuckDuckGo fait partie des moteurs proposés par Firefox et Safari. Il est donc facile de choisir DuckDuckGo comme moteur de recherche par défaut. Dans Firefox, il suffit d'aller dans les Préférences et de modifier dans l'onglet Recherche le moteur par défaut. La page d'accueil (Fig. 1) rappelle par sa sobriété celle de Google. Notez que des applications DuckDuckGo sont disponibles pour Android et iOS. Et à partir de la version 2.2 de Firefox OS, il fait partie des moteurs proposés.

DuckDuckGo_accueil

Fig. 1 : Page d'accueil de DuckDuckGo.

Une fois n'est pas coutume, la politique de confidentialité de DuckDuckGo est exposée dans un langage clair [PRI], quoique pour l'instant uniquement en anglais, et il est donc conseillé de la lire. Avec DuckDuckGo, vous n'avez pas de compte, vous n'êtes pas identifié par un cookie, votre adresse IP n'est pas enregistrée et le profil (user agent) de votre navigateur non plus.Si la justice ou un État exigent de DuckDuckGo qu'il fournisse ses fichiers journaliers, il ne pourra donc fournir que ce dont il dispose : des mots-clés et des instants de connexion. Sachez également que dans les paramètres avancés, vous pouvez empêcher les sites cliqués de savoir quels termes vous avez tapés dans le moteur pour y parvenir. Attention, cette option n'est pas activée par défaut.

Côté fonctionnalités classiques, DuckDuckGo supporte les syntaxes avancées classiques telles que les guillemets, les parenthèses, les opérateurs OR et AND, le filtre -, filetype:, site:, intitle:, etc.

4.2 Fonctionnalités spécifiques

DuckDuckGo ne se contente pas de jouer sur l'aspect vie privée, mais propose également des fonctionnalités intéressantes pouvant le démarquer de ses concurrents.

Les bangs (points d'exclamation en argot) sont une fonctionnalité originale et très pratique de DuckDuckGo. Ils vous permettent d'être redirigé vers les pages de résultats des moteurs d'autres sites. Pour interroger Google, il vous suffira d'ajouter le bang !g dans votre requête. Pour Amazon, c'est !a, pour Wikipedia !w, pour YouTube !yt, pour eBay !ebayfr, pour Twitter !twitter, pour Google Translate !translate, etc. Par exemple, pour obtenir le tracé de la fonction sinus, vous pouvez taper !wa plot sin(x) qui vous redirigera sur le site WolframAlpha. Il y a plus de 7500 bangs et vous pouvez en suggérer de nouveaux.

Suivant les mots clés tapés, DuckDuckGo affichera plus ou moins d'onglets (Fig. 2) : Images, Vidéos,  Actualités, À propos, Significations, etc. En ajoutant news dans votre requête vous pourrez obtenir des actualités relatives aux mots-clés tapés. En ajoutant map, vous obtiendrez une carte.

DuckDuckGo_resultats

Fig. 2 : Résultats d'une requête dans DuckDuckGo.

DuckDuckGo ne veut pas se contenter de vous afficher une liste de liens. Quand cela est possible, il vous renvoie en haut de page une Instant Answer (réponse instantanée) [IA] obtenue grâce à l'interrogation d'un site de référence parmi une sélection de plus de 600 sites. Par exemple, la requête 500 euros to dollars renverra la valeur fournie par le site spécialisé www.xe.com. Et vous pouvez participer à la communauté DuckDuckGo sur https://duck.co/ en proposant des améliorations aux Instant Answers (communauté DuckDuckHack [DDH]), mais également en traduisant certains termes, en participant au développement, en participant à des forums d'utilisateurs, etc.

Dans les paramètres du moteur, vous pouvez changer de thème graphique, ce qui est intéressant, le thème par défaut ne mettant à mon goût pas assez en valeur les URL des résultats. Vous pouvez même personnaliser les couleurs des différents éléments, la police de caractères, la disposition de certains éléments, etc. Et vous pouvez sauvegarder les paramètres de configuration dans un cookie (qui ne contient pas d'identifiant), dans le cloud ou en les transmettant à chaque requête dans l'URL.

DuckDuckGo propose deux interfaces sans JavaScript, une classique https://duckduckgo.com/html et une légère https://duckduckgo.com/lite/, idéale en ligne de commandes. Et pour les fans de l'écran vert et noir, il y a https://duckduckgo.com/tty/ (il est préférable de désactiver la recherche de texte automatique de Firefox).

Enfin, pour plus de confidentialité, DuckDuckGo peut être combiné avec le réseau Tor, car il possède une enclave de sortie Tor.

4.3 Nuances

DuckDuckGo utilise le protocole sécurisé HTTPS qui garantit que tout ce qui circule entre votre navigateur et le serveur est chiffré [SEC]. Cela offre un bon niveau de protection même si vous ne serez probablement pas totalement à l'abri de services secrets puissamment équipés ou de pirates utilisant une faille inconnue du protocole. Mais ce n'est désormais plus un avantage par rapport à Google, celui-ci étant également passé en HTTPS.

DuckDuckGo est financé essentiellement par la publicité. Ces publicités sont servies en fonction des mots-clés tapés, mais vous n'êtes pas profilé donc elles ne sont pas personnalisées. Elles sont clairement identifiées en haut des résultats par une icône Annonce et sont peu invasives au niveau graphique. Et vous avez la possibilité de les désactiver dans les préférences du moteur. Enfin, DuckDuckGo a des accords avec certains sites commerciaux qui lui rapportent de l'argent si vous y accédez depuis le moteur. C'est une entreprise et il faut bien qu'elle gagne sa vie. Le pari de son fondateur est qu'il n'est pas nécessaire de profiler l'utilisateur pour lui servir de la publicité. Si vous tapez « voiture » dans DuckDuckGo, vous aurez donc une publicité automobile quelconque, comme dans un magazine.

Même si DuckDuckGo dispose de son propre robot d'indexation DuckDuckBot, il utilise également les résultats obtenus à partir d'autres moteurs et de sites spécialisés, dont Yahoo! et Bing, ce qui lui évite d'investir dans de gigantesques infrastructures pour indexer la totalité du net. Notez bien que Microsoft va donc récolter vos requêtes ! Mais sans données permettant de vous identifier.

Enfin, quelles preuves avons-nous que DuckDuckGo fait ce qu'il dit ? Cela relève bien sûr de la confiance. Sachant que le moteur est basé aux USA, la NSA ne peut-elle pas le pirater discrètement ? De toute façon, elle siphonne tous les câbles à sa portée [EFF]… Certains préfèrent utiliser le moteur Ixquick, basé aux Pays-Bas. Ou Qwant qui est un moteur français. Mais la NSA est installée en Allemagne, et les pays européens ont également des services secrets avec de grandes oreilles. Les services français siphonnent également à tout-va les fibres optiques [FRA]. Il est donc probablement illusoire de vouloir se protéger intégralement des États, mais ce n'est pas une raison pour ne pas se protéger des pirates de tout poil et des multinationales qui veulent nous profiler.

Bilan

Après avoir utilisé DuckDuckGo pendant trois mois tant pour mon usage privé que pour mon usage professionnel, je constate qu'il est beaucoup plus facile de changer de moteur de recherche que je ne le pensais. Je trouve facilement et rapidement ce que je cherche. J'apprécie les fonctionnalités qui distinguent DuckDuckGo, en particulier les bangs et les Instant Answers.

Ponctuellement, il peut encore m'arriver d'utiliser Google (bang !g) si je ne suis pas satisfait, dans l’espoir de trouver mieux (ce qui est finalement rarement le cas). Jusqu'à nouvel ordre, je continue d'utiliser de temps en temps Google Actualités parce que je n'ai pas trouvé mieux pour faire des recherches dans l'actualité, YouTube pour la richesse de son offre, ainsi qu'occasionnellement Google Patents et Google Books. Je n'en suis donc pas encore à « ne lui donner rien », mais vu le nombre de requêtes que nous tapons chaque jour, l'avancée est significative.

Changer de moteur de recherche n'est qu'un petit pas parmi d'autres que nous pouvons accomplir afin de reprendre en main notre vie privée. Mais c'est le plus facile d'un point de vue technique : pas de nouveau logiciel à installer, juste un changement d'habitudes. À vous de choisir votre moteur, ou vos moteurs, en connaissance de cause. Vous êtes libre de changer d'habitudes !

Références

[JDN] http://www.journaldunet.com/ebusiness/le-net/parts-de-marche-des-moteurs-de-recherche-en-france.shtml

[WEB] http://cds.cern.ch/record/1164399

[TRA] http://donttrack.us

[AOL] http://www.cnet.com/news/aols-disturbing-glimpse-into-users-lives/

[BUB] http://dontbubble.us

[H+] https://fr.wikipedia.org/wiki/Transhumanisme#Google_et_le_transhumanisme

[TAI] http://daserste.ndr.de/panorama/aktuell/nsa230_page-3.html

[CAM] http://www.lemonde.fr/pixels/article/2015/12/17/a-la-sncf-des-logiciels-pour-detecter-les-comportements-suspects-par-videosurveillance_4833882_4408996.html

[HS] « Apprenez à protéger votre vie privée », MISC hors-série n°8, octobre-novembre 2013

[REQ] https://duckduckgo.com/traffic.html

[PRI] https://duckduckgo.com/privacy

[IA] https://duck.co/ia

[DDH] http://duckduckhack.com/

[SEC] https://duck.co/blog/post/225/what-does-secure-web-connection-do

[EFF] https://www.eff.org/nsa-spying/how-it-works

[FRA] http://www.numerama.com/magazine/33573-ecoutes-des-fibres-optiques-par-la-france-ce-que-revele-l-obs.html




Articles qui pourraient vous intéresser...

Notes : commentez votre navigation sur le Web

Magazine
Marque
Linux Pratique
Numéro
121
Mois de parution
septembre 2020
Domaines
Résumé

Développée par Mozilla Firefox, Notes est une extension pour votre navigateur web qui va ajouter un panneau latéral dans ce dernier afin que vous puissiez y apporter vos annotations lors de vos explorations sur la Toile.

Partagez vos fichiers volumineux facilement et de manière sécurisée avec Firefox Send

Magazine
Marque
Linux Pratique
Numéro
120
Mois de parution
juillet 2020
Domaines
Résumé

Firefox Send est un service de Mozilla de partage de fichiers en ligne. Pour des utilisateurs non techniques, qui ne sauraient pas utiliser un serveur FTP ou tout autre partage réseau, c’est une très bonne alternative web pour mettre en ligne des fichiers volumineux de manière simple. Il existe déjà de nombreux services similaires, parfois gratuits et souvent propriétaires. Dans cet article, nous allons voir comment utiliser ce service pour partager de manière sécurisée vos fichiers, et surtout pour héberger votre instance.