CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés
Un feu d'artifices !
Le 28 janvier 2020 à 15h25
4 min
Internet
Internet
En cette journée mondiale pour la protection des données, attardons-nous sur un projet de la CNIL qui vient d'être mis à jour : CookieViz. Celui-ci permet de visualiser simplement les très nombreux services qui sont susceptibles de vous pister à travers les sites que vous visitez.
Il y a quelques années, la CNIL mettait en ligne un outil permettant d'analyser quels services déposaient des cookies lors de la navigation des internautes sur un site. Le constat était alors sans appel : ils étaient parfois des dizaines, des centaines, même si aucun consentement n'avait été donné.
Depuis, de nombreuses extensions ont pris le relais dans les navigateurs. Kimetrak pour analyser les requêtes effectuées depuis un site bien entendu, mais également Ghostery (Mozilla/Hubert Burda Media) ou Privacy Badger (EFF). Et malgré l'entrée en vigueur du RGPD, les sites n'ont pas vraiment revu leur politique en profondeur.
Les méthodes de pistage alternatives aux cookies se sont multipliées, allant du calcul d'une empreinte (fingerprinting) à des solutions parfois plus poussées, notamment pour cacher certains scripts. Éternel jeu du chat et de la souris.
Une nouvelle version de CookieViz
La CNIL le sait, et semble se préparer à sa nouvelle salve de contrôle. Son laboratoire d'innovation numérique (LINC) a ainsi développé une nouvelle version de CookieViz. Cette v2 est actuellement en bêta, toujours open source, le code étant disponible sous licence GPLv3 via GitHub.
Elle n'avait pas été remaniée en profondeur depuis 2016, les changements ont donc été nombreux. Elle est notamment bien plus simple à installer et à utiliser. Terminé le besoin d'installer des serveurs et autres outils d'analyse de trafic. Désormais, vous téléchargez un fichier compressé, vous le décompactez, vous lancez l'exécutable et c'est tout !
La promesse de CookieViz est la suivante : obtenir une « analyse des interactions entre un navigateur et des sites et serveurs distants. Vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations ». Concrètement, il affichera un petit graphique permettant de visualiser les requêtes effectuées depuis les sites que vous visitez et d'autres acteurs tiers, avec ou sans dépôt de cookie. Il passe pour cela par un navigateur embarqué.
Toujours des dizaines de cookies et de requêtes par site
Nous avons effectué un simple test en nous rendant sur trois grands sites de presse nationale français : Le Monde, Le Figaro puis Libération. Dès la première visite, on peut voir des dizaines d'acteurs graviter autour du logo du site alors que nous n'avons fait que naviguer sur sa première page sans donner le moindre consentement explicite.
Même chose pour les deux autres sites qui étoffent encore un peu plus le maillage, certains acteurs étant présents de manière récurrente. Ainsi, ils pourront savoir que nous sommes passés d'un site à l'autre pour reconstituer une partie de notre navigation. C'est tout le principe des scripts de boutons sociaux qui sont parfois intégrés aux pages.
On peut décider d'un clic droit de se focaliser sur un acteur, de voir les cookies qui lui sont lié et leurs contenus. N'hésitez pas à faire vos propres tests et à partager vos découvertes au sein de nos commentaires.
Car CookieViz v2 permet désormais plus simplement de constater, si vous n'en étiez pas déjà convaincus, que la plupart des sites qui se disent « soucieux de votre vie privée » et n'hésitent parfois pas à critiquer les pratiques des grandes plateformes vous prennent pour des jambons sur le sujet. Graphique et données à l'appui.
Espérons que la CNIL, qui a laissé faire de nombreux sites pendant bien trop d'années déjà, s'en saisira rapidement. Ses nouvelles recommandations sont attendues sous peu. Les outils semblent prêts pour les enquêtes... avant les sanctions ?
CookieViz 2.0 de la CNIL : observez facilement à quel point vous êtes pistés
-
Une nouvelle version de CookieViz
-
Toujours des dizaines de cookies et de requêtes par site
Commentaires (33)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/01/2020 à 17h03
Je viens de tester sur le monde.fr c’est toujours du bonheur à l’état pur ! Et dans une moindre mesure Ouest-France. A côté nextinpact fait figure de parent pauvre.
Le 28/01/2020 à 17h15
C’est flippant quand même " />
Le 28/01/2020 à 17h28
J’ai pas bien compris comment Kimetrak et CookieViz se complétait ou se marchaient sur les pieds.
Le 28/01/2020 à 17h58
Kimetrak regarde les nom de domaine des requêtes pour afficher le site. CookieViz regarde led cookie mis sur le navigateur.
Donc pas la même méthode de ciblage.
Le 28/01/2020 à 18h29
Et malgré tous ces éléments envoyés à droite et à gauche, la publicité (ciblée) que je reçois est toujours aussi archi basique, ne me rappelant que ce que je viens de voir sur des sites marchands.
Le 28/01/2020 à 18h31
Quand je pense que je peux passer quasiment 1 journée entière sur les sites que je crée pour installer des bandeaux et gestionnaires de cookies pour accepter/refuser 3 pauvres cookies et trackers, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent, je me dis que je suis bien c*n… " />
Sal*perie d’éthique que je me trimbale " />
Le 28/01/2020 à 19h16
Bon, je suis actuellement sous Lubuntu et le mode d’emploi ne me semble pas évident pour installer le bouzin. Un petit effort pédagogique ans vos articles SVP. Cela ne nuirait pas à votre réputation…
Le 28/01/2020 à 19h33
Cest quand même pas compliqué : GitHub“Assurez-vous d’avoir la plateforme logicielle node.js et git installés sur votre système”
Le 28/01/2020 à 19h55
Je suis un peu dans le même cas que toi ; est-ce que je peux te demander ce que tu mets comme texte d’acceptation des cookies quand il n’y en a pas…? Style “ce site n’utilise aucun cookie mais faut vous demander quand même ?” 😊
De toutes façons, ce genre de sites est très rares (à part les miens et ceux que j’ai produits, et encore…)
Le 28/01/2020 à 20h09
Le 28/01/2020 à 20h24
Je viens de me rendre compte que je n’avais pas utilisé la voie de la facilité " />
Le 28/01/2020 à 20h26
Et il y a encore plus simple,
Le 28/01/2020 à 22h56
Firefox, pour commencer.
Plugin NoScript ensuite. Chiant au début, mais ça vaut le coup. Par exemple, je ne savais pas qu’il y avait des pub partout sur Boing Boing. C’est en envoyant un lien à un collègue que je l’ai appris : il m’a engueulé !
Et pour parfaire le tout : PiHole. Au début, sur un Raspberry Pi (mais la µSD m’a lâché), puis dans une VM sur mon FW Debian. Super efficace pour tous les trucs connecté à la maison. Beaucoup de pub YouTube deviennent littéralement transparentes (celle dans les pavés en bas, a milieu). Dans certaines applis Android, on sent la recherche de pub, et puis, et puis … Rien ! Cool !
Par contre, cette histoire de CookieViz, hum … OK j’ai pas lu 100 % de l’article. Mais j’ai vu dans un commentaire plus haut : npm. Hein ? npm ? Du NodeJS ? Pour moi, ça schlingue …
Le 28/01/2020 à 23h13
npm, c’est uniquement si tu veux lancer depuis les sources, si tu utilises le package compilé, tu n’en as pas besoin
En fait, ca lance un navigateur et ca graph les interactions de ce navidateur. Je ne sais pas s’il aurait été possible d’écrire un plugin pour FF, j’aurais trouvé ca plus pertinent en tous cas.
Le 28/01/2020 à 23h21
Je suis pas un expert donc demande confirmation mais s’il n’y a pas de cookie, tu n’as pas besoin de mettre de bandeau.
De même, si le cookie ne sert qu’à la connexion/session de l’utilisateur, le bandeau n’est pas nécessaire.
Le 28/01/2020 à 23h26
Sous Firefox j’utilise µBlock Origin en permanence, sans vraiment savoir ce qu’il fait.
Or l’appli CookieViz utilise son propre navigateur sans aucun dispositif de filtrage.
Est-il possible de voir par cette appli ou une autre ce que µBlock laisse passer?
Le 29/01/2020 à 05h47
Comme dit dans l’article quoi ;)
Le 29/01/2020 à 09h03
, sans parler des mises aux normes RGPD, et que je vois que les gros sites s’en contrefoutent…
…et ça le restera, TANT qu’il n’y aura pas d’amendes (bien salées) ‘pour-non-respect du RGPD’ ! " />
Le 29/01/2020 à 10h21
Tiens j’en profite pour jeter une bouteille à la mer.
Y’a t’il un bon plugin wordpress pour faire de l’acceptation de cookie ?
Le 29/01/2020 à 10h50
Je le comprends comme PtiDidi, si ce sont les cookies strictement nécessaires au site (e.g., connexion au compte) ou si le site n’a carrément pas de cookies, pas besoin de bandeaux
(cf. https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi)
Le 29/01/2020 à 11h24
Bonjour à tous,
Savez-vous à quoi correspondent les services reliés au site principal par un trait gris “Requête sans cookie” ?
Merci beaucoup
Le 29/01/2020 à 12h16
ça doit être le chargement d’une ressource externe, comme une image ou autre
Le 29/01/2020 à 12h50
Le 29/01/2020 à 13h42
Le 29/01/2020 à 14h42
Pour faire simple, j’utilise Privacy Badger ET Ghostery, en supplément de uBlock Origin & Behind the Overlay.
En supplément, j’utilise les containers de Firefox pour isoler les compte FB, Google, etc
Le 29/01/2020 à 15h11
Merci. J’avais vu, mais sur Github, pas dans l’article.
Sinon, mon Lubuntu est 32 bits, donc cela ne sera sur cet ordinateur, si je n’ai pas lu trop vite.
Le 29/01/2020 à 19h29
J’utilise également Privacy Badger, le pire que j’ai trouvé c’est le Gorafi, 45 traceurs signalés par Privacy Badger.
Le 29/01/2020 à 20h13
Cela n’empêchera rien. Le prix des brouilleurs 4G les réservent à la métropole. Le reste est parti en fumée… euh fusée. " />
Le 29/01/2020 à 20h20
On pourrait ainsi mettre en place un système bio-compatible : le condamné est expédié dans l’espace puis recyclé par le CNRS qui organisera des soirées Gravity Loft my way avec Igor et Grichka. Les télégrammes seront facturés un pognon de dingue et sans l’accord de la CNIL.
Ainsi le Bagne 5.0 sera né. " />
Le 30/01/2020 à 06h52
mon Lubuntu est 32 bits, donc cela ne sera sur cet ordinateur
Ça fonctionne aussi sur ta version 32 bits. Pour ça, il faut télécharger CookieViz.2.0.0b.linux.x86.zip
Le 30/01/2020 à 07h35
Igor et Grichka ?
Ptain, c’est le bagne, rien que de les voir " />
Le 30/01/2020 à 11h58
Bravo NextInpact ! " />
Sur votre site on a l’impression que CookieViz ne marche pas tellement vous respectez vos lecteurs
Le 02/02/2020 à 06h50
" />