Juillet 2019 – Etes vous plutôt Cookies ou Nachos ?

Alors que de nouveaux scandales à la Cambridge Analytica éclatent à peu près toutes les semaines, la CNIL durcit les règles sur l’utilisation des Cookies.

Dès Juin 2020, fini le soft opt-in et les cookie walls

En ce début d’été la CNIL durcit le ton et publie son nouveau plan d’action sur le ciblage publicitaire. Les nouvelles directives applicables à partir de Juin 2020 entendent changer considérablement les règles du jeu liées en particulier à l’utilisation de cookies par les sites web. Qu’est ce que cela change pour les particuliers et pour les entreprises ?

Interviewée dans La Tribune, l’avocate Sonia Cissé explique : « Les cookies permettent de reconnaître les utilisateurs, de tracer leur navigation pour personnaliser les offres produits. Presque toutes les entreprises qui ont un site Internet en font usage. Donc la nouvelle réglementation concerne tous les secteurs, toutes les entreprises qui utilisent des cookies, qu’il s’agisse des entreprises du digital mais aussi les banques, les assurances ou les commerces en ligne, entre autres. Cette nouvelle obligation imposée aux entreprises donne un peu plus de pouvoir [aux utilisateurs]. » 

Fini le soft opt-in et les cookie walls, avec lesquels l’utilisateur devait donner son consentement global avant de pouvoir continuer à utiliser un site web. Comme le rapporte le journal Les Numériques, « techniquement les sites n’auront plus le droit de simplement vous servir un bouton « Tout accepter » ou des cases précochées comme seul et unique portail de validation. » Pour s’aligner avec le RGPD, la CNIL exigera en effet à partir de Juin 2020 qu’avant le stockage de tout cookie le concernant chaque internaute dépose un consentement « libre, spécifique, éclairé et univoque par une déclaration ou par un acte positif clair », présenté « en des termes simples et compréhensibles pour tous [via] des solutions conviviales et ergonomiques. »

Faites en l’expérience vous-même en visitant le site Les Numériques qui offre un très bon exemple de ce que la CNIL demande. Dès aujourd’hui lors de votre première visite, le site vous propose de configurer les finalités pour lesquelles vous autorisez la collecte de cookies, et même de blacklister certains de leurs partenaires. Aucune case n’est cochée par défaut. En Juin 2020 il ne leur restera plus qu’à faire disparaître les boutons « J’accepte » et « Tout Accepter » ! 

Mais attention cela requiert plus d’attention de la part de l’utilisateur, et il est probable que certains seront rebutés au moins au début par cette nouvelle complexité. Ce paradoxe n’est pas sans rappeler les commentaires de Qwant à propos de son nouveau service de personnalisation qui nécessite plus d’attention de la part des consommateurs et leur redonne la responsabilité de sauvegarder régulièrement leurs données (voir notre article du mois dernier)

 

Nacho Analytics « God Mode for Internet » : un scandale de plus qui donne envie de se protéger 

My browser, the spy: How extensions slurped up browsing histories from 4M users

Crédits: Ars technica

Néanmoins on peut déjà parier que la majorité des particuliers y trouvera son compte, face à la menace constante des aspirateurs de données. Chaque semaine dévoile son lot de nouveaux scandales. Les pratiques de Facebook et Cambridge Analytica [1] ne sont malheureusement pas des cas isolés. Ainsi à la mi-Juillet le reporter Sam Jaladi, spécialiste de cybersécurité et le journal Ars technica dévoilaient les activités de la société « Nacho Analytics » à travers un rapport assez technique, repris sur Siècle Digital.

Jaladi a en effet découvert 8 extensions Chrome et Firefox, installées par plus de 4 millions d’internautes, qui collectent à leur insu toutes les pages et tous les liens qu’ils visitent. Ces informations sont ensuite commercialisées aux hackers du monde entier… Or de plus en plus de plateformes utilisent des liens publics (avec des adresses longues comme le bras) pour partager des informations personnelles ou confidentielles. La liste des exemples détaillés dans l’article de Jaladi est effrayante.

Comme le raconte cet article de Naked Security, Nacho Analytics se présente même comme “God mode for the Internet” et utilise la tagline “See Anyone’s Analytics Account.” Si vous utilisez l’une des 8 extensions suivantes, les explications pour stopper l’hémorragie sont dans l’article. Mais ne rêvez pas ! Tout ce qui a déjà fuité est perdu à jamais… Pour certains chercheurs effacer ces données serait comme vouloir refaire rentrer le dentifrice dans son tube.

The extensions

    • Hover Zoom
    • SpeakIt!
    • SuperZoom
    • SaveFrom.net Helper
    • FairShare Unlock
    • PanelMeasurement
    • Branded Surveys
    • Panel Community Surveys

Les recommandation de Sam Jaladi sont claires et il y en a pour tout le monde ! Tout d’abord il encourage les chercheurs en cybersécurité à continuer de développer les méthodes et les outils qui permettront d’identifier plus de nouvelles menaces. Les sociétés informatiques éditrices de navigateurs internet devraient ensuite être plus exigeantes et attentives envers les développeurs d’extensions. Toutes les entreprises devraient enfin revoir leurs politiques de sécurité, et les développeurs web arrêter de partager des informations personnelles ou confidentielles dans des URLs publics.

 

Alors cookies ou nachos ???

Cookies ou Nachos, à vous de vous protéger efficacement. Le (futur) scandale Nacho Analytics n’est qu’un exemple. Pour preuve la même semaine un autre chercheur alertait sur la manière originale dont Facebook traque vos photos en dehors de Facebook, en y ajoutant de curieuses données cryptées. Si cela vous passionne comme moi, jetez un oeil à l’article.

La suite au prochain numéro.

 

[1] si vous y êtes abonnés on vous conseille vivement le reportage « The Great Hack » disponible sur Netflix, qui vous donnera envie de passer 2 minutes avant d’accepter de partager vos données avec un nouveau site web…

 

Juin 2019 – les moteurs recherchent la bonne stratégie

Flashback – juin 2019 – les moteurs de recherche rivalisent sur le thème de la protection des données avec des stratégies radicalement différentes.

Tandis que Google dévoile une nouvelle fonctionnalité permettant d’effacer automatiquement certaines données personnelles, Qwant mise sur une nouvelle technologie qui permet de personnaliser ses recherches sans partager ses données…

Google propose de nouveaux réglages a ses utilisateurs

Google l’avait annoncé en Mai, il l’a fait. Depuis la page d’accueil de votre compte Google — si vous en avez une — vous pouvez régler la durée de stockage de votre historique de recherche et d’utilisation des apps Google. Ce n’est qu’un début mais c’est déjà un pas vers plus de contrôle de leurs données par les utilisateurs. Il reste toutefois un peu de travail pour chaque internaute qui doit se rendre sur cette page et choisir ses préférences. La procédure est très bien expliquée sur le site Gizmodo.

Source: Gizmodo.com

Qwant lance Masq

Autre stratégie pour ceux qui ont choisi de boycotter Google et de faire par exemple confiance a Qwant le moteur de recherche français en pointe dans la protection des données de ses utilisateurs. La technologie Masq annoncée fin Juin permet de « renverser la logique en déplaçant les données, qui ne sont plus sur le serveur, mais du côté du client » indique Tristan Nitot, VP Advocacy chez Qwant. Masq est un développement open source (disponible ici), encore en phase de test. Pour en savoir plus cette chronique sur France Inter est un bon point de départ.

Gare a la perte de ses données

Attention « Chacun est responsable de ses données » lance Ninot dans son interview à Numerama, et le journal de souligner:

« Puisque le stockage avec Masq se fait localement, cela signifie une absence de sauvegarde quelque part dans le cloud qui sauverait pourtant la mise de l’internaute. Ce à quoi rétorque Tristan Nitot : faites des sauvegardes ! Au-delà de la plaisanterie, c’est un choix de design assumé par Qwant : « chacun est responsable de ses données » et ce n’est pas à Qwant de faire ce que chacun devrait faire lui-même naturellement. Reste que de la théorie à la pratique, il y a un monde : il est assez facile de constater dans son entourage que les sauvegardes manuelles sur un périphérique amovible ne sont pas les pratiques les plus répandues… » (Source : Numerama, 27/6/19)

Se camoufler sous une pluie de faux profils…

La guérilla anti-moteurs de recherche fait rage aussi du côté des associations comme la fondation Mozilla qui propose encore une autre stratégie : noyer les traceurs publicitaires sous un flot d’informations erronées. Pourquoi pas ?!

Dans notre prochaine chronique nous remonterons encore un peu dans les actualités du mois de Mai 2019.

What’s up GDPR ?

Bonjour, nous sommes de retour ! Et non le projet Rebindme n’est pas totalement mort. N’ayant donné aucunes nouvelles ces derniers mois nous nous devions de publier un petit bulletin de santé.

L’été dernier (2018) nous nous étions quittés sur un projet très ambitieux : organiser nos premiers ateliers Rebindme, recruter nos premiers membres et dévoiler nos projets au plus grand nombre. Hélas l’été a eu raison des plus courageux d’entre nous pour des raisons diverses, variées et souvent personnelles. N’entrons pas dans ces détails personnels, ce serait un comble…

Seule la partie technique a continué a avancer, dans le but de préparer nos premiers prototypes, mais là aussi avec beaucoup d’à-coups.

Pourtant pendant ce temps le projet a conservé toute sa valeur, car malgré la mise en application du RGPD, les risques qui pèsent sur nos données personnelles sont toujours là et l’actualité est toujours aussi riche de rebondissements sur le sujet. En voici quelques extraits…

Crédits: reenawadia.com

Début juillet 2019 – Superhuman is Spying on You

Cette semaine c’est Superhuman un petit logiciel qui fait malgré lui la une des actualités du web avec un client mail qui permet d’envoyer un message en traçant qui l’a lu, quand et surtout où il se trouvait (en utilisant son adresse IP). Malgré une réaction rapide suite au post « Superhuman is Spying on You » de Mike Davidson, ancien VP de Twitter, et la suppression de ce tracking géo-localisé, cette affaire a entaché la réputation de la startup, tout en relançant le débat de l’éthique dans la tech.

Cet email a été lu 9 fois, en Californie, aux Pays-Bas, en Floride et dans le Missouri. Crédits : Mike Davidson.

Fin juin 2019 – la guerre Apple vs. OpenID fait rage…

La bataille fait rage entre Apple et l’OpenID foundation depuis qu’Apple a décidé d’utiliser son image de marque pour fournir un bouton « Sign-In with Apple » (SIWA) sur un grand nombre de sites web et d’apps, pour « éviter de passer par Facebook et Google, les accusant à demi-mot d’utiliser nos données personnelles. »  Craigh Federini, le président de la fondation reproche dans une lettre ouverte à Apple de ne pas garantir publiquement la compatibilité avec le standard ouvert OpenID, et de ne pas avoir officiellement rejoint la fondation aux côtés de Google, Paypal ou Microsoft.

Alors que penser d’Apple et de SIWA sur ce coup ? Un lecteur avisé fait remarquer sur ce site que « SIWA fait bien plus qu’un simple OpenID : génération d’une adresse e-mail unique à la volée contrairement à OpenID, la conservation de l’anonymat — vis-à-vis du site visité — même à travers les échanges de mail, détection des bots, authentification à double facteur automatique, … » Siècle Digital confirme : « Si vous ne souhaitez pas communiquer votre adresse email, Apple va proposer une solution pour protéger vos données personnelles. En sélectionnant l’option « masquer mon email » une adresse aléatoire sera automatiquement créée. Elle servira à transférer automatiquement les messages que la plateforme vous enverra, et protégera ainsi votre véritable adresse. Cette fonctionnalité s’avère particulièrement efficace lors d’un vol de données, de plus en plus fréquents à notre époque. » C’est à se demander pourquoi nous n’y avions pas déjà pensé 🙂

Présentation de l’interface permettant de masquer son email en utilisant Sign in with Apple

…tandis qu’en France UFC Que Choisir s’attaque à Google

Pendant ce temps le 26 juin, Alain Bazot, président d’UFC Que Choisir, dénonçait Google dans la presse et lançait une action de groupe pour les contraindre à respecter le RGPD. « Tout est fait pour que vous n’ayez pas conscience des données qu’on vous prend. » Il demande une indemnisation de 1 000 euros par victime « parce que la violation est massive, répétée, continue ».

Google, déjà condamné en janvier dernier par la CNIL à une amende record de 50 millions d’Euros pour ne pas informer assez clairement les internautes sur l’exploitation de leurs données personnelles, serait capable de vous géo-localiser plus de 300 fois par jours même si vous n’utilisez pas votre portable !

A suivre…

Pour remonter encore un peu le temps et suivre plus de news, suivez notre prochain article sur le sujet.

Juri-geek: de la prise de conscience à l’action il n’y a qu’un pas… que le RGPD nous aidera à franchir

Le RGPD est censé mettre en mouvement les consommateurs, mais « la compréhension de la discipline juridique paraît souvent abrupte pour les non-initiés ». Nathalie Devilliers, alias Juri-geek « tente de démocratiser le droit du numérique, une matière qui n’est pas suffisamment enseignée et qui fait l’objet de recherches trop peu accessibles. »

Dans son dernier article cette semaine elle propose de multiplier les juristes-geeks pour gagner la bataille de l’intelligence artificielle, tandis que le mois dernier elle proposait un article très optimiste sur le RGPD qui prônait de passer rapidement de la prise de conscience individuelle — voir notre précédent article sur Cambridge Analytica — à l’action individuelle et collective.

Une belle découverte ! Nous espérons pouvoir inviter Nathalie à l’un de nos prochains meet-ups.