Webmasters, arrêtez de faire le boulot de la NSA

Les journaux ont beau jeu de dénoncer l’espionnage des populations par quelques multinationales et Etats.
Pourtant derrière ce discours, les mêmes journaux livrent quotidiennement les données personnelles de leur lecteurs directement aux mains de ces mêmes multinationales du tracking et participent ainsi activement au fichage et profilage qu’ils dénoncent. Petit aperçu de la presse française :

Par exemple, sur Mediapart est bourré d’outils de statistiques, ce qui est bien étrange car il n’a aucune nécessité publicitaire :

  • Google (Analytics, Favicons,  Google+)
  • Facebook
  • Twitter
  • Xiti
  • Chartbeat

Sur Reflets.info, dont on ne peut nier la compétence technique :

  • Google (fonts)
  • WordPress.com Stats
  • Twitter

Sur Liberation.fr :

  • Chartbeat
  • SmartAdserver
  • Google (Google Tag Manager)
  • Xiti
  • Panoplie de sites publicitaires

Sur LeMonde.fr :

  • SmartAdserver
  • Chartbeat
  • Xiti
  • Yandex.ru
  • Panoplie de sites publicitaires

Sur leFigaro.fr :

  • Google (Analytics, Favicon)
  • SmartAdserver
  • Xiti
  • Facebook
  • Twitter
  • Panoplie de sites publicitaires

Sur l’Express :

  • Google (Analytics, API)

Sur le Nouvel Obs :

  • Google (Analytics, API)
  • Chartbeat
  • Twitter
  • Facebook
  • Xiti

Sur Numerama:

  • Google (Analytics, API, Google+, Google Tag Manager)
  • Twitter
  • Facebook
  • Xiti

Sur NextInpact (anciennement PCInpact), en étant logué comme abonné payant (et donc sans publicité):

  • Google (Analytics, fonts)
  • Xiti

Sur Korben :

  • Google (Analytics, Google Tag Manager)
  • Disqus
  • Panoplie de sites publicitaires

Je crois que ce serait bien plus efficace que chacun commence par balayer devant sa porte si on veut avancer vers un internet qui respecte la vie privée. Si vous connaissez des gens travaillant pour ces sites web, n’hésitez pas à leur demander des comptes.

C’est trop facile de faire une pétition qui n’a aucune chance d’aboutir (vous ne voyez pas que même un référendum, le pouvoir politique s’en cale) ou d’apposer une futile bannière « Reset the net » (on dirait du « green-washing ») pendant une journée.

Ce serait néanmoins dommage de terminer cet article sans rendre hommage aux bons élèves : Framablog, Sebsauvage, Standblog, Wikipedia

 

14 réactions sur “ Webmasters, arrêtez de faire le boulot de la NSA ”

  1. qwerty

    Moi je ne jure que par Piwik. Pour la publicité, Pandad est une régie qui respecte les utilisateurs, ils sont assez clean, je suis chez eux depuis quelque temps. Même si je gagne pas grand chose, ça reste une petite expérience amusante.
    Après, il y a des trackers dans les vidéos youtube… qu’on se rend pas compte car inclue dedans.

  2. Tuxicoman

    @Chassegnouf : Ils essayent de battre le record de traqueurs sur une même page?

  3. Sabcat

    Haaaa, enfin un article avec un ton hargneux. Ca fait plaisir, et ça fait du bien. :)

  4. Sabcat

    Ha ben voui. C’est du blog statique. Mais bon, ça évite le spam :)

  5. mydjey

    L’effet pervers de tout ça c’est que 99% des gens n’ont pas conscience de ce tracking, puisque complètement invisible aux yeux de l’internaute. Dans les mentions légales il devrait y avoir obligation pour les sites de lister les tracker mis en place sur le site et obligation d’expliquer l’utilité de chaque tracker.

    La présence de ces trackers et appels vers des libs externes est souvent dû à la fainéantise des développeurs, et à la méconnaissance du sujet par le gestionnaires des sites. Dans le cas des boutons FB/Twitter par exemple, il est très facile de les intégrer sans qu’ils nuisent à la vie privée (http://ohax.fr/ajouter-les-boutons-de-partage-des-reseaux-sociaux-sans-le-tracking-de-vos-visiteurs).

    Avec un peu de pédagogie, du genre un site qui sensibilise et explique comment se passer facilement de certains tracker, je pense que ça pourrait faire évoluer les choses dans le bon sens.

    Sinon j’aimerais bien voir apparaître un label « tracker free » (dans le sens « Exempt de tracker »), sous forme de logo, que les webmaster pourraient afficher sur leurs sites… Si il y’a un graphiste partant et inspiré dans la salle. :)

  6. le hollandais volant

    Et tu oublies tout ça :
    – les polices hébergées sur Google Font
    – les bibliothèques jQuery (souvent hébergés sur Google Dév)
    – les lecteurs vidéo/audio « embeded »
    – les posts twitter/facebook en « embeded »
    – les images intégrés en hotlink depuis Google+, Tumblr, Facebook

    Tout ça n’est pas mieux que les plugin des réseaux sociaux ou les encarts de publicité. Ils font exactement la même chose, et envoie la page qui les intègre + le referer + le nom du navigateur + les cookies + l’IP au site qui les héberge (google, tumblr, facebook…).

  7. Tuxicoman

    @ le hollandais volant : Tout à fait d’accord, je dois à chaque fois patcher les thèmes WordPress que je trouve pour ne pas dépendre des Google fonts. Ca couterait quoi aux designers de les intégrer au thème? Je pense que ca manque simplement de prise de conscience.

    Le gros problème reste pour moi l’intégration de vidéos.
    Là il n’y pas vraiment de moyen d’éviter le tracking. Même dans un iframe, le navigateur envoie le referrer à Dailymotion/Youtube.

  8. Elie

    SI vous ne voulez pas être traquer installez l’extension RequestPolicy pour Firefox. Elle bloque toute les requêtes qui pointes vers un autre domaine que celui que vous visitez. Elle fonctionne super bien !!

  9. -Fred-

    Bonjour,

    J’ai soulevé il n’y a pas longtemps ce problème sur un site. Ma remarque concernait particulièrement la lib JQuery chargée depuis le site JQuery.com et indispensable au bon fonctionnement du site (en gros, pas de navigation dans les menus sans). Outre le possible problème d’accessibilité que cela pose, j’ai pointé le fait que ce n’était pas très bon pour le respect de la vie privée.

    La discussion semble tomber dans l’impasse car je constate que le point de vue d’un webmaster est sensiblement différent de celui d’un visiteur (les problématiques liées au respect de la vie privée s’effacent par rapport aux problématiques techniques jugées plus réelles. J’ai proposé au webmaster de prévoir un mode de navigation dégradé ou de charger JQuery directement depuis son propre domaine (37Ko à chaque fois). J’ai eu de sa part des propositions concernant la configuration de mon navigateur mais cela ne me satisfait pas complètement (d’autant que ça ne règle pas totalement le problème).

    Pour revenir à JQuery, quels sont les risques clairement identifiés (outre le fait qu’une fois durant la navigation la lib soit chargée depuis JQuery.com). Une fois que les entêtes HTTP et les cookies du navigateur sont bien gérés, que reste-t-il comme risque avéré ? Je ne trouve pas trop de ressources à ce sujet. Quand je lis des tuto au sujet de JQuery, l’un des premiers truc qui est dit, c’est qu’il est mieux de le charger depuis un site externe que de l’héberger : http://fr.openclassrooms.com/informatique/cours/simplifiez-vos-developpements-javascript-avec-jquery/avant-de-commencer-6

    Suis-je devenu complètement parano et irrationnel sur ce point ?

  10. Samson

    panopticlick.eff.org donne déjà une bonne idée des en-têtes renvoyés (et permet ainsi de mieux les régler), browserspy.dk pousse beaucoup plus loin la détection des innombrables infos gracieusement délivrées par votre navigateur.

    Surfer « sans trace » relève donc de l’utopie, mais certaines précautions permettent d’en réduire sensiblement l’impact.

    Outre l’usage de Tor et autres précautions de base sur Firefox (HTTPS-Everywhere, AdBlockPlus, RefControl, Self-Destructing Cookies, …), je combine Request Policy (filtrage par site visité) et NoScript (filtrage par scripts) pour n’autoriser que les tiers souhaités, par site.

    Quant aux en-têtes, j’ai adopté ceux proposés par TorBrowser et les ai intégrés dans Modify Headers.

    Quant aux webmasters, heureux ceux qui ont la chance de bosser pour une employeur plus respectueux de la vie privée que des chiffres à fournir à ses actionnaires, des salaires à verser à ses collaborateurs, … J’en conclus que pour tenter de protéger un tant soit peu sa vie privée numérique, nul n’est finalement mieux placé que l’internaute himself :-)

  11. Anonyme

    @mydjey

    Très bonne idée pour le logo « tracker free » !

    @Tuxicoman
    Pour les vidéos, sa demande un peut de ressource mais on peut essayer de la réduire au max, avec un partage p2p entre les utilisateurs qui me semble est disponible dans webrtc.

  12. f4b1

    J’aime beaucoup le ton de cet article, c’est toujours vrai plusieurs années après …

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.