De YouPorn à l’Université de Lausanne, un nouveau mouchard piste les internautes

Publicité La société AddThis a diffusé un traceur quasi invisible qui suit les surfeurs

Des sites suisses sont concernés

Le site web de la Maison-Blanche, ceux de la RTS et de l’Université de Lausanne ou encore YouPorn. Dans cette liste à la Prévert, ces sites web ont un point commun: ils ont tous utilisé – et, pour certains, l’utilisent encore – le système de partage de contenu développé par la société américaine AddThis. Ce service, permettant de diffuser le contenu d’une page web via Twitter ou Facebook, intègre en plus un module d’un nouveau genre. Une sorte de créateur d’empreinte digitale numérique, capable d’enregistrer de manière extrêmement discrète tout ce que fait l’internaute.

Ce nouveau module a récemment été découvert par des chercheurs de deux universités, celle de Princeton (New Jersey) et celle de Louvain (Belgique). Si l’existence des empreintes digitales numériques avait été découverte en 2012 déjà, les spécialistes de ces deux universités ont remarqué que cette technique était désormais utilisée à grande échelle. Sur les 100 000 sites analysés par leurs soins, 5,5% contenaient des capteurs d’empreintes. Et l’immense majorité (95%) de ces capteurs avait été installée par la société AddThis. Ces capteurs vont beaucoup plus loin que les traditionnels «cookies» que l’on connaît depuis des années. Ceux-ci stockent sur l’ordinateur de l’internaute, dans de petits fichiers aisément accessibles, des informations sur sa navigation et ses mots de passe. Les cookies sont aussi utilisés de manière intensive par les publicitaires pour afficher des annonces en lien avec les habitudes de navigation. Et il existe de nombreux systèmes pour les rendre inopérants.

La création d’empreintes digitales numériques va plus loin, car celles-ci ne laissent aucune trace sur l’ordinateur. Lorsqu’un site est visité, une illustration invisible est dessinée en utilisant des informations de l’écran. Le système crée ainsi un identifiant unique de l’ordinateur, en se basant sur les pilotes graphiques, les systèmes d’exploitation ou encore le navigateur de l’ordinateur. L’identifiant est créé en affichant, de manière invisible, la phrase «cwm fjordbank glyphs vext quiz» (utilisant tous les caractères de l’alphabet). Chaque ordinateur l’affichera de manière différente, via des variations quasiment indétectables.

Pour fonctionner, ce système de création d’empreinte ne nécessite aucune action de l’internaute. Il suffit que celui-ci consulte une fois un site affichant les boutons de partage de la société AddThis pour que son empreinte soit fabriquée. Le mouchard se crée donc automatiquement. Il semblerait, à en croire Rich Harris, directeur d’AddThis, que ces empreintes n’aient jamais été utilisées à des fins publicitaires. «Nous cherchons une alternative aux cookies», a-t-il affirmé fin juillet à ProPublica, expliquant que les empreintes numériques n’entraient pas en contradiction avec les règles internes de la société.

Mais au vu du début de scandale, plusieurs sites web ont agi. YouPorn, le site le plus consulté ayant adopté la technologie d’AddThis, selon les chercheurs, a supprimé ses boutons de partage. La Maison-Blanche a fait de même. En effectuant une recherche dans la liste des sites épinglés par les chercheurs – ceux ayant utilisé les services d’AddThis entre le 1er et le 5 mai 2014 – l’on découvre plusieurs sites suisses, dont celui de la RTS et celui de l’Université de Lausanne. «Il a été décidé en début de semaine [passée] de retirer AddThis du site RTS.ch, explique le service de presse de la Radio Télévision Suisse. Nous avons décidé d’arrêter de l’utiliser immédiatement. La question s’était déjà posée même avant l’histoire de ce mouchard.» Du côté de l’Université de Lausanne, on affirme que «les informaticiens sont au courant du problème, et cela crée de gros soucis au niveau de la vie privée, d’autant que les étudiants sont une cible privilégiée des annonceurs». L’université dit «évaluer les options pour choisir peut-être bientôt un autre service de partage via les réseaux sociaux». Parmi les autres sites suisses épinglés par les chercheurs figurent DeinDeal.ch, TicketCorner.ch, StMoritz.ch ou encore Uploadable.ch.

«Cela crée de gros soucis au niveau de la vie privée, d’autant que les étudiants sont une cible privilégiée»