Sécurité

AOL, Spotify, GigaOm, Etsy, KISSmetrics poursuivis pour cookies de suivi ineffaçables

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Au cours des derniers jours, une histoire s’est développée à propos d’un cookie de suivi ineffaçable utilisé par KISSmetrics, une société d’analyse de sites Web. Cette entreprise et plus de 20 de ses clients ont maintenant fait l’objet d’un recours collectif. Les plaignants affirment que la loi sur la protection des renseignements personnels et la loi sur la protection des communications électroniques ont été enfreintes, que leurs biens personnels (biens mobiliers) ont été violés et que les défendeurs ont violé la loi sur la concurrence déloyale. Quiconque a visité l’un des sites des défendeurs peut se joindre au recours collectif et des dommages-intérêts réels allant jusqu’à 10 000 $ par membre du groupe sont réclamés. Si des dommages-intérêts punitifs sont également accordés, ce procès pourrait valoir des centaines de millions de dollars.

Le concept de cookie ineffaçable n’est pas nouveau. Depuis des années, les sociétés d’analyse et de publicité utilisent des cookies Flash Local Shared Object (LSO) non conventionnels, et avec les récentes avancées en matière de navigateurs Web, le stockage local HTML5 est également utilisé pour stocker les données de suivi. Les moyens de stockage des cookies ne manquent pas non plus : l’année dernière, la preuve de concept toujours cookie a promis pas moins de huit façons de s’assurer qu’un cookie ne peut pas être supprimé.

Puis, la semaine dernière, KISSmetrics a été mis sous les feux de la rampe lorsqu’il a été exposé comme utilisant ETags HTTP pour créer des cookies non supprimables. Cela n’aurait pas été une énorme nouvelle en soi, mais KISS fournit des services d’analyse pour certains grands sites, notamment Spotify, Spokeo, About.me d’AOL, Etsy, GigaOm et plus de 15 autres [PDF]. Spotify a immédiatement dénoncé tout acte répréhensible et supprimé le cookie ineffaçable de KISSmetrics de ses sites, et de nombreux autres sites se démènent également pour rectifier la situation.

Psssssst :  Wyze a laissé les caméras de sécurité ouvertes au piratage pendant trois ans

C’est la révélation des ETags, semble-t-il, qui a finalement mené à bien cette mère de toutes les poursuites anti-pistage. Encore une fois, cela n’aurait pas été une si grande nouvelle s’il s’agissait simplement de KISSmetrics poursuivi en justice, mais l’ajout de ses clients à la poursuite en fait une affaire très excitante et potentiellement historique.

Le nœud du procès repose sur le fait que KISSmetrics a extrait de force des données privées des plaignants. Que les plaignants aient accepté ou non, KISSmetrics et ses clients ont recueilli des données à leur sujet. Fondamentalement, il est allégué que le stockage local HTML5, les ETags, les LSO Flash et peut-être d’autres méthodes ont été utilisés de manière non conventionnelle pour recueillir des données sensibles sur les plaignants. La plainte affirme que ces méthodes de stockage ont été intentionnellement utilisées pour cacher les cookies de suivi à l’utilisateur — et en effet, qu’aucune de ces méthodes de stockage n’est prévu à des fins de suivi. De plus, même si l’utilisateur a désactivé manuellement les cookies – soit en utilisant le blocage des cookies conventionnel dans les préférences du navigateur, soit des modules complémentaires pour bloquer les cookies tiers – les ETags persistaient.

En d’autres termes, KISSmetrics et ses clients sont poursuivis pour avoir pris des données même lorsque les plaignants ont explicitement déclaré qu’ils ne voulaient pas être suivis – et le plus effrayant, c’est qu’il s’agit en fait d’un cas solide. Les lois sur la confidentialité sont des affaires sérieuses et KISSmetrics a sciemment créé une méthode de suivi qu’il était pratiquement impossible de bloquer. Pour prouver que cette affaire a des jambes, en décembre 2010 Quantcast s’est installé un recours collectif similaire pour 2,4 millions de dollars – et ce n’incluait pas les clients de Quantcast.

Psssssst :  Comment le PlayStation Network a été piraté - High-teK.ca

La question est – et c’est pourquoi le procès est important – les clients de KISSmetrics sont-ils également responsables de cette violation de la vie privée ? Cela reviendra probablement à la Découverte processus, si la plainte va jusque-là. Les clients de KISS étaient-ils au courant de l’utilisation de cookies non supprimables ? Les clients les ont-ils approuvés ou ont-ils remis en question leur utilisation ? S’il s’avère que l’un des clients était même légèrement coupable de ce qui équivaut en fait à voler des données privées, cela pourrait devenir très compliqué.

Dans un monde où la FTC et de nombreux organismes gouvernementaux ont statué sur l’importance de la confidentialité en ligne, vous devez vous demander ce que KISSmetrics était en train de faire. L’utilisation de cookies non supprimables est odieuse en soi, et pour KISSmetrics et ses clients, ne pas fournir un autre moyen de se retirer du suivi est vraiment intenable. Certains remettront en question la valeur des données « volées » par KISS et ses clients — mais si cela ne vaut rien, pourquoi KISS a-t-il fait tant d’efforts pour s’assurer que ses cookies de suivi persistaient ?

Enfin, en regardant vers l’avenir, le principal problème que ce procès met en évidence est l’utilisation non conventionnelle des technologies Web modernes pour stocker les données de suivi. Il n’y a rien d’intrinsèquement mauvais sur l’utilisation du stockage local HTML5 comme magasin de données, mais si cela est fait de manière secrète et avec l’intention explicite de contourner les préférences de non-suivi d’un utilisateur, cela devient alors un problème. En fin de compte, à moins d’exiger l’utilisation de cookies standard et non malveillants (ce que pourrait entraîner ce procès), la seule vraie solution est que les navigateurs Web fournissent de meilleurs moyens d’interroger et de gérer les données stockées par Flash et HTML5. Les ETags sont une toute autre bête, mais ils peuvent être bloqué avec Firefox au moins – et, espérons-le, les futures versions de Chrome et Internet Explorer proposera des fonctionnalités similaires dans les prochaines versions.

En savoir plus sur cookies ETag non supprimables ou lire le plainte en recours collectif [PDF]

Psssssst :  Samsung désactive silencieusement Windows Update sur les PC - High-teK.ca

Bouton retour en haut de la page