Is ne vont probablement pas disparaître, mais leur usage va largement diminuer : les cookies, ces petits fichiers utilisés pour identifier un internaute et enregistrer sa navigation, sont l’un des maillons essentiels de la publicité ciblée sur Internet, et concentrent à la fois l’attention des régulateurs, des éditeurs de navigateurs Internet et des défenseurs de la vie privée. Mais les cookies ne sont pas le seul outil qui permette d’espionner la navigation des internautes. Une autre technologie, relativement bien connue, permet dans de nombreux cas d’attribuer un identifiant unique à un utilisateur pour suivre son activité en ligne : le « fingerprinting », ou prise d’empreinte.
Cette pratique part d’un constat simple : la vaste majorité des internautes utilisent, pour surfer sur le Web, un terminal qui présente certaines caractéristiques : son système d’exploitation, la résolution de son écran, le type de navigateur et son numéro de version… En croisant ces différents paramètres, on peut aboutir à une « empreinte » qui a de bonnes chances d’être unique pour peu que l’on multiplie les points de mesure ; des millions d’internautes utilisent un navigateur Chrome depuis un PC Windows, mais il n’y en a possiblement qu’un seul qui utilise Chrome sur un PC Windows 8, avec une résolution d’écran de 1024 × 768 pixels, et a installé cinq extensions spécifiques sur son navigateur.
En théorie, un mouchard qui mesurerait tous ces paramètres pourrait donc identifier l’internaute de façon fiable, comme un commerçant qui prendrait une photographie de toutes les personnes passant devant sa vitrine. Mais ces techniques, qui font par fois aussi appel à des outils très élaborés sont loin d’être parfaites. Plusieurs études portant sur quelques centaines de milliers d’internautes montraient qu’il était possible d’identifier ainsi plus de 80 % des internautes ; mais une autre réalisée sur deux millions d’utilisateurs sur un site commercial, aboutissait à la conclusion que seul un tiers des empreintes étaient uniques.
Pas assez performant
« Deux facteurs expliquent principalement ces différences », estime Nathalie Drix, de l’Institut national de re cherche en sciences et technologies au sein de l’UMR Cristal et créateur du site amiunique.org, qui permet de vérifier quelle est l’empreinte de votre navigateur.
« D’abord, plus la base d’utilisateurs est importante, plus on a statistiquement de chances d’avoir des empreintes identiques. Et les études précédentes étaient en général menées sur des sites spécifiques, ce qui pouvait introduire une forme de biais avec une surreprésentation d’utilisateurs sous Linux, par exemple », ajoute t’elle. Ce manque de fiabilité, par rapport aux cookies, fait que le fingerprinting ne s’est jamais imposé auprès des publicitaires. Les études à grande échelle sur les sites les plus fréquentés dans le monde montrent que moins de 4 % des sites utilisent cette technique, qui a aussi des utilisations légitimes en matière de sécurité, par exemple pour identifier les machines automatisées ou vérifier si un internaute utilise bien sa machine habituelle pour se connecter au site de sa banque.
Aujourd’hui, le fingerprinting n’est pas assez performant pour pouvoir identifier avec certitude un utilisateur de façon unique. Si on veut l’appliquer dans un système publicitaire, avec une base d’utilisateurs potentiels d’un milliard de personnes, ça n’est pas possible. Par ailleurs, l’écosystème publicitaire actuel dépend beaucoup du système de realtime bidding [en chères en temps réel]. Ce système a besoin de pouvoir identifier très rapidement la personne. Or le fingerprinting nécessite de faire des tests longs, avec des temps de collecte des informations beaucoup plus importants que lorsqu’on utilise des cookies.
Malgré tout, certains navigateurs, comme Firefox ou Brave, ont d’ores et déjà commencé à limiter techniquement les possibilités de « prise d’empreinte », anticipant un éventuel développement de ces techniques, plus insidieuses que les cookies puisque, en l’absence de fichier sur sa machine, il est plus difficile pour l’utilisateur de savoir quelles informations sont collectées.
De son côté, l’industrie publicitaire semble réfléchir à une solution systémique mais encore très floue. L’Internet Advertising Bureau (IAB), la principale organisation professionnelle de la publicité en ligne, a annoncé ce 11 février travailler sur un « projet Rearc », vaste chantier technique visant à établir un « système d’identifiant unique et chiffré » qui « respectera la vie privée » des internautes tout en permettant de continuer à proposer de la publicité ciblée.
Aucun détail technique sur ce projet, encore à l’état de ré flexion, n’a été communiqué.
