Verizon et AT & T ont discrètement suivi l’activité Internet de plus de 100 millions de clients mobiles avec ce que les critiques ont surnommé des « supercookies » – des marqueurs si puissants qu’il est difficile, même pour les utilisateurs les plus avertis de leur échapper.
La technologie a permis aux entreprises de surveiller quels sites visitent leurs clients, en cataloguant leurs goûts et intérêts. Les consommateurs ne peuvent pas effacer ces supercookies ou leur échapper en utilisant les paramètres du navigateur, comme les modes « privé » ou « incognito » qui sont très appréciés parmi les utilisateurs qui se méfient de la surveillance des entreprises ou des gouvernements.
Verizon et AT & T déclarent qu’ils ont pris des mesures pour alerter leurs clients à propos de ce suivi et pour protéger la vie privée des clients dès lors que des entreprises développent des programmes destinés à aider les annonceurs à perfectionner leurs emplacements publicitaires en fonction du comportement individuel sur Internet.
Mais comme le terme de « supercookies » s’est répandu ces derniers jours, les défenseurs de la vie privée ont réagi de manière forte, affirmant que le suivi/tracking pourrait exposer le comportement de l’utilisateur sur Internet à un large éventail d’étrangers – y compris les services de renseignement – et pouvait également violer les lois fédérales sur les télécommunications et les écoutes électroniques.
Un groupe de défense des libertés civiles, l’Electronic Frontier Foundation, affirme qu’il a fait part de ses préoccupations à la Federal Communications Commission et envisage une action en justice formelle pour bloquer Verizon. Le programme d’AT&T n’est pas aussi avancée et, selon la compagnie, est encore en test.
Les enjeux sont particulièrement importants, disent les défenseurs de la vie privée, parce que l’expérimentation de Verizon avec les supercookies est presque certaine de stimuler des imitateurs désireux de concourir pour une plus grande part des profits de la publicité estimés à plusieurs milliards de dollars gagnés par Google, Facebook et d’autres.
Les entreprises traquent leurs utilisateurs et vendent de la publicité ciblée en fonction de ce qu’ils apprennent. Les Supercookies pourraient permettre aux opérateurs cellulaires et d’autres fournisseurs de services Internet à faire de même, encerclant potentiellement les utilisateurs ordinaires dans un monde Internet de tracking beaucoup plus vaste que ce qui est connu aujourd’hui.
Verizon a commencé à suivre ses 106 millions de clients «retail» – ce qui signifie ceux qui ne disposent pas de contrats commerciaux ou gouvernementaux – en Novembre 2012, a indiqué la compagnie. La société a exclu tous les clients gouvernementaux et certains clients professionnels, mais elle ne pourrait pas dire combien. Verizon a dit qu’elle a envoyé des notifications aux clients et offrait un moyen pour eux de se retirer du programme, mais elle a refusé de dire combien l’ont fait.
Les défenseurs de la vie privée, qui favorisent généralement des systèmes dans lesquels les clients doivent choisir de participer en y adhérant, ont longtemps soutenu que ces avis émanant de sociétés sont inefficaces; les quelques personnes qui les lisent ont du mal à exprimer leurs préférences.
Même ceux qui se retirent du programme de Verizon ont encore un code d’identification unique attaché à l’ensemble de leur trafic Web, a indiqué la compagnie, mais cette information ne n’est pas utilisée pour établir des profils de comportement qui sont vendus à des annonceurs.
Un porte-parole de l’entreprise, Adria Tomaszewski, a déclaré que le supercookie – une combinaison unique de lettres et de chiffres – est changé régulièrement pour prévenir les autres de suivre les clients de Verizon, mais elle a refusé de dire combien de fois. Adria Tomaszewski a également dit que ceux qui ne font pas partie du programme de publicité Verizon appelé « Precision Market Insights » ne sont pas en mesure d’utiliser le supercookie pour suivre les clients de Verizon.
«De la façon dont il est conçu, il ne pourrait pas être capable d’être utilisé pour cela », a déclaré Adria Tomaszewski.
Des chercheurs indépendants contestent cette affirmation. Les codes uniques – tels que les numéros d’identification de l’appareil, les adresses de protocole Internet et les cookies – se partageaient entre les sites Web, les annonceurs et les courtiers en données, ce qui leur permet à tous, de rassembler tellement d’informations sur les utilisateurs individuels qu’il est facile d’extraire un nom ou d’autres données d’identification, disent les experts. Le processus est appelé «dé-anonymisation » d’un utilisateur. (de-anonymizing)
Un chercheur en sécurité, Jonathan Mayer de Stanford, a déclaré: «Je ne sais aucun informaticien qui prend le terme de « anonyme » comme sérieux. Ce mot a été tellement discrédité à bien des égards ».
Les critiques disent aussi que les supercookies, surtout s’ils sont plus largement déployés, seront extrêmement utiles aux services de renseignement qui surveillent les comportements sur Internet. L’Agence nationale de sécurité (NSA) a utilisé les cookies – un ancien code de suivi plus facilement effaçable qui est stocké sur un navigateur – afin d’identifier les utilisateurs d’Internet dans le monde entier contre des attaques de piratage.
AT & T a refusé de dire depuis combien de temps il suit le comportement de ses clients sur Internet, mais a déclaré que le programme reste en test et n’a pas encore été utilisé pour cibler la publicité. « Nous envisageons un tel programme, et tout programme que nous proposerons, permettra de maintenir notre engagement fondamental sur la vie privée de la clientèle», a déclaré la porte-parole Emily J. Edmonds dans un e-mail.
Le supercookie d’AT&T change toutes les 24 heures dans le but de protéger la vie privée, assure Emily Edmonds.
Le programme d’AT&T, contrairement à Verizon, n’attachera pas de code d’identification au trafic Internet de ses clients une fois qu’ils s’en retireront.
Il y a eu une surprise parmi les chercheurs en sécurité et des militants de la vie privée quelques jours après l’Electronic Frontier Foundation, basée à San Francisco, suit à l’envoi d’un premier tweet sur cette pratique, le 22 octobre, le qualifiant de «terrible» et en citant un article paru dans Advertising Age de mai 2014. Plusieurs agences de presse ont rapporté depuis la nouvelle.
Jacob Hoffman-Andrews, un technologue de la fondation, a dit qu’il a été surpris par l’intensité de la réaction générée par le tweet, qui a été envoyé à partir de son compte. « Tout le monde était comme, ‘Wow, ç’est vraiment épouvantable,» dit-il.
Les questions juridiques potentielles, disent les experts, proviennent en partie de la Loi sur les communications, qui interdit aux opérateurs de révéler des informations d’identification de leurs clients ou d’aider les autres à le faire. Ce qui est au cœur des plaintes par la fondation, qui envisage une action en justice ou d’autres mesures pour arrêter Verizon, a déclaré l’un des avocats du groupe, Nate Cardozo.
La loi sur les écoutes électroniques fédérales (Wiretap Act) est aussi potentiellement en cause, car elle interdit la modification des communications personnelles pendant la transmission sans le consentement ou l’ordonnance d’un tribunal.
Un professeur en droit, a déclaré que les entreprises pourraient être vulnérables si un tribunal jugeait que la notification des efforts déployés par Verizon et AT&T ne sont pas adéquats. Les responsables des deux entreprises ont dit à un comité sénatorial en 2008 qu’ils ne commenceront pas à suivre leurs clients sans leur demander une permission explicite.
Les défenseurs de la vie privée disent que sans une action en justice, devant un tribunal ou par un organisme de réglementation tels que la FCC ou FTC, la transition vers les supercookies sera impossible à arrêter. Seulement le cryptage peut éviter à un supercookie de suivre l’utilisateur. D’autres nouvelles technologies arriveront probablement bientôt, disent les défenseurs.
« Il y a une ruée par des entreprises du câble et des télécommunications sans fil à élargir la collecte de données», a déclaré Jeffrey Chester, directeur exécutif du Centre pour la démocratie numérique, un groupe de défense basé à Washington. « Ils veulent tous surpasser Google. »
https://twitter.com/j4cob/status/525042630124527616