Cet article fait partie d’un dossier consacré aux publicités comportementales. Vous pouvez le consulter intégralement dans notre toute nouvelle rubrique dossier et sur la page suivante.
Le nerf de la guerre dans le cadre de la publicité comportementale, c’est la récupération d’informations.
Pour transformer un internaute en prospect, il vous faudra un soupçon d’espionnage et quelques pépites de désinformation. Néanmoins tous les cookies ne sont pas faits à base d’ivraie.
L’appétissant cookie
Le témoin de connexion (en bon français), est un petit fichier texte (.txt pour les intimes) contenant un certain nombre d’informations, dont un numéro d’identification unique. Il est envoyé par le serveur web du site consulté et est stocké sur le disque dur du visiteur par le biais de son navigateur.
Par exemple, l’apposition d’un cookie sur un site de e-commerce est nécessaire pour pouvoir enregistrer votre panier d’une page à l’autre.
La plupart des cookies sont effacés lorsque vous quittez le site ou (moins bien) la session internet. C’est notamment le cas des cookies de pistage : vous en avez un sur votre ordinateur à l’instant même, celui-ci permet au webmaster du blog de Mod&Wa de savoir d’où vous venez (moteur de recherche, annuaire, réseau social) et comment vous naviguez sur mon site (quelles pages consultées, pendant combien de temps…).
Certains sont rémanents pour des raisons pratiques : lorsque l’on retourne sur le même site, le cookie renvoie les informations qu’il a précédemment stocké. Le cookie (quelle intention louable!) permet donc de personnaliser l’affichage des sites : le site se souvient de votre passage, évitant de retaper son mot de passe, de remplir à nouveau un formulaire, d’enregistrer ses informations de personnalisation d’une page… Sur Google, le cookie permet d’enregistrer vos données de recherches afin que le moteur de recherche vous fournissent des résultats appropriés, correspondant à votre profil et à vos méthodes de recherche sur le web.
Le mauvais cookie et son ami, le pixel espion
Bon, l’utilisation du cookie s’en tiendrait là, on vivrait dans le merveilleux monde de Oui-Oui… Tous les cookies ne sont pas beaux et gentils.
Les cookies rémanents, même s’ils sont parfois pratiques, sont utilisés pour cibler votre comportement sur différentes sessions de navigation : le cookie Google vous proposant des résultats de recherche personnalisés est sans doute utilisé par sa régie publicitaire Double Clic. Ils peuvent être utilisés pour le capping publicitaire : ils évitent de vous envoyer 20 fois la même publicité (aux regards de mon expérience de targeting avec la Redoute -1 mois de pub avec le même canapé- je ne suis pas convaincue de leur efficacité).
Les cookies ne sont pas nécessairement envoyés par le serveur du site que vous consultez :au premier titre, les cookies tiers et les (discrets mais avec une moins charmante dénomination, vous en conviendrez) pixels espions.
Petite explication pour Oui-Oui (lecteur assidu de notre blog, j’en suis convaincu) : Pour faire simple, les images et bannières s’affichant sur la page d’un site web ne proviennent pas tous du serveur associé au domaine du site. Par exemple, sur ce blog, les vidéos sont hébergées sur les serveurs de YouTube, Dailymotion ou Vimeo.
Lorsque vous chargez une page de notre blog, sur laquelle il y a une vidéo, votre navigateur récupère les données associées à la page sur le serveur de notre domaine (en l’occurrence un sous-domaine… mais je m’égare) www.blog.modandwa.com. Ces données récupérées, indispensables pour que la page s’affiche intégralement (et correctement), demandent alors à votre navigateur d’aller chercher un élément sur un autre serveur, celui de YouTube par exemple.
Ce serveur « secondaire » peut lui aussi envoyer un cookie dit « tiers » au navigateur du visiteur, bien qu’il ne soit pas rattaché au même domaine que le site internet. Les informations contenues dans ce cookie peuvent ainsi être automatiquement renvoyées à partir du moment où vous vous connectez à nouveau (y compris de façon secondaire) au serveur qui a créé le cookie en question… soit sur n’importe quel site affilié à la même régie publicitaire ! Ainsi si on regarde une vidéo YouTube sur ce blog, puis sur un autre site, YouTube sait quelles vidéos on a regardé mais également sur quelle site et comment on est arrivé sur le site. Ces cookies tiers ne sont pas utiles à la navigation et permettent de vous pister sur différents sites.
Si dans le cas des bannières publicitaires, on peut facilement supposer que la régie va tenter de nous apposer un cookie tiers, il existe également des pixels espions invisibles (normal, ce sont des espions), apposant des cookies tiers (sur le même principe) pour pister et enregistrer des données analytiques. On les retrouve sur des sites mais aussi dans les mails.
Les cookies et pixels espions permettent d’obtenir et de compiler des informations en temps réel sur plusieurs sites et lors de plusieurs session de navigation, et des les associer à un individu unique (identifié par son numéro) là où il faudrait des mois à des études marketing pour obtenir de telles informations. En somme, l’internaute est un sondé bénévole passif… à son insu…
Désavantage du cookie et problèmes de sécurité
Pour chaque navigateur, il y a un numéro unique d’identification. Or le même ordinateur peut être utilisé par plusieurs personnes, ce qui faussera forcément les analyses statistiques et les publicités ciblées. Notre amateur de golf pourrait se retrouver abonné aux publicités sur Dora l’Exploratrice si son ordinateur est utilisé par sa fille de 6 ans.
Cookie gentil ou pas, amateur de publicité ciblée ou pas, un certain nombre de problèmes de sécurité demeurent d’autant plus que certains cookies contiennent des informations sensibles : nom de l’utilisateur, mot de passe…
On peut par exemple détourner des cookies. Les données échangées entre votre navigateur et le serveur du site que vous consultez, dont ces fameux cookies, peuvent être interceptés lorsque vous n’êtes pas sur une page sécurisée en https. Il est ainsi assez drôle de voir que sur certains sites la page d’identification est en https, mais lorsque vous naviguez en restant connecté dans votre session, on repasse en http. Or le cookie apposé en début de session continue de dialoguer avec le serveur du site et peut donc être intercepté. Autre technique: le site que vous consultez contient un script qui demande à votre navigateur d’envoyer directement vos cookie à un serveur. Les sites où sont postés des scripts en HTML sont particulièrement sensibles.
On peut également les voler. Les cookies ne peuvent en théorie qu’être renvoyés aux serveurs ayant édités ces cookies. Il existe des lignes de code pour que ces informations soient envoyées à un serveur différent. On les retrouve notamment dans les commentaires de blogs où l’utilisateur peut écrire en HTML, camouflés derrière des liens cliquables ; lorsque le visiteur clique, il renvoie ses cookies au serveur du hacker.
Un hacker peut également modifier les cookies sur son ordinateur : dans le cadre d’un panier de e-commerce, il peut ainsi baisser arbitrairement la valeur de son panier.
Il a fallu attendre un décret de mars 2012 (enfant putatif d’une Directive européenne dont on vous parlera plus bas) pour obliger le fournisseur d’accès internet à communiquer autour de ces intrusions auprès de l’internaute attaqué.
Le décret est symptomatique de la législation en vigueur basée davantage sur l’autorégulation que sur une réglementation sévère. Seuls les FAI (acronymes de nos fameux fournisseurs) sont concernés, et uniquement pour l’attaque de leurs propres bases de données de cookies (si l’attaque se fait sur votre PC, ils ne sont pas obligés de vous informer). De plus, s’ils ont des preuves qu’ils ont empêché la lecture de ces données (en cryptant par exemple), ils ne sont pas obligé d’en informer l’internaute. Ceci est d’autant plus inquiétant que les fournisseurs d’accès (comme les sites d’ailleurs) sont désormais obligés de conserver certaines données pendant un an, pour les besoins d’enquêtes (mots de passe, trace d’achat ou encore billets et commentaires publiés sur la toile).
Le cadre légal protège-t-il suffisamment l’internaute de ces pratiques publicitaire? C’est l’objet d’un autre article.