IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Vie privée : Google accusé de tracer les utilisateurs
En contournant les paramètres de confidentialité de Safari et IE9

Le , par Hinault Romaric

25PARTAGES

10  1 
Edit du 22/02/012 : Suite à la parution hier, d'un billet de blog de Microsoft accusant Google de mauvaises pratiques concernant le respect de la vie privée des internautes, Google nous a contacté pour donner sa réponse et sa version des faits. La voici en résumé.

Pour Google « Microsoft a omis des informations importantes dans son billet ».

La première est que Microsoft utilise un protocole d'auto-déclaration (le fameux "P3P" qui date de 2002. Un protocole aujourd’hui uniquement utilisé par Internet Explorer et qui serait, en substance, largement périmé.

Avec ce protocole, Microsoft demande aux sites de déclarer eux-mêmes leurs pratiques concernant le respect de la vie privée dans une forme compréhensible pour une machine. En fonction de ces réponses (« que font vos cookies, etc. ») IE certifie qu'un site est sûr ou non.

« Mais, et même Microsoft le sait, cette requête sous cette forme est incompatible avec les fonctionnalités des sites modernes », accuse Google qui contre-attaque en affirmant que le protocole P3P ne peut pas comprendre les nouvelles fonctionnalités du Web qui s'appuient sur les cookies « comme le bouton "Like" ou la possibilité de se connecter à des services webs avec son identifiant Google ».

Preuve avancée de cette obsolescence, 11.000 sites ne donneraient pas de réponses valides et contourneraient le protocole P3P. Même ceux de Microsoft - Live.com et MSN.com.

En passant outre le protocole P3P, Google ne piraterait ou n'espionnerait donc pas (NDR : ou en tout cas pas plus) la vie privée des utilisateurs. Il contournerait en fait comme tout le monde (Microsoft y compris) une technologie dépassée que seule IE utilise.

Deuxième point souligné par Google, qui enfonce le clou en citant le New-York Times, « dès 2010, on savait que des navigateurs comme Chrome, Firefox et Safari ont des paramètres de sécurité plus simples. Au lieu de vérifier globalement la politique de confidentialité d'un site, ces navigateurs laissent aux utilisateurs le choix de bloquer tous les cookies, seulement ceux de tiers particuliers, ou aucun ».

Autrement dit, il n'y a pas besoin de P3P avec ces trois navigateurs. Le problème ne serait donc pas son contournement, mais Internet Explorer.

Google, qui a contacté Developpez.com par mail, se demande pourquoi Microsoft n'a pas fait allusion aux déficiences de cette technologie qui expliquent que les acteurs du web passent outre.

Autre interrogation formulée dans ce mail : pourquoi Microsoft s'offusque-t-il de ce contournement dans le cas de Google et pas pour Facebook ou Amazon ? Ou pour Live.com et MSN.com ?

Troisième point de sa réponse, Google (ré)explique noir sur blanc, et dans le détail, sa pratique par rapport au P3P pour jouer la clarté. Il souligne par ailleurs que cette « affaire » n’a strictement rien à voir avec celle de Safari (lire ci-avant).

Et d'inviter Microsoft à s'occuper d'IE et de son implémentation du P3P « au lieu d'écrire des billets "disingenuous" » (que l'on peut traduire par : fallacieux ou malhonnêtes).

NB : Cette réponse n'est pas une analyse de la rédaction mais un résumé de celle que Google nous a transmise. Par souci d’objectivité nous publierons bien évidemment celle de Microsoft.

Maj de Gordon Fowler

Vie privée : Google accusé de tracer les utilisateurs
en contournant les paramètres de confidentialité de Safari et IE9

Les méthodes de gestion de la confidentialité et de la sécurité de la vie privée des utilisateurs chez Google semblent être de plus en plus pointées du doigt

Après la controverse créée par la nouvelle politique de confidentialité de Google qui va entrer en vigueur dès le mois prochain, la firme revient encore au devant de la scène dans une autre affaire concernant la vie privée des internautes.

Selon un récent article du Wall Street Journal, Google et certaines agences de publicité auraient implanté un code dans des millions d’iPhone pour suivre le comportement des utilisateurs.

Le code en question aurait contourné les paramètres de confidentialité de Safari, et installé un cookie de tracking qui est exploité à des fins publicitaires. La découverte a été faite par Jonathan Mayer, un chercheur de l’université de Stanford.

Google, dans un communiqué adressé au magasine, a déclaré que les cookies n’avaient pas pour but de tracer les utilisateurs à des fins publicitaires et qu’il n’avait pas prévu que les cookies générés par le bouton Google + pouvaient contenir autant d’informations sur l’activité des internautes. La firme dit également avoir supprimé les cookies incriminés.

Cependant, il s’avérait que des méthodes similaires soient également utilisées par le géant de la recherche pour passer les mécanismes de protection de la vie privée des utilisateurs et tracer ceux-ci sur Internet Explorer.

Dans un billet blog, Dean Hachamovitch, vice-président de Microsoft en charge d’Internet Explorer accuse Google de ne pas respecter la norme P3P (Platform for Privacy Preferences) du navigateur qui oblige les sites à spécifier les informations qui sont collectées par les cookies. Google aurait contourné cette norme afin de placer des cookies pour collecter discrètement des informations sur les utilisateurs.

Google n’a pas tardé pour répondre aux attaques de Microsoft, et a déclaré ne pas être la seule entreprise à contourner le système P3P. Parmi celles-ci, figurent Amazon ou encore Facebook qui n’ont pas été ciblées volontairement par Microsoft.

Selon la firme, Microsoft avait été alerté en 2010 sur une faille de P3P qui aurait autorisé plus de 11 000 sites Web non conformes à P3P.

Mauvaise foi de la part de Google ou erreur imprévue dans ses services ? Quoiqu’il en soit, Microsoft ne rate pas de pareilles occasions pour critiquer Google et promouvoir à la place ses services.

Source : WSJ, Blog IE

Et vous ?

Trouvez-vous les justifications de Google acceptables ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/02/2012 à 14:11
Citation Envoyé par Bluedeep Voir le message
Ca t'arrive souvent d'utiliser un "+1" sur un site qui n'a pas de "-1" ?
Tu n'as pas besoin de l'utiliser, il suffit que le logo "+1" de Google soit présent sur une page pour que, apparemment, Google arrive à placer un cookie qui te trace ensuite.
9  1 
Avatar de BPiero
Membre actif https://www.developpez.com
Le 22/02/2012 à 13:38
Citation Envoyé par GCSX_ Voir le message
J'aime beaucoup la politique du "Ouais ce qu'on fait c'est pas joli-joli mais tous le monde le fait alors nous aussi."

Vous imaginez? "Mon voisin a pas payé ses chips au super marché alors moi aussi je vole des chips"

Ce que je veux dire par là c'est que même si les autres contournent P3P (y compris certains site de Microsoft), ça ne justifie en rien de faire pareil.

Quoi qu'il en soit, si ça poussait Microsoft à améliorer les mécanismes de confidentialité d'IE ça m'arrangerait.
Tu ne semble pas avoir compris le problème, le système P3P de microsoft est tellement mal conçu qu'il ne sert à rien.

Moi même, j'ai ajouté des
Code : Sélectionner tout
1
2
header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');
à des headers à cause de problème de cookies refusé pour des frames dans ie.

ces headers c'est pas des hacks, ça provient de la doc de microsoft.

La question qu'il faut se poser est:
Quelle protection de la vie privée peut apporter un système basé sur la déclaration du site lui-même?

Le problème n'est pas de savoir si oui ou non google a contourné le P3P puisque tout le monde le fait (même microsoft), mais bien ce qu'il met dans ses cookies.

BPiero
6  0 
Avatar de Bluedeep
Inactif https://www.developpez.com
Le 01/03/2012 à 12:05
Citation Envoyé par NDZOUANI Voir le message
Depuis + de 20 ans je supporte WINDOWS, car il n'y a pas vraiment le choix.
Et depuis + de 10 ans sur ce forum, ils supportent les gros trolls bien velus.
6  0 
Avatar de eclesia
Rédacteur https://www.developpez.com
Le 21/02/2012 à 12:52
C'est de notoriété publique que google ne respecte pas la vie privée.

Pourquoi chercher a le faire croire quand tout le monde sait que les informations collectés sur nous sont revendues ?
8  3 
Avatar de alex_vino
Membre émérite https://www.developpez.com
Le 23/02/2012 à 0:21
Google va trop loin, et je n'aime pas trop le fait qu'ils imposent ainsi leurs nouvelles conditions (et s'en fichent de la demande de report de l'Europe au passage).

J'ai horreur de ces boutons "+1", "messages Facebook" sur les sites d'actualités, ... notre Internet est pollué. Je pense qu'on ai besoin d'un organisme de régulation international concernant ces pratiques, ou sinon un plus grand pouvoir de l'Europe sur les sites web accessibles en Europe.

Les services/logiciels de Google sont super, mais ce qui se cache derriere l'engrenage l'est malheuresement moins.
D'apres les analystes ce serait l'un des facteurs de la régression pour la premiere fois de Google Chrome sur le marché des navigateurs.

@Zweet: OK c'est le rara avec IE, surtout quand on est développeur web comme moi. Mais ils ont integré de nouvelles fonctionnalités dans IE9 et aussi la 10, donc attendont de voir le futur IE10. On critique beaucoup IE6 mais il faud dire que c'est une antiquité, donc il n'est pas comparable a d'autres plus récents comme Chrome.
3  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/02/2012 à 13:26
Google n’a pas tardé pour répondre aux attaques de Microsoft, et a déclaré ne pas être la seule entreprise a contourné le système P3P. Parmi celles-ci, figurent Amazon ou encore Facebook qui n’ont pas été ciblées volontairement par Microsoft.
Ils auraient aussi parait-il citer Microsoft pour ses applications msn.com et live.com qui contourneraient elles-aussi la dite protection de IE
3  1 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/02/2012 à 13:51
Citation Envoyé par DotNET74 Voir le message
Perso,

j'ai arrêté depuis longtemps d'utiliser les produits Google !!!
Tu les utilise tous les jours et en permanence sans le savoir, puisque le "+1" de Google (tout comme le "J'aime" de Facebook) se retrouve sur de plus en plus de sites.
5  3 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 21/02/2012 à 16:25
Citation Envoyé par sevyc64 Voir le message
Tu n'as pas besoin de l'utiliser, il suffit que le logo "+1" de Google soit présent sur une page pour que, apparemment, Google arrive à placer un cookie qui te trace ensuite.
Certains bloquent les cookies venant de sites externes à celui visité aussi.
Ces gens la n'utilisent donc pas ces, à mon très humble avis, vraiment stupides et pénibles boutons "+1" et "j'aime". Surtout quand ces gens la n'utilisent pas facebook ni google.

Bon, j'admets ne pas être débarrassé à 100% de google, puisque le méta moteur que j'utilise (duckduckgo) utilise les résultats de google (entres autres) pour répondre à mes demandes.
Mais c'est bel et bien la seule utilisation que je fais des services google, et il me serait possible de m'en passer si je trouvais un autre moteur qui me convienne.

Du coup, il ne me paraît pas impossible que des gens se passent totalement des services google. (Naturellement, je pense que ces gens font partie de ce que l'on appelle le public averti, je me doute que ce n'est pas ma grand-mère qui pourrait s'en passer... Ah, si, j'oubliais, elle à pas le net )

Après, pour le traçage...
Personnellement, j'aime pas, mais je conçois que 95% des gens s'en fichent.
La ou ces politiques d'espionnage m'énervent vraiment, c'est quand, au travers (travers dans tous les sens du terme d'ailleurs) de ces techniques de cookie on espionne (que ce soit un robot ou un humain ne change rien au fait) des gens qui ne veulent pourtant pas utiliser les services en question.

Par exemple, en quel honneur facebook aurait le droit de mettre des cookies sur ma machine si je n'utilise pas leur site?
Idem pour google, bien que dans mon cas, je l'utilise de façon très indirecte.

Et bien sûr, non, la "justification" de google ne tiens pas la roue 2s.
Ou alors, le partage de fichiers illégaux est aussi tout à fait justifié, puisque "mon voisin le fait aussi" (hum, je prend un risque de faire changer le sujet la... mais l'alternative c'était de partir sur des exemples plus extrêmes :/ )

Et en conclusion, je doute fortement que microsoft ne pratique pas ce type de méthodes. C'est juste qu'ils ne se "balancent" pas eux-mêmes je le crains.
3  1 
Avatar de laerne
Membre éprouvé https://www.developpez.com
Le 21/02/2012 à 18:32
En effet il a possibilité que la différence entre Google et Microsoft, c'est que Microsoft, il se fait pas prendre. Mais ça reste qu'un hypothèse sans fondements et on accuse pas les gens à tord et à travers ainsi… aussi crapuleux soient-ils.

L'histoire du logos +1 qui mets le cookie je connaissais pas. Du coup j'ai testé, avec l'option «*only accept cookies from sites you visit*» de mon navigateur (midori), j'ai supprimé (presque) tout mes cookies et j'ai regardé lesquels ont étés ajouté en recharchant la page de news

Résultat : les habituels cookies google analytics provenant de .developpez.com, quelques cookies perso developpez.net, mais surtout 3 cookies de linkedin.com et un cookie «*pid*» de .twitter.com*!

En passant mon curseur sur le +1 un google, il y a un chargement pour afficher l'infobulle mais pas de cookies.

Ma conclusion c'est que la gestion c'est cookie, c'est vraiment pas possible. midori me propose de limiter leur vie maximale à 24h… là encore j'ai des doutes si je revisite le site en moins de 24h, le cookie reste pour 24 nouvelles heures*?
2  0 
Avatar de _ash_
Membre habitué https://www.developpez.com
Le 21/02/2012 à 19:57
Google et certaines agences de publicité auraient implanté un code dans des millions d’iPhone pour suivre le comportement des utilisateurs.
Dis comme ça, ça fait piratage.

Il m'avait plutôt semblé comprendre [1] qu'ils utilisent "simplement" un subterfuge à base d'iframe et de javascript qui autovalide un formulaire, afin de tromper le navigateur en lui faisant croire que google n'est pas un site tiers, mais bien le site demandé par l'internaute.

had made Safari think that a person was submitting an invisible form to Google. Safari would then let Google install a cookie on the phone or computer
Il semblerait par ailleurs [2] qu'en ce qui concerne ie, se soit le protocole P3P qui ne soit juste pas applicable.
arguing that Microsoft's reliance on P3P forces outdated practices onto modern websites, and points to a study conducted in 2010 (the Carnegie Mellon research from Cranor and her colleagues) that studied 33,000 sites and found about a third of them were circumventing P3P in Internet Explorer. [...]
That 2010 research even calls out Microsoft's own msn.com and live.com for providing invalid P3P policy statements.

Il semblerait toutefois qu'ils ne vont pas s'en tirer comme ça [3]
A class-action complaint has now been filed against Google for its circumvention of Safari's privacy features.
[1] : http://www.appleinsider.com/articles...k_its_ads.html
[2] : http://arstechnica.com/tech-policy/n...oft-claims.ars
[3] : http://arstechnica.com/tech-policy/n...cumvention.ars
2  0