Categories
Explication News Opinion

Chrome ID, un tracker de plus dans Google Chrome ?

Depuis très longtemps l’industrie publicitaire a redoublé d’efforts pour pister les internautes quand ils visitent des pages web.

Le but est d’établir des profils précis afin d’afficher des publicités personnalisées sur base des informations que ces sociétés soutirent de vos visites.

Ce pistage généralisé a débuté avec les cookies mais les problématiques liées à la vie privée, les publicités abusives, présentes sur chaque page web quasiment ont forcé de nombreux internautes à les bloquer au travers de modules complémentaires tels que ublock Origin ou encore Privacy Badger rendant ce pistage de moins en moins efficace.

Les régies publicitaires ont alors développé les techniques d’empreintes uniques dites “fingerprinting” visant à identifier votre navigateur de manière unique même si vous disposez d’un bloqueur de publicité et que vous bloquez les cookies.

Ce type de pistage consiste à vous identifier de manière unique en se basant sur la configuration de votre navigateur que vous le vouliez ou non il y a de grandes chances pour que votre “empreinte” soit unique et permette donc de vous pister quelque soit votre choix ou la configuration de votre navigateur.

De nouvelles techniques pour échapper à cette forme de pistage sont alors apparues sous la forme de modules complémentaires tels que Canvas Defender mais également parce que certains navigateurs (Mozilla Firefox & Safari) ont étés modifiés pour rendre inefficaces ces techniques.

C’était évidement sans compter sur l’avidité et le total mépris pour la vie privée des grands acteurs de la publicité en ligne tels qu’Alphabet la maison mère de Google ou bien encore Facebook :

Une nouvelle technique de pistage vient d’être découverte dans le code source de Google Chromium, une version open source de Google Chrome, elle serait en place depuis la version 54 du navigateur.

Cette technique de pistage se base sur la génération d’un identifiant unique lorsque vous installez Google Chrome : le Chrome ID.

Chaque logiciel Google Chrome installé chez un utilisateur génère donc un identifiant unique, une série de caractères qui ressemble à ceci :

X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB

Vous pouvez voir votre google ID dans la section “Variations” en vous rendant sur chrome://version/ dans Google Chrome.

Lorsque l’utilisateur visite un site qui appartient ou inclus des fonctionnalités développées par Google, cet identifiant est renseigné.

Il faut bien comprendre ici que la quasi totalité des sites tiers emploie des fonctionnalités fournies par google, en voici une courte liste :

  • Google Recaptcha
  • Google Maps
  • Google Fonts
  • Google Analytics
  • Etc…

Concrètement vu l’hégémonie des services proposés par Google cela revient à vous pister sur la grande majorité des sites que vous visitez.

De plus si l’utilisateur se connecte à un compte Google cet identifiant unique est lié à son compte Google permettant alors un ciblage publicitaire des plus précis.

Le principal problème pour les utilisateurs de Google Chrome ou de ses dérivés est que cette technique de pistage ne pourra pas être bloquée, ni par un VPN ou un éventuel bloqueur de publicité.

Légalité

Il faut bien comprendre également que ce changement intervient pile au moment ou les cookies et le pistage publicitaire tel que nous le connaissons commencent à être réglementés par notamment le règlement général sur la protection des données au niveau européen.

Je considère que ce changement illustre parfaitement le soucis de sociétés telles que Google de se soustraire à la législation.

Différentes voix s’élèvent et dénoncent ce qui semble être un manquement manifeste au RGPD, car le Chrome ID semble être une donnée personnelle et sa collecte devrait être donc soumise a un consentement préalable tout comme une information claire pour l’utilisateur ce qui n’est bien évidement pas le cas :

Google donne des informations floues sur la destination de cet identifiant que ce soit dans sa documentation ou dans ses commentaires d’autres articles sur le sujet.

En réponse à cet article du site The Register voici ce qu’un porte-parole de Google a expliqué :

L’entête “X-Client-Data” est utilisé pour aider Chrome a tester de nouvelles fonctionnalités avant de les envoyer vers tous les utilisateurs.

L’information contenue dans cette entête reflète soit la variation, ou des test de fonctionnalités dans laquelle une installation de Chrome est inscrite. Cette information nous sert a mesurer des statistiques du coté serveur concernant des larges groupes d’installations; il n’est pas utilisé pour identifier des individus.

Je considère qu’il s’agit d’explications trompeuses sur la vraie nature de cet identifiant.

Conclusion

Comme l’a déjà expliqué le Washington Post dans cet article Google Chrome pose déjà de sérieux soucis de base concernant la vie privée.

Au niveau des alternatives il faut savoir que la quasi totalité des navigateurs disponibles reposent également sur Chromium, le code source sur lequel se base également Chrome.

Même le successeur d’Internet Explorer, Microsoft Edge repose sur Chromium.

Ici seul Mozilla Firefox me semble une alternative valable mais surtout respectueuse de votre privée.

Sources