Après Facebook, c'est au tour de Google de profiter de son show annuel pour une séance de privacy washing. Le géant américain veut se montrer plus respectueux de nos données, sans changement de fond. Il est surtout question de petites évolutions et autres subtilités dans sa communication.
Comme nous l'avons récemment évoqué, face à l'évolution du discours de certains acteurs, mais aussi la montée en puissance de concurrents très engagés pour le respect de la vie privée, cette valeur qui devient à la mode. Surtout que les choses changent aussi du côté réglementaire, avec de premières lourdes amendes qui commencent à tomber.
Ainsi, il faut multiplier annonces et garanties pour éviter de finir dans le fossé. Mais dans des cas comme ceux de Facebook et Google, cela se fait sans changer le modèle économique sur le fond alors qu'il dépend massivement de la collecte de données. Le tout sous couvert de « vie privée qui fonctionne pour tous ».
L'idée est donc de faire bouger les lignes sans aller trop loin. Facebook a opté pour la facilité avec de simples promesses, restant flou à l'occasion de sa conférence annuelle, la F8. Google a choisi d'évoquer de premières actions. L'objectif est ici plus subtil : faire bouger les lignes pour donner l'impression d'un changement, tout en restant dans un cadre qui permette à la société de continuer à collecter et exploiter en masse les données des utilisateurs.
Un « juste milieu » à son avantage qui nous rappelle que le géant américain n'est pas prêt à prendre des risques ou aller contre ses intérêts à court terme. L'annonce récente sur le service Mon activité est un bon exemple de ce privacy washing.
Non minimisation de la collecte
L'utilisateur peut ainsi demander l'effacement automatique des données après une certaine période, ce qui est après tout le sens de la loi en Europe et en France depuis une dizaine d'années. Mais il doit se contenter de trois mois minimum. Pendant un trimestre entier, il verra donc ses données collectées et exploitées, sans parler de toutes celles qui sont dérivées ou issues d'autres services, qui ne sont pas concernés par cet effacement.
Surtout, Google oublie une précision : l'activité web a été rendue obligatoire pour l'utilisation de ses enceintes connectées Home. Une requête qui n'a aucune justification technique. Et quand bien même, un service légèrement dégradé pourrait être proposé à l'utilisateur. Or, cela va bien plus loin comme nous l'avons vu par deux fois (ici et là).
Pourtant, s'il y a bien une bonne pratique en matière de respect de la vie privée, c'est bien celle de la minimisation de la collecte. C'est elle que Google cherche à éviter à tout prix, cherchant à continuer d'exploiter nos données en donnant le plus possible l'impression à l'utilisateur qu'il a tout pouvoir, alors qu'il n'a accès qu'à quelques réglages aux effets limités.
Le cas du mode incognito : gare aux faux semblant
La Google IO 2019 a été l'occasion d'une autre annonce qui illustre bien ce propos : l'arrivée d'un mode incognito dans toutes les applications. Inactif par défaut, il faudra demander à l'utiliser à certains moments, service par service (YouTube est déjà concerné, Maps et Search arrivent). Pourquoi pas l'inverse ?
Google semble indiquer qu'il faudra passer par une action manuelle pour le mettre en place ou le retirer, là aussi il faudra voir comment cela fonctionne dans la pratique. C'est néanmoins une avancée dans le bon sens si tout est fait dans les règles de l'art et si l'utilisateur peut d'un clic (ou presque), demander à ne pas voir son historique d'usage récolté.
Mais le diable est dans les détails, l'exemple du navigateur montrant bien les limites de tels dispositifs. Car le mode incognito n'implique pas que Google n'a aucune connaissance de vos agissements. Seulement qu'elle s'engage à ce que ne soit pas stocké dans votre compte. Comme dans les autres navigateurs, cela signifie seulement que l'historique et les cookies locaux sont effacés, et vous n'y êtes connectés à aucun compte. C'est une session vide et temporaire.
Mais Chrome multiplie toujours les requêtes vers les serveurs de Google et les sites peuvent toujours vous identifier autrement que par vos cookies, comme votre IP ou une empreinte par exemple. Ici, il faudra donc être attentif à ce que le mode incognito implique techniquement une fois appliqué et aux limitations éventuelles qui seront constatées.
YouTube : un exemple à ne pas suivre
YouTube est d'ailleurs un cas intéressant à analyser. Le mode incognito est uniquement disponible sur Android et iOS, si vous êtes connecté à votre compte et il faut penser à le faire appareil par appareil. Vous êtes alors alerté que cela n'empêche pas une surveillance de votre activité par des tiers, ce qui est plutôt une bonne chose.
Lorsqu'il est actif, une barre noire apparaît en bas de l'écran « pour vous rappeler que vous êtes en mode navigation privée ». YouTube se comportera alors... comme si vous étiez déconnecté, ne prenant plus du tout en compte votre historique, coupant l'accès à de nombreuses sections de l'application. Une manière de rendre ce mode désagréable à l'usage.
Les paramètres par défaut, ceux du mode incognito, le mode incognito sans personnalisation et sa barre noire
Vous y verrez alors les tendances par défaut, le meilleur selon les algorithmes maison (aux choix discutables). Pourtant, Google pourrait très bien ne pas enregistrer votre activité tout en exploitant les données qu'il a déjà sur vous puisque vous êtes connecté. Elle choisit de ne pas le faire, volontairement.
La société semble vouloir ici éviter que les utilisateurs ne se déconnectent manuellement en leur permettant de le faire temporairement sous couvert de mode incognito. Notez d'ailleurs que « si vous êtes inactif pendant plus de 90 minutes, votre session de navigation privée est désactivée, et vous êtes reconnecté au compte que vous utilisiez avant l'activation du mode. Lorsque vous accédez à nouveau à l'application YouTube, un message vous informe que le mode navigation privée n'est plus activé ». Il ne faudrait pas que ça dure.
Autant dire que l'on espère que la réalisation sera un peu plus réussie et en faveur de la vie privée pour Maps et Search.
Améliorer l'image d'Android, fédération des données
Face à un Apple qui mise fort sur l'argumentaire de la vie privée ces dernières années, Google doit redoubler d'efforts sur Android. Il faut dire que le sujet n'a jamais été vraiment la priorité de l'OS mobile, qui a par exemple longtemps tardé à rendre les autorisations fournies aux applications amovibles dès l'installation. Sans parler de sa fragmentation.
Ainsi, les utilisateurs sont souvent laissés sur le carreau des évolutions en attendant qu'ils se paient un nouvel appareil. Un point sur lequel la société semble décidée à faire des efforts concernant les fonctionnalités liées à la vie privée et la sécurité qui ne seront plus forcément liées à la mise à jour de l'OS.
Une cinquantaine doivent être introduites avec Android Q, attendu pour la fin de l'année. Mais il est surtout question d'un accès plus direct aux réglages liés à la vie privée et de notifications quand telle ou telle application récupère vos données de localisation par exemple, plutôt qu'une minimisation de la collecte, là encore.
Le modèle est amélioré localement (A), les évolutions des utilisateurs sont aggrégées (B) pour initier un changement après consensus (C)
Google évoque néanmoins une piste qui va dans le bon sens, misant sur sa tendance à l'IA partout : la fédération et un renforcement de l'edge computing. Ainsi, les développeurs n'auraient plus forcément à récolter l'ensemble de vos données pour renforcer les capacités des applications et entrainer leurs modèles, elles peuvent rester sur votre appareil.
La société veut ainsi faire mieux/plus, avec moins de données. Reste à voir ce qu'il en sera dans la pratique, Gboard en profitant déjà en test, l'assistant maison devant suivre (au moins en partie). La tendance n'est en tous cas pas nouvelle et va dans le sens de nombreuses recherches en la matière, Cozy Cloud et Orange ayant par exemple des travaux en cours avec l'équipe PETRUS d'INRIA sur le sujet. On pense aussi au chiffrement homomorphe.
Une publicité plus transparente, via une extension/API Google
Pour enfoncer le clou, Google est revenu sur la question de la publicité en ligne. Cœur de son modèle économique, symbole de sa collecte massive de données, elle est souvent l'objet d'une communication voulant montrer que Google fait tout pour être le plus vertueux possible. Parfois avec des annonces qui font flop.
On se souvient du fameux bloqueur de publicité et les engagements pour un web où l'internaute serait moins ennuyé par les réclames, qui ont été presque sans effet. Dans le même temps, Brave s'est développé, vient d'annoncer vouloir remplacer les publicités des sites par les siennes, attirant les utilisateurs avec une commission (dans un premier temps).
Un modèle économique discutable, puisqu'il vise à supprimer les revenus des éditeurs pour les capter à leur insu, leur proposant une part du gâteau, sans trop avoir le choix. Une pratique qui n'a rien d'un web ouvert et respectueux tel que le vante la startup, qui ne manquera pas de faire réagir les sites lorsqu'ils auront conscience de ce qui se passe.
Quoi qu'il en soit, avec la montée en puissance de Microsoft avec son Edge Chromium, Apple et Mozilla qui renforcent leur politique en matière de vie privée et/ou de publicités, des initiatives comme Brave qui montent en puissance, le géant américain apparaît comme le vilain petit canard voulant préserver Chrome de toute évolution qui lui serait néfaste.
Le navigateur, actuellement ultra majoritaire et donnant une partie de sa force de frappe à Google, pourrait à terme s'attirer le désamour des utilisateurs, un phénomène accéléré par les nouvelles règles imposées en Europe.
Là aussi, il lui faut réagir, tout du moins à la surface. La société rappelle donc qu'elle permet de désactiver le ciblage publicitaire de différentes manières, même si là encore cela devrait être l'inverse. Elle promet également une extension pour différents navigateurs permettant d'avoir le détail des données utilisées affichées pour ses publicités.
Une annonce assez ironique, puisque cela revient à fournir à une extension de Google le pouvoir de connaître l'ensemble de notre navigation afin d'accéder à des informations supplémentaires, pour plus de transparence.
Quoi qu'il en soit, d'autres sociétés pourront décider de participer à cette initiative, une API allant être mise à leur disposition afin de partager les informations de leurs campagnes publicitaires avec les utilisateurs. Le tout doit être mis en place dans les mois à venir, sans plus de détails pour le moment.
Chrome, les cookies et le pistage
Concernant Chrome, les évolutions se font sur deux fronts. Le premier est celui des cookies, là encore avec une astuce. Pour rappel, un cookie peut être déposé à des fins techniques (connexion, préférences, etc.) ou autre (identifiant, actions effectuées etc.), le navigateur n'ayant aucun moyen de savoir qui fait quoi, puisqu'il s'agit de simples fichiers textes.
La loi en Europe est claire sur le sujet : les cookies techniques peuvent être déposés sans consentement. Pour tous les autres, ils doivent obtenir l'accord de l'utilisateur au préalable, celui-ci devant être informé de leur finalité. Une loi encore assez peu respectée, même un an après l'entrée en vigueur du RGPD en Europe, dans l'attente de première sanctions.
Ces dernières années, les navigateurs ont travaillé à diverses solutions. Cela consiste en général à limiter les cookies tiers, qui sont déposés sur un site pour le compte d'un autre. Par exemple, si vous vous rendez sur une page mais qu'une publicité essaie de déposer un cookie, il y a peu de chance que ce soit pour un aspect technique légitime.
Parfois c'est le cas, notamment pour la connexion unifiée à travers différents sites, passant par un domaine tiers. Faire le tri est donc difficile, chacun affine donc peu à peu ses mécaniques. Chrome n'en intègre pas, restant sur du tout ou rien.
Un cookie peut être déposé par différents sites sur une page. Il peut être exploité sur différents sites, notamment pour vous pister
Pour donner le change, Google revient sur un attribut lié aux cookies supporté depuis quelques temps par les navigateurs : SameSite
(RFC 6265). Il permet aux développeurs de déclarer dans quel contexte une requête peut accéder aux données qu'ils contiennent, tout en gardant une compatibilité avec la syntaxe existante.
Deux valeurs sont définies par la RFC, strict
ou lax
, Google indique qu'il en supportera un troisième, puisque cet attribut va devenir progressivement obligatoire dans Chrome :
- Strict : le cookie ne peut être accédé que par le site qui l'a déposé, seulement en accès direct
- Lax : le cookie peut être accédé par le site qui l'a déposé, même après une navigation
- None : le cookie peut être accédé par un site tiers, sans restriction
Le fait que la navigation soit nécessaire est important dans le cas de lax
car il implique une action volontaire de l'utilisateur. SameSite
a en effet été conçu surtout comme une mesure de sécurité plutôt que de vie privée. Cet attribut vise à contrer différentes attaques, notamment CSRF (Cross-site Request Forgery) où un utilisateur connecté à un service peut y effectuer une action à travers un autre sans le savoir, dans le cas d'un phishing par exemple.
Pour la vie privée, c'est une autre histoire. Car si l'initiative est louable, on revient au problème de départ : si les éditeurs et leurs partenaires ne jouent pas le jeu, le dispositif est sans intérêt. Google va-t-il ainsi déclarer tous ses cookies publicitaires et ceux liés à ses services sans nécessité technique comme strict
, lax
ou none
?
La réponse semble donnée dans une note du billet de blog : « si vous fournissez un service utilisé par d'autres sites comme des widgets, des scripts embarqués, des programmes d'affiliation, de la publicité ou une connexion à travers des sites tiers, vous devrez utiliser la valeur none ». Cela n'apporte donc rien de concret, quoi que tente de faire croire la société.
Dans tous les cas, Chrome 76 va introduire un nouveau flag permettant d'activer un comportement où l'attribut SameSite
est considéré comme étant sur lax
par défaut, si rien n'est précisé. De quoi permettre aux développeurs de voir ce qui les attend à plus long terme, ce fonctionnement devant être la norme dans les prochains mois.
Réduire les possibilités de fingerprinting, un jour
On apprend également que le navigateur « va restreindre de manière plus aggressive le fingerprinting, notamment en réduisant les manières dont les navigateurs peuvent être exploités à cette fin » et améliorer la transparence sur les cookies. Pas de date, pas de détails. On est donc encore loin des actions mise en œuvre par la concurrence.
Les mois à venir nous montrerons si les tours de passe-passe de Google suffisent à améliorer son image en matière de respect de la vie privée, où ses engagements semblent bien moins forts que sur la question tout aussi importante de la sécurité qui est, elle, dans son intérêt.
Commentaires (29)
#1
Tout comme facebook qui nous dis qu’il en a à faire à propos de la vie privée, je pense que google veux juste suivre cette mode de la “vie privée washing”, peut être initié par apple et compagnie.
Tout comme Mac Do qui remplace tous ces cartons rouge par du vert pour faire plus écolo, c’est juste une question d’image et marketing pour faire plus cool peut être aux yeux du public.
#2
Oui clairement, je n’ai aucune confiance dans Google pour la vie privée. À titre perso j’utilise Chrome pour les GAFA, Firefox pour le reste.
#3
Tiens en parlant de ça, j’ai déjà fait pas mal le ménage.
Me reste juste mon adresse Gmail que je vais surement bientôt clôturer (par contre il me demande une autre adresse en remplacement pour me connecter, je pense que c’est à cause des potentiels achats sur le PlayStore pour ne pas les perdre si tu vires ton adresse Gmail qui sert aussi d’identifiant de connexion).
Par curiosité j’avais regarder pour faire le ménage, j’avais rien après 2014, je ne sais plus ce qu’il c’était passé cette année là, mais le ménage est rapide vu que j’avais que ce qui étant antérieur à 2014 à effacer (à l’exception de YouTube).
Par contre achat qui sont automatiquement aspirés depuis Gmail pour faire le listing, quand j’ai vu ça, ça fait peur. Et la solution par Google c’est “de supprimer” le mail " />
C’est difficile, mais pas impossible :
Parce que croire une compagnie dont la seule survie dépend de l’exploitation de la vie privée…
#4
Vous pouvez leur faire confiance pour respecter la vie privée dorénavant.
Car ils ont tout le temps nécessaire pour compiler la vie de près de 80 % de la planète. Ils peuvent maintenant lâcher du lest " />
#5
#6
Je peux confirmer pour ING et CréditMutuel.
C’est le but de MicroG, simuler les services Google pour les applications développées avec (https://microg.org/ ).
Sauf rare cas, ça fonctionne plutôt bien. Après si tu envisage de flasher ton téléphone c’est que tu as un Recovery Custom (type TWRP), donc si tu es pas sûr, tu fais un nandroid backup (un espèce de snapshot de l’état de ton téléphone à un instant T) avant de tester.
Perso, j’ai toujours plusieurs backups avec des méthodes différents au cas où, même si j’ai jamais eu de problème.
#7
#8
Je pense que ça dépend du constructeur (et du modèle) surtout.
J’ai eu aucun problème pour Discord : la première fois il m’a redirigé vers le navigateur pour passer leur captcha de merde (alors que j’ai la double auth mébon) et une fois fait, fonctionne niquel.
Et j’ai aucun bug sur un Xiaomi Mi8 (pourtant la première version avec microG date d’avril 2019).
Après ça reste bizarre, Samsung est beaucoup plus connu, donc il devrait y avoir plus de dev dessus que pour le miens.
Comme dit, faut tester sur plusieurs jours sur son téléphone pour voir si c’est viable ou pas. Chez moi c’est viable et ça fonctionne niquel donc je reste dessus.
#9
#10
#11
#12
#13
Donc tu as ta solution avec /e/ quand il sera sortie de Beta.
#14
Perso, j’ai attendu la ROM Lineage avec microG intégré, donc je me suis pas pris la tête.
Et je suis en 16 sous le Mi8 (dipper). Après si tu as déjà les services / framework google, je vois mal comment tu peux faire sans reflasher pour virer tout ça et mettre microG.
Sinon :https://download.lineage.microg.org/
#15
Non, justement je ne les ai pas (tu parles bien des Gapps ?). Mais ça complique le comportement de certaines applis qui ont besoin de ces services, donc je me dis que MicroG me permettrait de régler ce problème.
#16
Je parle des Gapps et des frameworks Google pour Android oui.
Après je sais qu’il est possible de les flasher par après avec un .zip depuis le recovery, mais avec certain pré-requis (genre que je téléphone supporte le signature spoofing si je me souviens bien).
Donc la procédure existe (c’est comme flasher Magisk), mais avec des pré-requis qui dépends du téléphone.
Personnellement j’avais essayé sans réussir, donc j’ai attendu qu’il y ai une ROM avec tout dedans pour que je flash juste.
#17
Après vérification, non. C’est un support par la communauté (une personne), ce n’est pas de l’officiel. Ça peut donc s’arrêter n’importe quand.
A part monter au S5, je n’ai pas de solution réelle pour avoir un support officiel, et autant dire que je ne suis pas préssé de le changer.
#18
#19
Non. Elle interdit juste l’utilisation des SMS et c’est une connerie, même si en théorie, les SMS sont “détournables”. Certaines banques qui se rendent compte de ça un peu tard essaient de faire repousser la mesure.
#20
#21
De ce que je lis, cela concerne uniquement les paiements supérieurs à 30 euros (ou 100 euros sur les 5 dernières transactions).
#22
#23
J’ai été un peu vite en disant que cela interdisait uniquement les SMS.
Par contre, ça demande une authentification forte qui peut très bien ne pas être faite par smartphone et c’était cela que je contestais : l’obligation du smartphone.
Le premier site sur lequel je suis tombé indique :
L’authentification forte, telle que définie par la DSP21, signifie que les accès aux comptes et les transactions seront vérifiés à l’aide d’au moins 2 des éléments suivants :
#24
#25
#26
C’est justement une solution citée un peu plus bas dans la page que j’avais mis en lien. Mais notre interlocuteur semble ignorer qu’on a d’autres solutions que le smartphone…
#27
#28
" />
#29