1

Zerosquare a souhaité poursuivre une discussion dérivée dans un nouveau sujet. La discussion initiale a eu lieu dans le sujet topics/187929-limiter-limpact-de-facebook-sur-son-ordinateur#post-9 tandis que la discussion dérivée continue dans le sujet topics/187932-tracking-et-pub où les messages en rapport ont été copiés.
avatar
Ben, bouh, quoi :D

2

Ça dépend de ce que tu veux dire par "polluer", comme le dit vince Facebook ne peut pas lire directement tes données d'autres sites, mais il peut indirectement récupérer quelques informations auprès des sites qui l'ont autorisé à le faire (et il y en a un paquet).

Après si tu utilises la fonction "navigation privée" de ton navigateur, tu élimines quasi-totalement ce problème.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3

Pour Android, j'utilise Metal. C'est pas 100% parfait (les notifications ne fonctionnent pas toujours, et il peut y avoir des soucis avec l'interface, mais perso c'est plus léger qu'aller sur Firefox pour Android (mon téléphone commence à dater).

Sinon, sur un vrai PC, uBlock Origin, si on active la liste Social Networking, bloque (quasi ?) tous les trackers Facebook.
avatar

4

Zeph (./4) :
Après si tu utilises la fonction "navigation privée" de ton navigateur, tu élimines quasi-totalement ce problème.
Je ne pense pas que ce soit suffisant. Si deux sites collaborent ou utilisent un intermédiaire commun (régie de pub, etc.), il y a moyen de faire le lien pour déterminer si un utilisateur est sur les deux sites simultanément avec une probabilité assez élevée, même si le navigateur bloque les cookies ou autres mécanismes similaires. Y'a même des techniques qui fonctionnent quand on utilise deux navigateurs différents, voire qu'on n'utilise pas les sites en même temps.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

5

C'est un peu une légende urbaine, même s'il y a plein de papiers qui prouvent que c'est techniquement possible je n'ai pas l'impression qu'une boite utilise réellement ces méthodes. D'une part parce que dans certains pays c'est illégal, mais surtout parce que ça n'a pas beaucoup d'intérêt, toujours pour la même raison : un utilisateur qui s'exclut lui-même du traçage et de la publicité en ligne n'est pas une bonne "cible", or afficher de la publicité ou du contenu personnalisé ça coute des sous, et pas qu'un peu.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

6

Si ce que tu dis était vrai, on n'aurait pas de course aux armements entre les publicitaires et les bloqueurs de publicité. Or c'est le cas.

Par ailleurs, quelques exemples qui montrent que ça existe et que c'est utilisé :
https://en.wikipedia.org/wiki/HTTP_ETag#Tracking_using_ETags
https://www.forbes.com/sites/adamtanner/2013/06/17/the-web-cookie-is-dying-heres-the-creepier-technology-that-comes-next/#267f7359a9bf
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

7

L'histoire des ad blockers n'est pas du tout liée au même problème, les gens installent des ad blockers parce que les sites abusent sur la publicité et incluent des choses trop lourdes et/ou en trop grande quantité sur leur pages. Pour garder une bonne expérience de navigation, surtout sur des machines modestes, supprimer les publicités est l'un des moyens les plus efficaces. Bon il faudra probablement forker pour continuer cette discussion sans polluer le sujet de odie_one.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

8

Ce que je voulais dire, c'est que si les publicitaires considéraient que les gens qui bloquent la pub ne sont pas des cibles intéressantes, ils ne perdraient pas de temps à développer des trucs qui passent à travers les bloqueurs de pubs. Pourtant il le font, ce qui laisse supposer qu'ils y ont un intérêt.

D'une façon générale, quand on demande aux gens si la publicité influence leurs achats, la plupart répondent "non". Pourtant les statistiques montrent le contraire. Il y a eu des études là-dessus.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

9

Les publicitaires se fichaient plutôt du blocage tant que ça restait marginal. Ça les inquiète seulement depuis que l'usage est devenu massif.

Pour le traçage, il en est de même : ils ne vont pas investir dans des techniques complexes tant que le blocages des fonctionnalités de traçage reste marginal, mais si ça devenait massif, oui, ils passeraient en masse a des techniques encore plus fourbes.
avatar

10

D'autant plus qu'il y a des gens dont les appareils bloquent les pubs et trackeurs sans que ce soit un choix personnel :
- les (grands-)parents qui utilisent une machine configurée par leurs (petits-)enfants
- les abonnés Free qui n'ont pas désactivé le blocage automatique des pubs
- les utilisateurs derrière un proxy d'entreprise qui filtre, etc.

Donc ça n'est pas parce que la machine bloque que l'utilisateur n'est pas une cible potentielle.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

11

Tous les utilisateurs sont des cibles potentielles..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

12

Zerosquare (./8) :
Ce que je voulais dire, c'est que si les publicitaires considéraient que les gens qui bloquent la pub ne sont pas des cibles intéressantes, ils ne perdraient pas de temps à développer des trucs qui passent à travers les bloqueurs de pubs. Pourtant il le font, ce qui laisse supposer qu'ils y ont un intérêt.
Tu te trompes d'acteur, ce ne sont pas les publicitaires qui poussent ce genre de choses mais les annonceurs, qui sont agacés par le nombre croissant d'utilisateurs qui visitent leur pages mais refusent les affichages publicitaires. Pour eux c'est effectivement un gros manque à gagner, puisqu'ils vendent quasi-exclusivement au volume (donc 1 impression en moins = moins de sous). Pour tous les publicitaires qui vendent à la performance en revanche, un utilisateur non intéressé qui s'exclut lui-même n'est pas négatif. Après il reste les publicitaires qui vendent au volume, où le problème est différent.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

13

OK, j'admets que je n'ai pas fait le distingo, mais ce qui compte au final c'est qu'il y ait des décisionnaires qui voient les choses de cette façon et qui agissent en conséquence.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

14

Sauf que du coup ça limite vachement le risque que deux sites collaborent (./4) : à moins que ça se fasse à grande échelle, quel intérêt auraient deux annonceurs à se synchroniser pour échanger entre eux des informations sur les utilisateurs ? Surtout qu'eux-mêmes ne pourront pas en faire grand chose puisque ce soit les publicitaires que ça intéresserait éventuellement. C'est là où je voulais en venir, ça me semble globalement assez peu probable vu l'absence d'intérêt pour ceux qui ont la possibilité technique de faire quelque chose.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

15

(vu que tu parles de pages visitées, je suppose que par "annonceurs" tu veux dire les sites qui affichent de la pub, et non les entreprises qui paient pour faire afficher leur pub ?)

Peut-être que ça n'intéresse pas les grandes régies de pub, je ne sais pas, mais les deux articles que j'ai cités montrent qu'il y a des boîtes qui le font et qu'ils ont des clients - et ce ne sont que 2 liens trouvés en 30 secondes sur Google, il y en a d'autres. D'ailleurs si tu regardes les scripts utilisés d'un site web lambda (comme celui d'un journal), il n'y a pas que ceux des grandes régies, mais aussi tout un tas de trucs provenant de boîtes plus ou moins obscures dont on ne connaît pas exactement le rôle.

D'une manière générale, ceux qui veulent diffuser leurs pubs ont tout intérêt à cibler leur clientèle, tout comme les propriétaires de sites web ont intérêt à connaître en détail leur lectorat (pour eux-mêmes et/ou pour augmenter les tarifs de pub en valorisant ces données). D'où l'intérêt de mettre les infos de plein de sources en commun. Ça n'a rien de nouveau en soi, les magazines se revendent les fichiers clients entre eux depuis longtemps.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

16

Zerosquare (./15) :
(vu que tu parles de pages visitées, je suppose que par "annonceurs" tu veux dire les sites qui affichent de la pub, et non les entreprises qui paient pour faire afficher leur pub ?)
Oui, désolé j'aurais du définir en effet.

Zerosquare (./15) :
D'une manière générale, ceux qui veulent diffuser leurs pubs ont tout intérêt à cibler leur clientèle, tout comme les propriétaires de sites web ont intérêt à connaître en détail leur lectorat (pour eux-mêmes et/ou pour augmenter les tarifs de pub en valorisant ces données). D'où l'intérêt de mettre les infos de plein de sources en commun. Ça n'a rien de nouveau en soi, les magazines se revendent les fichiers clients entre eux depuis longtemps.
C'est là-dessus que je pense que tu mélanges tout. Même si un annonceur (qui a un lectorat régulier) arrive à reconnaître des utilisateurs, ça n'est pas lui mais un prestataire de pub qui serait intéressé. Et le prestataire de pub il faudrait qu'il regroupe (et donc qu'il ait une intégration directe) avec des centaines d'annonceurs pour avoir une information ne serait-ce qu'exploitable, parce qu'il faut pas non plus imaginer que parce qu'on connait 3 pages que tu as vues dans la journée on va pouvoir générer des sous avec ça. Même chose avec les etags ou je ne sais quelle autre méthode fabulée : on en entend parler depuis des années, en pratique il n'y a pas grand monde qui l'utilise, et de toutes façons ça ne résiste pas plus qu'un cookie au passage en navigation privée que j'évoquais ./2.

J'ai l'impression que tu vois un autre problème, mais j'ai du mal à séparer les arguments des suppositions conspirationnistes. Concrètement qu'est-ce que tu penses qu'il est possible de récolter comme information valable (= qui soit assez fournie pour être vendue) à partir d'un mec qui passe en navigation privée régulièrement ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

17

C'est indirectement lié au sujet, mais la vidéo de DataGueule sur l'usage des profils cibles dans la politique indique bien qu'il y a des profils construits de façon massive. Passer en navigation privée ne coupe pas deux types d'informations primaires : l'adresse IP et le couple navigateur/OS (avec l'ensemble de ce qui définit son empreinte). Et ce ne sont ni les annonceurs, ni les régies de pubs qui sont intéressées, mais les data-brokers qui rachètent toutes les données brutes.

(c'est peut-être un point squalyl)
avatar

18

Comme le dit Nil, la navigation privée ne masque pas ton adresse IP (c'est d'autant plus pertinent en IPv6), ni la config de ton navigateur (version, OS, résolution d'écran, polices et tout plein d'autres machins qui augmentent l'entropie). Ça n'empêche pas non plus Flash de s'exécuter (il est en train de mourir certes, mais pas mal de gens l'ont encore d'installé sur leur machine), et ce dernier permet de récupérer pas mal d'infos. Je ne sais pas si ça bloque l'accès aux trucs comme la géolocolisation, le Bluetooth, etc., mais si ce n'est pas le cas ça fait une source d'infos supplémentaire. Sans parler des failles des navigateurs qui laissent fuiter involontairement des infos (j'ai souvenir qu'une faille JS permettait de suivre les mouvements de la souris même en-dehors de l'onglet, et que ça avait été exploité par une boîte d'analytics). Avec tout ça, il y a de fortes chances qu'identifier un utilisateur soit possible même quand il utilise la navigation privée.

Et je ne suis pas d'accord sur le fait que les sites eux-mêmes n'ont pas d'intérêt dans l'affaire. Je vois des exemples évidents :
- être en mesure de pouvoir définir précisément leur visiteurs permet de négocier de meilleurs tarifs pour les espaces de pub
- ça leur permet aussi de proposer du contenu personnalisé plus pertinent, donc de faire que les gens restent plus longtemps sur le site, donc qu'ils génèrent davantage de revenus
- les sites qui font du yield management (autrement dit qui ont une tarification complètement opaque), genre les compagnies aériennes, ont intérêt à savoir quel est le niveau de revenu de l'utilisateur pour moduler les prix en fonction
- idem pour la vente de services et produits annexes : plutôt que d'aller à la pêche, autant mettre en avant les trucs qui sont susceptibles d'intéresser l'utilisateur

Tu me diras que les sites peuvent déjà faire ça avec les données qu'ils collectent eux-mêmes, mais le fait est que ça devient beaucoup plus puissant quand tu croises plusieurs sources d'infos. C'est pour ça que la CNIL a été créée d'ailleurs.

Bref, qu'une boîte qui ferait ce genre de synthèse arrive à se faire intégrer sur quelques centaines de sites de premier plan ne me paraît aucunement absurde (d'autant plus qu'il y a des groupes qui détiennent plein de sites). Encore une fois, les gros sites intègrent déjà énormément de machins tiers. Si ça peut leur ramener du fric, je vois pas pourquoi ils s'en priveraient ; il n'y a pas de raison qu'il n'y ait que Facebook ou Google qui le fassent.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

19

De plus il a été prouvé qu'il est possible d'identifier assez fortement un navigateur par son empreinte.
https://panopticlick.eff.org/about

C'est assez dingue de voir tout ce que EFF peut récupérer au sujet de ma machine comme la liste des polices par exemple.

20

./18 : tu t'éloignes pas mal du sujet, à nouveau mon message initial concernait la navigation privée et je n'ai pas trop envie de m'aventurer plus loin. Les techniques de fingerprint, par exemple, fonctionnent beaucoup en listant les extensions installées et leurs versions, la présence de certains cookies et/ou les permissions (géoloc & co) que tu as activées. Tout ça est remis à zéro dans le cas d'une navigation privée, il reste le user agent (mais à moins d'avoir un navigateur custom tu risques d'avoir le même que beaucoup d'autres gens) et l'adresse IP (pour le coup pas grand chose à faire sinon utiliser un proxy). Que reste-t-il comme information de valeur récupérable ? Tu penses vraiment qu'on peut faire des sous avec les infos qui ont fuité sur le mouvement de ta souris ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

21

Bah écoute, voilà ce que donne chez moi le site cité par zikzak, en mode "navigation privée" avec la dernière version de Firefox et Flash désactivé :
X4ZT

Si tu combines toutes ces infos (qui ont effectivement très peu de valeur intrinsèque) avec l'adresse IP, il est très probable que tu puisses identifier un même utilisateur, qu'il utilise la navigation privée ou pas.
Et si tu intègres ça sur un nombre de sites suffisants, tu as de quoi constituer un profil détaillé de l'utilisateur, et le monétiser.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

22

Pour avoir été sur ce site l'autre jour, je ne comprends pas trop a quoi corerspondent les hash pour le canvas et WebGL.

Quand on voit que ta liste de plugins est 1 sur 760 browser ont une telle liste... :/
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

23

Punaise, ma prévalence pour le fingerprint canvas est de 1/35770 (bon, autant le fingerprint WebGL a l'air stable, autant celui de canvas dépend beaucoup trop de la charge processeur ; dès que je fais autre chose que naviguer en parallèle, ça varie).
avatar

24

Je n'ai pas trouvé comment ils generent ces hashs..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

25

./21 : IP mise à part (en effet ça permet d'identifier pas mal de choses, après théoriquement en France c'est illégal de la conserver et ça fait partie de ce que la CNIL sait regarder quand ils auditent une boite, mais on ne peut qu'espérer que ça soit respecté) le reste est plutôt mince. Je ne sais pas ce que tu as changé pour avoir un score aussi précis sur les "browser plugins", chez moi ça donne "undefined" avec une probabilité de 1/2.82 d'avoir la même chose que moi (et je suppose que pour les gens qui passent en navigation privée ça doit même tendre très nettement vers 1). Du coup je me retrouve avec que des scores assez faibles, et si c'est ça qui est utilisé pour m'identifier je doute que ça ait une grande valeur.

Faut pas non plus fantasmer sur ce que ça représente, même s'il y a beaucoup de fabulation sur internet à propos de ce marché totalement saturé, les boites qui "monétisent" nos "données personnelles" ne peuvent le faire que si c'est assez précis pour valoir quelque chose. Même pour un utilisateur à propos duquel l'enchérisseur est sûr qu'il s'agit d'une seule personne physique et dont on possède un historique complet (produits vus, interactions avec le site, temps passé sur chaque page, etc.) sur plusieurs semaines consécutives on est dans des ordres de grandeur de 0.01 à 0.05 centimes pour une impression publicitaire. Quand cet utilisateur devient un agglomérat mélangé avec le parcours de 500 autres personnes sans trop qu'on sache qui a fait quoi, ça ne vaut plus rien du tout.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

26

Testé avec Safari (je vais testé avec Firefox) la seule chose qui change entre privé/pas privé c'est le prmeier "super cookie" tout le reste (plugin disponible, police, taille d'écran & co) sont identique.

Et quand je vois les hash Canvas/WebGL ~1 / 1200 pour chaque, ca laisse reveur. Le site sur ~200K mesure done mon navigateur comme etant unique. 200K mesure n'est pas énorme mais bon.

Wow, Fx est encore plus unique (chez moi) en terme de plugins que safari ne l'est eek.

Etrangement entre mode normal et privé, l'uniqueté est moins improtante mais reste super haute, ~1/14000 en privé, ~1/286232 en normal o_O

Les hashes sont assez uniques aussi (~1/5000)

la ou je suis surpris c'est le "HTTP_ACCEPT Headers": ~1/3000



Je viens de regarder pour Fx, j'avais les plugins par defaut (Java, Flash, h264) d'activé, les forcer a "ne jamais" retourne un "undefined" mais a part ca.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

27

Zeph (./25) :
théoriquement en France c'est illégal de la conserver et ça fait partie de ce que la CNIL sait regarder quand ils auditent une boite
C'est peut-être le cas pour les boîtes françaises, mais je doute qu'une boîte américaine (ou russe, ou n'importe quel autre pays qui se fout encore plus de la vie privée) en ait quoi que ce soit à secouer de la CNIL. Et même si ses clients sont en France et que ça vient à ce savoir, tu peux être sûr d'avoir droit au discours habituel "c'est une filiale d'un prestataire externe, on n'était pas au courant, on est désolés, on ne travaillera plus avec eux". Déjà que les boîtes qui sont coupables d'énormes négligences en matière de sécurité info s'en sortent avec une tape sur les doigts, alors là...

Zeph (./25) :
Je ne sais pas ce que tu as changé pour avoir un score aussi précis sur les "browser plugins"
J'ai "Codec vidéo OpenH264" et "Shockwave Flash" d'activés, et "Module de déchiffrement de contenu Widevine" de désactivé.

Zeph (./25) :
Quand cet utilisateur devient un agglomérat mélangé avec le parcours de 500 autres personnes sans trop qu'on sache qui a fait quoi, ça ne vaut plus rien du tout.
Oui c'est sûr, mais sans avoir de chiffres, je ne suis pas certain que le nombre de personnes différentes derrière une même IP soit très élevé aujourd'hui. Du coup, tu n'as pas besoin d'énormément d'entropie pour passer de "un agglomérat d'utilisateur" à "un utilisateur en particulier", ce qui est beaucoup plus intéressant.

Je me répète, mais si Facebook ou Google dépensent de l'argent pour faire de la consolidation et de l'analyse des données de tout le monde, c'est bien parce qu'au final ça leur rapporte du fric. Ils ont certes l'avantage d'avoir accès à beaucoup de données "internes" et de pouvoir vendre leurs propres espaces de pub, mais le principe de base reste le même.

J'ajouterais qu'en tant qu'utilisateur, le fait qu'une boîte qui fasse ça ne soit pas assez rentable à long terme (et qu'elle coule) n'est pas si important : s'ils ont collecté tes données et qu'ils les ont transmises à dieu-sait-qui (qui se fera hacker un jour ou l'autre), c'est trop tard.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo