Cookies et autres traceurs : quelles règles ? Quelle protection pour la vie privée ?

Magazine
Marque
MISC
Numéro
81
|
Mois de parution
septembre 2015
|
Domaines


Résumé
Les techniques de traçage en ligne et le traitement des données qu’elles fournissent sont encadrés par des règles précises et complémentaires tendant à garantir aux internautes la maîtrise de leurs données, dans un environnement complexe où l’opacité tend à régner.

Body

1. La loi encadre le traçage et le traitement ultérieur des données

1.1. L’encadrement de la technique de traçage par l’article 32 II de la loi « Informatique et Libertés »

En 2009, la réforme d’un corpus de règles européennes connues sous le nom de « Paquet Télécom », et en particulier de la directive dite « vie privée dans le secteur des communications électroniques » (directive 2009/136/CE), a renforcé la maîtrise des internautes sur leurs données en passant d’un principe de droit de « refus » (dit d’opposition) du traçage, au demeurant méconnu et mal appliqué, à un principe de consentement préalable conditionnant l’usage de ces traceurs. La directive prévoit que l’équipement terminal de l’utilisateur ainsi que toute information stockée sur cet équipement relèvent « de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales » et ce indépendamment du fait que les informations collectées puissent être qualifiées de données à caractère personnel. L’idée maîtresse est ici de protéger la confidentialité des communications électroniques.

Ces nouvelles règles ont été intégrées en 2011 dans l’article 32 II de la loi « Informatique et Libertés » française. Désormais, « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

- des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ».

Souvent présentées, à tort, comme ne ciblant que la technique des cookies (ou témoins de connexion), ces dispositions régissent en réalité toutes les actions consistant à « accéder (…) ou à inscrire des informations » (lecture et écriture) sur le terminal d’un utilisateur d’internet, et répondant à un objectif autre que la fourniture de la connexion ou du service demandé. Par exemple, l’utilisation de « web bugs », d’« etag », du « fingerprinting », de pixels invisibles, permet la transmission d’un paramètre unique permettant de reconnaître l’internaute et constitue donc une opération soumise à accord préalable. De même les cookies http, les « local shared object » (cookie flash), le stockage web local, qui conduisent à inscrire des informations dans le terminal et agissent comme une « balise » permettant d’individualiser l’internaute, nécessitent également le consentement de l’internaute concerné.

Afin de préciser la portée et les conséquences pratiques de l’article 32.II, la CNIL a publié une recommandation le 5 décembre 2013, dont il résulte que l’accord de l’internaute doit « se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer ». En d’autres termes, pour être valable l’accord doit être exprimé librement et en connaissance de la finalité des cookies déposés, et ceci, préalablement au dépôt de cookie. Le consentement étant révocable à tout moment, un moyen simple doit être proposé aux utilisateurs pour, d’une part, supprimer les cookies déjà déposés et, d’autre part, bloquer la lecture et le dépôt de nouveaux cookies.

Dans ces conditions, on comprendra aisément que le paramétrage d’un navigateur, souvent configuré par défaut pour accepter sans distinction tous les cookies, ne puisse pas toujours être considéré comme l’expression d’un choix préalable, libre et avisé de l’internaute. L’abstention de l’internaute ne peut pas non plus s’interpréter comme une action positive et éclairée quant à la finalité des traceurs utilisés par chaque site internet visité, mais comme un consentement « à l’aveugle » conduisant à accueillir indifféremment la lecture et l’écriture ultérieures d’informations sur leur terminal.

1.2 L’encadrement des différents traitements des données de suivi de navigation

Le cas le plus classique reste l’usage de traceurs dans le cadre du marketing digital, afin de diffuser de la publicité personnalisée au regard de la navigation de l’internaute. Alors qu’afficher une publicité contextuelle conduit à adapter le contenu présenté à la nature du site visité (par exemple une publicité pour des baskets sur le site d’un magasin de sport), servir une publicité comportementale repose sur l’analyse des actions du visiteur (visites successives de sites, interactions, mots clés, production de contenu en ligne, etc.) pour établir un profil spécifique et afficher lors de ses visites des publicités personnalisées. Ce suivi peut être riche d’enseignements, par exemple pour définir le sexe et l’âge approximatif de la personne, déduire des pages visitées une classification socio démographique, déterminer des centres d’intérêt et ceci par analogie avec les schémas comportementaux identiques constatés chez d’autres personnes.

Ces profils dits prédictifs, car déduits du comportement, peuvent être croisés avec des profils explicites construits à partir des informations fournies par l’internaute lors de la création et de l’utilisation d’un compte client. À titre d’exemple, la CNIL a relevé dans une délibération n°2013-420 du 3 janvier 2014 prononçant une sanction pécuniaire à l’encontre de Google Inc que cette société « traitera l'ensemble des données de navigation issues de sites tiers intégrant l'outil DoucleClick pour créer des profils utilisateurs à des fins de ciblage publicitaire, que les personnes concernées soient ou non des utilisateurs authentifiés. Les données collectées par ce biais seront associées aux données figurant dans les comptes utilisateurs Google quand les personnes concernées accéderont ultérieurement à des services requérant leur authentification préalable, et ce alors même que leur consentement spécifique n'aura pas été recueilli en amont ».

En outre, le croisement des données de comptes utilisateurs et des données de navigation permet, par exemple, d’effectuer des envois de courriers électroniques, postaux, d’identifier les différents terminaux utilisés par une même personne (cf. pratique du « cross canal » et du « cross device » explicitée par l’article « Détecter et analyser les cookies et autres traceurs »), ou d’affiner le ciblage et la segmentation applicable à la personne.

De manière plus générale, les techniques de traçage rétablissent, voire renforcent le lien entre un terminal et son utilisateur. Elles sont à ce titre de plus en plus exploitées dans le cadre de traitements de lutte contre la fraude et l’usurpation d’identité, voire pour consolider des techniques d’authentification plus classiques. Ici la reconnaissance de l’individu, grâce aux informations inscrites sur son terminal ou aux paramètres émis par ce dernier, vient confirmer ou infirmer un risque d’usurpation d’identité. Ce sera par exemple le cas lors de la connexion à un compte bancaire, ou d’un paiement par carte bancaire à l’occasion d’un achat en ligne (cf. délibération de la CNIL n°2013-367 du 28 novembre 2013 autorisant la société ONEY TECH à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la lutte contre les risques de fraude au paiement sur internet, intégrant, après recueil du consentement préalable, la technique du fingerprinting).

Si la finalité de ces traitements n’est clairement pas « marketing », le traçage des personnes réalisé pour atteindre cette finalité n’est pas pour autant nécessaire à la navigation de l’internaute. La condition du recueil de l’accord préalable et informé de l’internaute inscrite à l’article 32.II de la loi leur est donc applicable.

Certains cookies servent également une finalité très générale de mesure d’audience des sites, pour produire des statistiques. Les fonctionnalités de ces outils sont variables, allant du simple « comptage » du nombre d'internautes entrés sur une page Web (en distinguant les visiteurs uniques revenant à plusieurs reprises sur un même site ou nombre de visites) et n’ayant pas poursuivi leur navigation (taux de rebond), à la réalisation d’opérations dites d’AB testing (par exemple, deux groupes d’internautes sont redirigés vers deux versions distinctes d’un même site web pour évaluer leur succès respectif), ou encore à l’évaluation d’un parcours client pour en améliorer l’ergonomie. Sous réserve du respect d’une série de conditions (telles que la seule production de statistiques, l’interdiction de croiser les données avec des données extérieures, l’interdiction de suivi entre différents sites et la possibilité de refuser le suivi à tout moment, etc.) limitant les risques de ces outils pour la vie privée des internautes, la CNIL permet leur mise en œuvre sans accord préalable de l’internaute.

En résumé, les données issues du traçage concernant des personnes individualisées peuvent être exploitées dans des finalités très diverses. Il faut retenir que chaque traitement opéré sur ces données (profilage publicitaire, lutte contre la fraude, etc.) sera régi par l’ensemble des principes de la « loi Informatique et Libertés ». En effet, la loi couvre toute information rattachable à une personne susceptible d’être identifiée par différents moyens, que ceux-ci soient à disposition du détenteur des données ou non. Par exemple, les régies traitant les informations relatives aux connexions réalisées depuis un navigateur donné ne sont théoriquement pas en mesure d’affirmer que ledit navigateur est utilisé par Jean Dupont à partir de l’adresse IP collectée ou des éléments que ce dernier a consulté. Néanmoins, quelques recoupements d’informations, par exemple entre l’adresse IP de connexion et les données détenues par le fournisseur d’accès à internet de Jean Dupont, ou encore l’analyse de la localisation de chaque connexion, ou la simple analyse des commentaires laissés par des utilisateurs sous pseudonyme sur certains sites, ou l’identifiant unique propre au cookie déposé permettent de remonter jusqu’à la personne.

Conformément à la loi « Informatique et Libertés », chaque acteur décidant d’exploiter les données de suivi pour son compte doit définir précisément l’objectif de son traitement, s’assurer de sa légitimité, vérifier que les données ne sont pas conservées au-delà de la durée nécessaire pour atteindre cet objectif (par exemple, si les données comportementales peuvent être intéressantes sur un historique de 13 mois pour cibler des offres commerciales, leur conservation au-delà de cette durée ne présente pas beaucoup d’intérêt). De même, les données traitées doivent être pertinentes au regard de l’objectif fixé et ne doivent pas présenter un caractère sensible au sens de la loi (informations portant sur la vie sexuelle, les opinions politiques ou syndicales, à la santé, etc.), sauf si le consentement exprès des intéressés est recueilli.

La protection apportée par la loi « Informatique et Libertés » repose aussi sur la reconnaissance de droits aux personnes concernées, notamment la possibilité de demander l’effacement ou la rectification de leurs informations ou d’en obtenir une copie complète, et d’obtenir la liste des organismes qui en ont été rendus destinataires. Enfin, cela signifie que la collecte des données et leur traitement doivent se faire de manière sécurisée et confidentielle.

2. Mise en application : une brève séquence de la vie en ligne des époux Martin

Après avoir consulté différents sites de voyage pour planifier ses vacances d’hiver au soleil, Madame Martin se rend sur deux sites de presse gratuite ; sur chacun de ces sites, une bannière publicitaire s’affiche lui proposant une offre spéciale pour des vacances à la Réunion et en Guadeloupe.

Entre-temps, un courriel lui a été adressé par une enseigne de cosmétiques vantant les mérites d’une crème solaire. Séduite, elle décide de se rendre immédiatement sur le site de la marque, de se créer un compte client et d’acheter ladite crème en renseignant son adresse pour être livrée à domicile. Toujours à la recherche de bonnes affaires, Mme Martin accepte, comme à son habitude, que ses données soient transmises aux partenaires commerciaux de la marque.

De son côté, Monsieur Martin s’inquiète des conséquences du changement de régime alimentaire inhérent à tout voyage pour un problème de cholestérol récemment diagnostiqué par son médecin. Il tente de trouver des réponses sur différents forums spécialisés accessibles gratuitement en ligne. Une semaine plus tard, un courrier vantant les mérites d’un médicament censé lutter contre le mauvais cholestérol atterrit dans la boîte aux lettres du domicile des époux Martin.

À la suite de chacune de leur visite, ces personnes ont donc reçu de la publicité personnalisée au regard des pages auxquelles elles se sont intéressées. Si ces pratiques ne sont pas interdites, elles résultent de plusieurs opérations techniques devant se succéder et s’opérer dans le respect des principes rappelés plus haut.

2.1 Affichage de bannières publicitaires personnalisées sur les sites de presse

Les sites de voyages consultés par Mme Martin intégraient un tag permettant d’appeler le serveur de la régie publicitaire déclenchant ainsi le dépôt d’un cookie sur son terminal. Ce cookie a été ensuite « reconnu » par la même régie lorsque Mme Martin s’est rendue sur les sites de presse en ligne, grâce à une redirection automatique (et invisible pour Mme Martin) du navigateur vers le serveur de la régie. Cet appel enclenche la diffusion d’une publicité personnalisée (offres de voyage), en temps réel, sur l’espace prévu à cet effet.

Lors de son « arrivée » sur les sites de voyages et les sites de presse, Mme Martin doit avoir été mise en mesure de consentir préalablement au dépôt ou à la lecture de ces témoins de connexion, de manière éclairée. En pratique, cela signifie que sur chaque site visité, un message lisible lui expliquant en des termes simples la finalité des traceurs utilisés (constituer des profils aux fins de publicité ciblée par exemple) et la manière d’y consentir doit s’afficher. Aucun de ces traceurs ne doit être activé tant que Mme Martin n’a pas manifesté son accord, que ce soit en poursuivant sa navigation en toute connaissance de cause ou en cliquant sur une case prévue à cet effet. Par ailleurs, si Mme Martin souhaite visiter le site sans accepter les cookies, un moyen simple et aisément accessible doit lui être proposé, par exemple, via un lien figurant dans le bandeau. Ce lien peut renvoyer vers une page expliquant plus en détail la finalité des cookies et la manière de les bloquer. Le refus qu’exprimerait Mme Martin, que ce soit lors de son arrivée sur le site ou ultérieurement, ne doit pas avoir pour conséquence de la priver de l’accès au site ou à certaines de ses fonctionnalités importantes (ex : achat, accès à l’espace connecté), à défaut de quoi, le choix qu’elle exprime ne serait pas considéré comme libre. En effet, conditionner l’accès à un contenu à l’acceptation des traceurs aurait inévitablement pour effet d’orienter la décision de Mme Martin.

Notons que les éditeurs des sites internet consultés par Mme Martin maîtrisent le code intégré dans leurs pages et les tags appelant les serveurs de régies tierces. Dès lors, il leur appartient d’adapter ces appels en fonction des choix exprimés par Mme Martin, au besoin en recourant à des outils de gestion de tag prévenant le déclenchement des éléments qui vont déposer ou lire des cookies (cf. article « Comment mettre son site en conformité »).

La prise en compte de l’opposition au dépôt de cookies peut passer par le dépôt d’un cookie dit « d’opt-out », l’emploi des solutions de tag management précitées, ou, le paramétrage du navigateur, sous certaines réserves, cette dernière solution n’étant aujourd’hui pas adaptée à la majorité des situations. En effet, la plupart des navigateurs actuels distinguent deux groupes de cookies en fonction de leur provenance, à savoir les cookies tiers (renvoyant à des serveurs tiers au site) et les cookies first (renvoyant au serveur du site visité). Le paramétrage permet de bloquer ces cookies par groupe, sans spécifier la finalité et l’exploitant de chaque cookie. Par conséquent :

- si les cookies publicitaires concernés par le refus proviennent de serveur tiers, les éditeurs de site peuvent utilement expliquer, sur une page dédiée, la manière de bloquer le dépôt et la lecture de cookies venant de serveurs tiers, sans distinction, par un paramétrage adapté de son navigateur ; opter pour ce paramétrage ne fera pas obstacle à l’accès au site ;

- à l’inverse si les cookies publicitaires concernés par le refus renvoient au serveur du site consulté (cookie « first »), la seule option consiste à bloquer l’ensemble des cookies first en paramétrant le navigateur. Dans cette configuration, tous les cookies déposés par le serveur du site, y compris ceux nécessaires au confort de navigation (et donc ne nécessitant pas d’accord préalable de l’internaute) seront bloqués, compromettant ainsi l’accès de l’internaute au site qui l’intéresse. Pour les mêmes raisons, le paramétrage du navigateur ne sera pas forcément une solution satisfaisante si le site utilise des cookies « analytics » renvoyant à son domaine (en « first » donc) nécessitant le consentement préalable. Dans ces deux hypothèses, une solution d’opposition ad hoc devra être proposée.

Des extensions de navigateur à destination du grand public permettent également aux internautes de filtrer les traceurs et d’exprimer par ce biais leur choix. En ce sens, Mme Martin pourrait utilement intégrer à son navigateur des extensions afin de limiter sa traçabilité. Le choix de recourir à ces outils doit être pleinement pris en compte par les acteurs de la publicité ciblée, comme l’expression d’un droit de refuser ou de consentir appartenant à la personne concernée. La pratique du « respawning » (ou résurrection) développée par certains fournisseurs de réseau publicitaire pourrait en ce sens être contraire à l’article 32.II dès lors qu’elle vise à remplacer les cookies traceurs traditionnels par de nouvelles techniques de traçage indifférentes aux paramétrages traditionnels des navigateurs tels que les « flash cookies » ou le fingerprinting. Si le navigateur est en mesure de bloquer la technique des cookies, les outils n’ont pas encore été développés pour détecter et interdire l’usage d’une technique de fingerpinting ou d’autres méthodes de traçage (cf. article du dossier relatif au fingerprinting). Dans la même logique, les solutions permettant de contourner le filtrage paramétré par les internautes au moyen de ces extensions nient le choix ainsi exprimé par l’internaute.

2.2 Envoi de courriels personnalisés à Mme Martin

Dans le scénario précité, la proximité entre vacances au soleil et l’objet du courriel publicitaire reçu par Mme Martin est frappante. Cet envoi ciblé peut s’expliquer par la propension de Mme Martin à accepter que ses coordonnées soient transmises à des partenaires commerciaux lorsqu’elle crée des comptes en ligne. Il est probable que l’adresse e-mail fournie par Mme Martin lors de son inscription sur l’un des sites de voyages ait été transmise par ce dernier, en version hachée, à sa régie afin qu’un cookie comportant le haché de l’adresse électronique soit déposé sur le terminal de Mme Martin (tel que décrit par l’article « Détecter et analyser les cookies et autres traceurs »). L’enseigne de cosmétique recourt aux services d'emailing de la même régie et la mandate pour cibler les prospects présents en base, susceptibles d’être intéressés par de la crème solaire. Après avoir identifié les personnes entrant dans ce segment (dont Mme Martin), la régie demande au site de voyages l’adresse électronique correspondant au haché contenu dans le cookie présent sur le terminal de Mme Martin afin de lui adresser une offre spéciale « crème solaire ».

Plusieurs « couches » réglementaires sont ici susceptibles de s’appliquer.

En premier lieu, Mme Martin doit avoir accepté le dépôt des cookies, après avoir été informée de leur finalité, notamment du croisement de ses données de navigation avec son e-mail (cf. 2.2).

En second lieu, Mme Martin doit avoir consenti expressément à la transmission de son adresse électronique à des fins de prospection pour le compte de tiers, conformément à l’article L.34-5 du code des postes et des communications électroniques (réglementation anti-spam). Selon cette même disposition, l’émetteur du message de prospection est également tenu de faire figurer sur chaque message un moyen d’opposition ainsi que l’identité de l’organisme pour le compte duquel la prospection est effectuée (en l’espèce l’enseigne de cosmétique).

En troisième lieu, au regard de la loi « Informatique et Libertés » Mme Martin doit avoir été informée de la nature des traitements effectués sur ses données (y compris par la régie), notamment de leur finalité (la loi impose tant au site internet qu’à la régie de s’assurer que leur objectif est explicite), de la manière d’exercer ses droits d’accès de rectification et d’opposition, auprès de chaque acteur (responsable du site et régie en l’espèce), et de connaître, en toute logique, l’identité des destinataires de ses données. Une liste précise des commerçants susceptibles d’utiliser ses coordonnées doit être mise à sa disposition, sur simple demande. Les différents accords exprimés par Mme Martin ne doivent pas être absorbés dans une acceptation générale des CGU et être suffisamment éclairés pour que Mme Martin sache à quoi s’attendre.

2.3 Envoi de courriers postaux personnalisés à M. Martin

L’origine de l’offre relative à l’anti-cholestérol adressée par voie postale peut être expliquée de la même manière que pour le courriel publicitaire relatif à la crème solaire. Monsieur M a utilisé le même navigateur que son épouse lors de la consultation des forums en ligne. Ces forums appellent également le serveur de la régie proposant d’effectuer pour le compte d’annonceurs des envois publicitaires ciblés. La différence ici est que l’adresse e-mail hachée de Mme Martin permettra à la régie, non pas de récupérer la version en clair de cette donnée, mais de demander au site en possession de ces informations l’adresse postale indiquée lors de la création de compte.

Une autre hypothèse tout aussi plausible est que le e-commerçant à l’origine de la collecte de toutes ces coordonnées les ait transmises dans leur ensemble à la régie, laquelle se trouve parfaitement en mesure de faire le lien avec l’adresse postale associée. Les principes applicables à l’envoi de la publicité pour la crème solaire sont donc applicables en l’espèce, avec toutefois une contrainte additionnelle liée à la nature des données exploitées : en l’espèce l’élément révélateur pour cibler les besoins potentiels de M. Martin est son état de santé, information qualifiée de « sensible » au sens de la loi.

Or le traitement de ce type d’information, notamment à des fins commerciales, est par principe prohibé par la loi « Informatique et Liberté » sauf si la personne concernée a expressément consenti à une telle exploitation. En d’autres termes, M. M aurait du cocher une case ou signer un écrit par lequel il accepte spécifiquement que les informations relatives à son diabète naissant servent à des commerçants pour lui adresser de la publicité ciblée. Un consentement « fort » est d’autant plus nécessaire dans ce cas que la divulgation de ces informations peut s’avérer gênante. En pratique, la pratique exposée dans cet exemple ne répond pas aux exigences de la loi dès lors que la collecte des données nécessaires au ciblage publicitaire et à l’envoi d’un courrier postal a été réalisée à l’insu de M. M et, a fortiori, en l’absence de tout consentement.

Les 3 hypothèses étudiées ci-dessus peuvent se décliner indéfiniment Ces situations doivent être étudiées, au cas par cas, en tenant compte de chaque acteur impliqué, de leur rôle respectif, du type d’informations et de croisements traités ainsi que de l’objectif de chaque traitement effectué. Indépendamment de la complexité de l’exercice, les acteurs soumis à ces différentes règles doivent garder à l’esprit l’objectif de transparence et de maîtrise des internautes sur leurs propres données.

3. Le traçage : vecteur de risque pour la sécurité des internautes

L’article 34 de la loi impose aux responsables d’un traitement de prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ». Il s’agit d’une obligation dite de « moyen renforcée », à savoir qu’en cas de faille ou de violation des données, il appartiendra au responsable du traitement de prouver qu’il a pris toutes les mesures permettant de prévenir le risque. Si la faille concerne le traçage ou le traitement subséquent des données, la responsabilité reposera selon les cas, sur l’éditeur du site ayant permis le dépôt, sur l’annonceur, sur le fournisseur de réseau publicitaire, etc.

La transmission en clair des informations parfois directement identifiantes contenues dans les cookies pourrait être reprochée à l’éditeur du site internet et au fournisseur de réseau publicitaire qui l’a généré (sur ce sujet cf. article « Détecter et analyser les cookies et autres traceurs »).

Le risque peut naître du fait que l’éditeur abandonne à des tiers, dont il connaît peu ou mal l’activité et le sérieux, voire qui lui sont inconnus, la suite du processus permettant d’occuper un espace visuel sur son site pour afficher une annonce. Cette problématique est d’autant plus prégnante que la collaboration entre régies s’étoffe progressivement pour rentabiliser des mécanismes de mise aux enchères (cf. article relatif aux plateformes RTB). Le risque peut également résulter d’une potentielle faille de sécurité propre à la technologie de ciblage ou touchant les bases de données des régies.

Un récent rapport du Sénat américain du 15 mai 2014 nommé « Online Advertising and Hidden Hazards to Consumer Security and Data Privacy » (http://www.hsgac.senate.gov/hearings/online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy) souligne, expérience à l’appui, les vulnérabilités intrinsèques à l’écosystème du marketing ciblé en ligne pour conclure à l’urgence d’une prise de conscience des acteurs. Ce rapport souligne que le consommateur consultant un site est contraint de faire confiance, par défaut, à des tiers dont il ignore souvent l’identité. Les responsables de sites ne sont pas non plus en mesure d’identifier tous les acteurs du réseau publicitaire interagissant avec les internautes depuis leur site. La qualité et la sécurité des transmissions sont finalement confiées aux intermédiaires de types « ad network », « supply side platform » et « demand side platform », sans véritable garde-fou. Le rapport souligne à cet égard que l’affichage d’une publicité passe classiquement par 5 ou 6 intermédiaires, chaque point de contact constituant une source de risque potentielle. De même, des codes malveillants pourraient aisément être intégrés dans les publicités affichées sur le site par des serveurs tiers, code exécutable à l’insu de l’utilisateur et de l’éditeur de site peu précautionneux.

Plusieurs cas, encore peu médiatisés en Europe ont été recensés aux États-Unis. Par exemple, en 2012, les visiteurs du site de la Major League Baseball (MLB) ont été exposés à une publicité (pour des montres de luxe) diffusant un virus à la suite d’un simple clic, à la suite de la probable compromission de leur « ad network ». Les experts ont à l’époque attribué le problème aux risques créés par la multiplication des couches de « syndication » (dans le rapport, ce terme anglais renverrait à la pratique qui consiste à acheter un espace publicitaire aux enchères puis à le remettre en vente), rendant quasiment impossible l’identification de la source du malware.

La source immédiatement visible pour l’utilisateur victime de ces pratiques sera en revanche le site qui a permis sa diffusion. Au-delà des problématiques de responsabilités qui se poseront inévitablement, la sécurisation des mécanismes de traçage est un enjeu pour l’image et la réputation des sites qui y font appel.

* Les avis, opinions et positions exprimées dans le présent article n’engagent que leur(s) auteur(s) et en aucun cas l’institution à laquelle ils appartiennent.


Sur le même sujet

Introduction au dossier : Zero Trust : avenir de la sécurité ou chimère marketing ?

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Derrière ce titre modéré, il aurait été trop facile d’être provocateur, se cache une référence que nos lecteurs historiques auront relevée. Il y a plus de dix ans maintenant, au SSTIC 2008, Cédric Blancher donnait une conférence dont le titre était : « Dépérimétrisation : Futur de la sécurité ou pis aller passager ? ». Les constats de l’époque, qui ne doivent pas être loin pour de nombreuses entreprises encore aujourd’hui, sont que les paradigmes de sécurité des réseaux informatiques ont des limites importantes : difficulté à mettre en place du contrôle d’accès ainsi qu’une segmentation et un filtrage réseau efficace.

Sécurité de l'implémentation standard de VXLAN

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Cet article de sensibilisation met en avant une faiblesse de la RFC 7348 permettant de réaliser une attaque du type « homme du milieu ». Il décrit d'abord le fonctionnement de VXLAN, explique ensuite le mécanisme exploité et les dangers associés, puis propose des recommandations ainsi qu'une alternative.

Sockets, paquets, captures réseau : quelques outils pour les manipuler

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Qu’il s’agisse d’aller changer un bit dans l’en-tête IP d’un paquet, de faire des statistiques sur une capture réseau, de faire un MITM ou d’aller mettre en écoute un port pour faire un reverse shell pas cher, il convient de s’outiller correctement. Cet article vous présente un tour d’horizon de quelques outils et astuces indispensables pour qui voudrait maîtriser un peu plus ce qui se passe au niveau réseau.

De l'utilisation d'une bibliothèque à l'exécution d'un code arbitraire

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Dans cet article, nous présentons une vulnérabilité de la version 3.1 de Commons Collections. Cette vulnérabilité, nommée « CommonsCollections1 », permet à un attaquant l’exécution d’un code arbitraire ou Remote Code Execution (RCE). Ce travail reprend certains concepts des deux articles publiés dans les versions précédentes de MISC en 2018 et 2019 [1,2].

Le principe de confiance minimale appliqué au Cloud Computing

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Avoir la capacité d’identifier des utilisateurs au-delà du système d’information et d’exposer des applications sans la nécessité de passer par un lien réseau de confiance sont deux éléments nécessaires d’une approche Zero-Trust, mais ce ne sont pas forcément des éléments suffisants. Ces applications reposent sur d’autres composants d’infrastructure (comme les serveurs et systèmes de stockage virtualisés) et il est possible d’appliquer une approche de confiance minimale dans ces éléments afin de renforcer la sécurité de ces applications.L’utilisation du Cloud Computing est un bon exemple, car son modèle de responsabilités partagées nécessite une forme de confiance mutuelle entre le fournisseur et l’utilisateur, nous allons donc voir dans cet article comment appliquer un principe de confiance minimale des couches logicielles aux couches matérielles.

Par le même auteur

Cookies et autres traceurs : quelles règles ? Quelle protection pour la vie privée ?

Magazine
Marque
MISC
Numéro
81
|
Mois de parution
septembre 2015
|
Domaines
Résumé
Les techniques de traçage en ligne et le traitement des données qu’elles fournissent sont encadrés par des règles précises et complémentaires tendant à garantir aux internautes la maîtrise de leurs données, dans un environnement complexe où l’opacité tend à régner.