Pour mieux comprendre, visitez la démonstration qu'Atul a mise en ligne. Elle simule une visite sur quelques sites. Ainsi si vous allez sur imdb.com, trois régies publicitaires enregistreront votre visite. Continuez en visitant le New-York Times, et cinq sites en seront avertis, dont deux déjà au courant de votre visite sur IMDB. En visitant successivement cinq pages, ce sont pas moins de quatorze sites qui ont laissé des cookies dans votre navigateur et conservent une trace de votre navigation. Google, via DoubleClick, était présent sur les cinq pages visitées, et a donc pu vous suivre pas à pas. Un peu comme s'il était en permanence derrière votre épaule, à regarder tout ce que vous faites, à tout noter. Grand Frère, as-tu vraiment besoin d'enregistrer toutes ces informations sur moi ? Bien sûr, c'est pour te manger mon enfant.

Vous êtes le produit

Comme le rappelle la citation d'Andrew Lewis en exergue, si vous ne payez pas un service, c'est que vous n'êtes pas le consommateur, vous êtes le produit vendu. En collectant toutes ces données sur vous, les régies publicitaires établissent votre profil, déterminent ce qui vous intéresse, peuvent connaître vos préoccupations du moment. Ceux qui sont sûr de ne pas être influençables ne s'en soucieront pas. Après tout, cela sert surtout à afficher des réclames les plus pertinentes possibles, celles correspondant à ce que vous cherchez. Si vous êtes persuadé que ces réclames n'ont pas d'influence sur vos choix, pas de problème. Mais si vous êtes paranoïaques et croyez possible les manipulations, vous devriez commencer à vous protéger contre le traçage de vos comportements.

Souriez vous êtes profilés

L'affichage d'annonces "personnalisées" peut en lui-même parfois être énervant, comme pour cette internaute harcelée par des publicités pour des régimes parce qu'elle avait été "profilée" comme trentenaire célibataire. La constitution de ces bases de données de profils est en soi inquiétante. On peut je pense facilement inférer mes opinions politiques des sites que je visite. Si aujourd'hui seuls les publicitaires accèdent à ces bases, qui sait entre quelles mains vont-elles un jour tomber. Est-ce que demain on me refoulera à une douane à cause des sites que j'ai visités (je crois que c'est déjà arrivé, mais ne retrouve plus le lien). Est-ce qu'un jour une banque me refusera un prêt, un employeur un boulot, une agence une location, etc, pour tel ou tel trait de ma personnalité fantasmé à partir de l'historique de mes visites ? Pas besoin d'avoir quelque chose à se reprocher, juste un profil "à risque" (profil d'ailleurs en grande partie basé sur des déductions hasardeuses)

Personnalisé ou déconnecté de la réalité

Ce traçage présente par ailleurs un autre risque, plus insidieux. Google personnalise les résultats de recherche qu'il nous affiche en fonction de ce qu'il sait de nous. S'il nous connaît bien, il va essayer d'afficher en priorité les liens qui nous intéresseront le plus. Ce qui peut être pratique. Ou dangereux, en nous renforçant dans nos convictions. Google, ayant deviné que je suis un affreux gauchiste, va m'afficher en priorité les liens sur des sites de gens qui pensent comme moi. Ce qui va peu à peu me laisser croire que tout le monde pense comme moi, faire disparaître la disparité des points de vue, la complexité du monde. Et forcément m'exposer à être déçu si un jour je vais affronter l'IRL. Xavier de la Porte explique tout cela très bien dans sa recension d'un article de Sue Alpern, dont je vous recommande chaudement la lecture.

Se protéger

Si vous souhaitez vous protéger, je ne peux que vous conseiller d'aller faire un tour dans la rubrique Sécurité et vie privée des extensions Firefox. Lorsque j'ai installé Collusion, j'ai d'abord cru que ça ne fonctionnait pas: il ne me signalait aucun traçage. Après vérification, c'est parce que les quelques extensions que j'ai installées me protègent plutôt bien.

Voici ce que j'utilise:

  • Adblock Plus : indispensable, bloque la plupart des publicités, ce qui change réellement le confort d'utilisation du Web: les pages se chargent plus rapidement, vous n'êtes pas obligés de chercher l'article au milieu de tonnes de réclames, et pendant la lecture l'attention est moins dérangée par des trucs qui clignotent dans tous les sens. Pour optimiser le fonctionnement d'Adblock Plus, il utilise des listes de sites publicitaires à bloquer. La liste francophone est efficace;
  • Better Privacy, parce qu'outre les cookies classiques, beaucoup de sites utilisent également certaines fonctions de Flash pour tracer les internautes. Flash étant une application externe au navigateur, celui-ci ne pouvait jusqu'à il y a peu pas supprimer ces cookies. Effacer les cookies via le navigateur ne protégeait donc pas efficacement contre le traçage. Better Privacy y remédie en permettant de gérer différents problèmes de vie privée liés à Flash. Firefox peut à présent supprimer directement les cookies Flash, mais je ne sais pas depuis quelle version;
  • Ghostery se spécialise dans la détection de tout ce qui permet de tracer les internautes. L'extension utilise une liste noire régulièrement mise à jour pour détecter les traceurs, afficher des informations à leur sujet, et permet de les bloquer;
  • je n'utilise pas NoScript. C'est sans doute la protection la plus complète, mais elle nécessite de nombreux réglages et je la trouve excessive par rapport à mes besoins (et je me souviens d'une vieille polémique qui a opposé son auteur à celui d'Adblock Plus, et ne m'a guère donné envie de l'utiliser);

N'oubliez également pas d'activer dans les préférences de Firefox l'option "Do Not Track"[1], voire de supprimer systématiquement tous les cookies lorsque vous quittez le navigateur.

Pour aller plus loin

L'expérience Collusion, pour intéressante quelle soit, ne révèle qu'une partie du dangereux gros glaçon du traçage en ligne. Par exemple, elle se base uniquement sur la présence de cookies, et non les autres informations qui peuvent être associées à ces cookies, et permettre d'encore mieux nous connaître. ainsi des recherches que nous faisons sur un site, le temps que nous avons passé sur chaque page, les mouvements et clics de souris, etc.

Enfin, n'oubliez pas que les méthodes pour vous identifier en ligne sont nombreuses. Refuser certains cookies ne suffit pas à vous protéger. En France, beaucoup de gens ont une adresse IP fixe. À moins de naviguer en permanence au travers de proxies, elle permet d'identifier votre ordinateur. Mais je ne sais pas si les IP fixes sont courantes dans le reste du monde, et si elles sont largement utilisées pour le traçage.

Outre l'IP, votre navigateur lui-même a une "signature" comme l'a montré l'expérience Panopticlick de l'EFF. C'est certes moins précis qu'une IP, mais avec la multiplication de périphériques et des navigateurs, la signature d'un navigateur pour suffire à identifier un internaute.

Le site de la CNIL propose depuis longtemps une rubrique pédagogique pour expliquer comment vous pouvez être tracés en ligne. Il a été récemment refait, et je le trouve plutôt bien conçu, c'est un bon début pour comprendre et apprendre à vous protéger.

Notes

[1] qui demande gentiment aux sites de ne pas vous suivre. Plus symbolique que réellement efficace pour l'instant