vie privée en ligne
Produits et Services PRODUITS & SERVICES

Google veut nous pister au quotidien : quid de la protection de la vie privée en ligne ?

Google prévoit d'utiliser un outil basé sur l'Intelligence Artificielle pour nous suivre et voir où nous allons, ce que nous achetons, afin de faire le lien avec les annonceurs et les publicités diffusées.

Il existe un défi marketing très ancien que Google a l’intention de relever : comment convaincre ses clients que l’argent dépensé en publicités se transformera en or !

Comme Google l’a annoncé lors de sa conférence annuelle Marketing Next en mai dernier, il ira au-delà de la simple diffusion d’annonces auprès de ses utilisateurs. En utilisant un outil basé sur l’Intelligence Artificielle (AI) appelé Attribution, Google a déclaré qu’il nous suivra pour voir où nous allons, nous pistant via les divers périphériques et canaux, mobiles, fixes mais aussi dans les magasins physiques, pour voir ce que nous achetons. Ensuite, il comparera nos achats avec les publicités que nous avons vues, puis dira automatiquement aux annonceurs ce que nous sommes sur le point de faire, et quelles sont les annonces qui ont bien fonctionné.

Google a déclaré à l’époque qu’il envisageait de rendre les données anonymes et ensuite de les hasher, de la manière suivante : “l’utilisateur 08a862b091c379fe9767615d10873 a vu ces 10 annonces dans la matinée et a dépensé 27.73 € dans une certaine épicerie l’après-midi“.

Eh bien, ce n’est pas rassurant d’un point de vue de la protection de la vie privée, déclare EPIC (le Electronic Privacy Information Center). Lundi dernier, EPIC a annoncé qu’il a déposé plainte (PDF) auprès de la Federal Trade Commission (FTC) pour empêcher Google de suivre les achats en magasin.

En effet, Google est plutôt heureux et se vante d’avoir récupéré les données concernant plus de 5 milliards d’achats par carte de crédit dans des magasins, et ce en moins de trois ans, à l’aide d’AdWords. Google compare ensuite les historiques d’achat des individus avec leurs activités en ligne.

En fait, Google utilise des “partenariats tiers” pour accéder à ce qu’il considère représenter “environ 70% des transactions par carte de crédit et de débit aux États-Unis”. Mais Google n’a pas clairement identifié qui étaient ces partenaires ni comment ils ont capturé toutes ces informations.

De même, Google dit qu’il protège la vie privée en ligne, mais il refuse de dire comment, dit EPIC. Google ne permettra pas non plus de tester de manière indépendante la technique utilisée pour préserver la vie privée des consommateurs.

Selon un extrait de la plainte :

Google affirme qu’il protège la vie privée en ligne mais refuse de dévoiler les détails de l’algorithme qui “désidentifie” les consommateurs tout en surveillant leurs achats.  

La vie privée de millions de consommateurs dépend donc d’un algorithme secret et breveté.

Google a déclaré qu’il ne pouvait pas donner des détails sur ses formules mathématiques en raison d’un brevet en cours de dépôt.

Cependant, il a tout de même révélé que l’algorithme était basé sur CryptDB, une base de données qui fonctionne en exécutant des requêtes SQL sur des données chiffrées (PDF d’un document du MIT sur CryptDB). CryptDB, toutefois, contient des failles de sécurité connues : en 2015, les chercheurs de Microsoft ont piraté une base de données CryptDB protégée et contenant des dossiers médicaux, et ont accédé à plus de 50% (parfois 100%) de données sensibles individuelles de patients.

Au-delà du manque de transparence de Google concernant leur technique de protection de la vie privée en ligne des consommateurs, EPIC déclare également que la marche à suivre pour désactiver l’option de suivi est “lourde, opaque et trompeuse”.

Selon Google, désactiver “Web & App Activity ” (l’enregistrement des activités sur le Web et les applications) empêche Google de sauvegarder les informations relatives aux annonces sur lesquelles un utilisateur a cliqué. Cependant, les données en provenance d’annonces affichées et sur lesquelles on a cliqué peuvent encore être stockées afin de permettre une identification personnelle de l’utilisateur, et ce même si Web & App Activity est désactivée. Chaque fois qu’une annonce est diffusée sur le navigateur d’un utilisateur, les serveurs de Google créent un journal qui comprend l’adresse IP de l’utilisateur et un identifiant unique associé au cookie de la publicité Google associée.

La désactivation des cookies Google ne permet pas de stopper l’affichage des publicités. Ces dernières continuent d’être connectées aux serveurs Google, tout comme les adresses IP des utilisateurs. La seule façon de se protéger vis-à-vis de ce suivi est d’utiliser une solution externe, tel qu’un réseau privé virtuel (VPN), déclare EPIC.

Toutes les informations concernant ce sujet se trouvent résumées au sein de plusieurs pages dans le contrôle de la confidentialité de Google, mais même si vous parvenez à ce stade, Google ne divulgue pas dans quelle mesure la désactivation de Web & App Activity l’empêche de suivre vos interactions avec les publicités Google.

EPIC demande à la FTC d’empêcher le suivi des achats en magasin par Google et de statuer si Google protège efficacement la vie privée en ligne des consommateurs.

Il note également que Google cherche à étendre sa domination en matière de publicité en ligne au niveau du monde entier. Absolument ! Mais qui n’en ferait pas autant ?

Amazon, de son côté, a également repoussé les limites de sa domination en ligne. En juin, un brevet qui empêche les acheteurs de vérifier les prix en ligne des concurrents lorsque nous sommes dans l’un de ses magasins physiques, lui a été accordé.

Pour ce faire, comme il l’a décrit dans son brevet, il surveillera toute activité en ligne via son réseau Wi-Fi, détectera toute recherche d’information pertinente concernant un produit, et en retour dirigera le client vers une page web complètement différente, ou bloquera complètement l’accès à internet, et/ou enverra un employé du magasin en direction de l’endroit où nous nous trouverons dans le magasin.

Mais au moins, vous avez la possibilité de ne pas utiliser le Wi-Fi d’Amazon. Par le passé, les experts marketing ont utilisé des technologies pour nous suivre, sans passer par une inscription préalable au niveau du Wi-Fi d’un magasin, étant donné que nos téléphones mobiles dévoilent tous nos mouvements lorsque nous sommes dans ce dernier.

Nous avons également vu des panneaux d’affichage “espions” et des poubelles à cannettes ultra-modernes que des annonceurs avaient utilisés pour surveiller les mouvements des gens, en suivant les identifiants uniques de leurs téléphones mobiles.

Combien d’informations supplémentaires voulons-nous donner à Google, en plus de ce qu’il connaît déjà de nous ? Selon les outils que nous utilisons, Google sait ce que nous pensons, ce dont nous avons besoin, ce que nous désirons, nos croyances politiques et religieuses, notre âge, notre genre, quelle musique nous écoutons, ce que nous regardons, ce que nous lisons, où nous avons été, où nous prévoyons d’aller, où nous travaillons, où nous traînons, où nous vivons, qui nous rencontrons, où et quand nous faisons nos courses, ce que nous achetons, combien d’argent nous sommes prêts à dépenser, combien nous dépensons effectivement, et combien d’énergie nous consommons.

Si vous voulez savoir ce que les experts en matière de protection de la vie privée pensent du fait de fournir à Google des données sur ce que nous achetons dans les magasins, en plus de tout ce qu’il sait déjà, quel meilleur endroit vers lequel se tourner que le Projet Tor ?

En un mot, la réponse est “Go, EPIC, go !!!”

Google dit qu’il est consterné par la plainte d’EPIC. Une porte-parole a envoyé cette déclaration à Ars Technica mardi :

Nous prenons la vie privée très au sérieux, il est donc décevant de constater un certain nombre d’inexactitudes dans cette plainte. Nous avons investi dans la protection de la vie privée dernier cri, avant de nous aventurer dans le développement de cette solution. Toutes les données sont chiffrées et regroupées, nous ne partageons pas et ne recevons aucune donnée de carte de crédit identifiable.

Sean Gallagher d’Ars Technica, qui a rendu compte des vulnérabilités de sécurité au sein de CryptDB en 2015, affirme que Google a également affirmé qu’il n’avait accès qu’à la “valeur globale” de plusieurs achats, et pas aux achats individuels, et que ni lui ni aucun annonceur ne connaissent la provenance des clics.


Billet inspiré de Google wants to track you in real life – privacy group says, ‘No way!’, sur Sophos nakedsecurity.