Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

noyb dépose plainte contre Mozilla et son mécanisme de suivi publicitaire

L'enfer en est pavé

noyb dépose plainte contre Mozilla et son mécanisme de suivi publicitaire

L’association noyb, bien connue pour ses différentes plaintes en Europe liées à la vie privée, a désormais Mozilla dans le collimateur. La faute à la « Privacy Preserving Attribution » (PPA), mécanisme devant s’interposer entre les internautes et le suivi publicitaire assuré traditionnellement par les cookies.

Le 26 septembre à 10h31

La PPA, ou « attribution préservant la vie privée » en français, a été présentée en grande pompe par Mozilla. La fondation travaillait sur le sujet depuis un moment déjà, mais tout est devenu beaucoup plus évident à la sortie de Firefox 128, quand le mécanisme a été activé par défaut. Et dès le début, il a provoqué des remous.

Qu’est-ce que la PPA ?

De quoi s’agit-il ? D’une technique relativement similaire à ce que tentent de mettre en place des entreprises comme Apple et Google via des systèmes de « cohortes » et de données anonymisées (en théorie) et agrégées. Celui d’Apple a provoqué la colère de l’industrie de la publicité, alors que Google peine à convaincre avec sa Privacy Sandbox, que noyb a d’ailleurs attaqué en juin.

Au départ, les intentions de Mozilla sont bonnes. Partant du principe que les cookies tiers autorisent un suivi bien trop précis et intrusif des internautes, la fondation voulait proposer une alternative. Elle consiste, dans les grandes lignes, à poser Firefox comme intermédiaire dans la chaine d’informations allant de l’internaute à la régie publicitaire.

Les sites peuvent ainsi demander à Firefox un rapport d’activité sur le comportement des internautes sur une publicité donnée. Le navigateur crée le rapport, le chiffre, puis l’envoie à un service d’agrégation, via un protocole spécifique et sécurisé (Distributed Aggregation Protocol), que Mozilla cherche d’ailleurs à faire normaliser auprès de l’IETF.

Qui dit agrégation dit collecte et rassemblement. Les rapports générés par Firefox ne sont en effet pas envoyés immédiatement. Le service d’agrégation attend de pouvoir combiner un grand nombre de rapports témoignant d’un comportement similaire par d’autres personnes. Quand la quantité d’informations passe un certain seuil, la régie publicitaire reçoit un lot d’informations statistiques anonymes sur un groupe, et non sur une unique personne.

« Les annonceurs ne reçoivent que des informations globales qui répondent à des questions basiques sur l’efficacité de leur publicité », affirmait Mozilla au début de l’été.

Quel est le problème ?

« Contrairement à son nom rassurant, cette technologie permet à Firefox de suivre le comportement des utilisateurs sur les sites web », indique noyb dans un communiqué de presse.

L’association, fondée par Max Schrems, reproche essentiellement deux points à Mozilla dans sa plainte, déposée en Autriche. D’une part, le déplacement du contrôle dans le suivi des internautes : « En fait, c’est le navigateur qui contrôle le suivi et non plus les sites web individuels ».

D’autre part, si noyb reconnait qu’il s’agit « d’une amélioration par rapport au suivi des cookies, en plus invasif », elle ne pardonne pas l’activation par défaut dans Firefox 128. « L’entreprise n’a jamais demandé à ses utilisateurs s’ils souhaitaient l’activer ».

noyb estime le mouvement « particulièrement inquiétant, car Mozilla a généralement la réputation d’être une alternative respectueuse de la vie privée, alors que la plupart des autres navigateurs sont basés sur Chromium de Google ». Comparant la PPA à la Privacy Sandbox de Google, l’association estime que Mozilla fait de Firefox un outil de suivi des internautes, sans consentement et donc en violation du RGPD.

« Il est dommage qu'une organisation comme Mozilla pense que les utilisateurs sont trop bêtes pour dire oui ou non. Les utilisateurs devraient pouvoir faire un choix et la fonction aurait dû être désactivée par défaut », fustige Felix Mikolasch, l'un des avocats de noyb.

L’association souligne par ailleurs le manque criant de force de frappe de Mozilla dans le domaine des navigateurs. Firefox n’a pas assez de parts de marché pour influer sur le monde de la publicité. En conséquence, la PPA ne peut pas remplacer le système des cookies et devient un moyen parmi d’autres de suivre les internautes, « en dépit de ses bonnes intentions ».

Mozilla reconnait en partie ses torts

Mozilla a réagi auprès de plusieurs médias, dont TechCrunch. Christopher Hilton, son directeur de la communication, n’est pas d’accord avec l’analyse faite par noyb.

Pour Mozilla, le mécanisme « permet aux annonceurs de mesurer l’efficacité globale des publicités sans collecter d’informations permettant d’identifier des individus spécifiques ». En outre, « la PPA s’appuie sur des techniques cryptographiques pour permettre une attribution agrégée qui préserve la vie privée. Ces techniques empêchent toute partie, y compris Mozilla, d’identifier des individus ou leur activité de navigation ».

En revanche, Mozilla reconnait qu’elle aurait pu mieux communiquer sur la PPA, notamment en impliquant « des voix extérieures ». Christopher Hilton affirme également qu’en dépit de l’activation par défaut de la PPA dans Firefox 128, le mécanisme ne l’est pas réellement. « L’itération actuelle de PPA est conçue pour être un test limité au site du Mozilla Developer Network ». Un point sur lequel Mozilla n’avait pas non plus communiqué.

La plainte de noyb, en conséquence, demande deux actions pour l'Union européenne : qu’un consentement explicite soit demandé aux internautes pour activer la PPA et que les données collectées soient supprimées. Mozilla, elle, dit se réjouir de travailler avec noyb pour progresser sur son mécanisme, dans lequel elle croit fermement.

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Pour ceux qui veulent vérifier la configuration du paramètre via about:config
dom.private-attribution.submission.enabled --> true l'envoi est activé.

Il faut le passer à false pour désactiver PPA.
votre avatar
Mais, si j'ai bien compris, si on désactive le PPA, on revient au fonctionnement "classique et attendu" des cookies, à savoir qu'on est pisté plus finement par les régies publicitaires ?.

Tant que Mozilla reste une entreprise de confiance, qui voudrait désactiver cela ?
votre avatar
Non, Mozilla n'empêche pas les sites d'utiliser leurs moyens de tracking habituels. Ils introduisent un nouveau système en plus des autres qui a très peu de chances de prendre auprès des acteurs du web.

Et il faut avoir vachement confiance en leur système pour accepter qu'un navigateur exfiltre tes données fussent-elles chiffrées vers un serveur externe qui doit en principe les anonymiser et les agréger (elles ne sont donc pas chiffrées ni anonymes sur le serveur) avant envoi aux publicitaires. Sans consentement.

A ce niveau de mauvaise foi j'ai davantage confiance en les devs de Vivaldi que dans Mozilla.
votre avatar
Non, Mozilla n'empêche pas les sites d'utiliser leurs moyens de tracking habituels. Ils introduisent un nouveau système en plus des autres qui a très peu de chances de prendre auprès des acteurs du web.
Tout simplement faux : Enhanced Tracking Protection. Puis oser dire qu'un navigateur web au code source fermé (surcharge de Vivaldi) serait plus digne de confiance qu'un navigateur web au code source ouvert (Firefox), c'est antinomique.
votre avatar
D'un point de vue des sites et des annonceurs, en soi les sites utilisent toujours les cookies et traceurs habituels, qu'ils soient ou non bloqués par Firefox. Mozilla ferme la porte et ouvre une fenêtre, certes moins grande, sur le suivi des utilisateurs, sous prétexte de ne pas vouloir tuer les annonceurs.
Le souci majeur est que personne ne suivra le standard d'un navigateur qui a moins de 4% de parts de marché, et on crée donc une brèche pour rien, sans consentement.

Chrome va aussi bloquer le suivi : https://developer.mozilla.org/en-US/blog/goodbye-third-party-cookies/ et leur modèle FLoC pour le tracking est nettement plus problématique, même révisé. Cela ne rend pas FLoC plus acceptable.

Au final Mozilla introduit une fonction qui, cela est mon avis, fortement indésirable.
votre avatar
Heu de confiance, de confiance ... on va dire qu'au minimum "il y aurait pas mal de choses à revoir":
MoFo : ne participe pas à Firefox, Thunderbird, ni ne contribue techniquement au web ouvert
(voir le lien de mon lien et les commentaires)
votre avatar
Le mieux est encore de passer au Fork de Firefox qui va bien : Floorp!
je n'ai pas ce parametre!
votre avatar
oui, j'ai pas encore fait le changement mais ce Fork est vraiment bien.
Pour les personnes qui ne connaissent pas site officiel et repo GitHub
votre avatar
Le pire dans cette histoire : tout le monde avait averti la fondation que cette idée était de la m avant même son implémentation ...
votre avatar
C'est dommage que Mozilla n'ai pas mieux communiquée, car une attaque par noyb donne une très mauvaise image...
votre avatar
C'est qui tout le monde ? Tu saurais décrire le fonctionnement de PPA et son problème ?
votre avatar
Au lieu de d’ajouter des fonctionnalités que personnes ne veux, ils feraient mieux d’améliorer la compatiblité. Il y a de plus en plus de site institutionnel et de grande entreprise (banques, magasin en ligne…) qui ne fonctionnent plus avec Firefox.
votre avatar
Source? Example de site qui ne fonctionne pas car de mon côté je n'ai aucun soucis.
votre avatar
Par exemple https://www.gmbinder.com/
Bon d'accord FF n'est pas le seul INpacté, car il ne fonctionne à peu près correctement qu'avec Chrome...
votre avatar
Par exemple https://www.gmbinder.com/
Il posait sa question suite au commentaire qui disait :
site institutionnel et de grande entreprise (banques, magasin en ligne…)
Ton site n'entre pas dans cette catégorie. Et du peu que j'y ai navigué, Firefox fonctionnait. Le seul truc idiot que j'y ai vu : un message à chaque page disant d'utiliser Chrome.
Un site comme ça, me fait penser au site de Jvachez et ce n'est pas un compliment ! :D
votre avatar
Et du peu que j'y ai navigué, Firefox fonctionnait.
Alors tu y a bien peu navigué, de fait :)
Car quand on veut exporter un des fichiers au format pdf, ça part en vrille, c'est d'ailleurs un probleme bien connu et maintes fois débattu dans la communauté rôliste, celle de D&D5e en particulier. Et rien à voir avec celui de jvachez.
votre avatar
En général, et d'expérience personnelle, quand je tombe sur un site qui fonctionne mal avec Firefox (ce qui est plutôt rare), ce n'est pas vraiment la faute à ce dernier, mais plutôt à celui ou celle qui a développé ledit site, soit mal, soit pour Chrome and co sans s'assurer de son bon fonctionnement sur Firefox, parce que osef, hein !?
votre avatar
Chrome est devenu le nouvel IE. Ce qui est tout sauf flatteur ...
votre avatar
La page d'accueil de Firefox contient des publicités par défaut. Le moteur de recherche est configuré sur Google search par défaut. Les paramètres de Firefox contiennent des services Google notamment la « Protection contre les contenus trompeurs et les logiciels dangereux ».
Ce n'est pas spécialement de la collecte de données (quoique…?).

édit: ça ne m'empêche pas d'être un utilisateur de Firefox, de Pocket, de synchroniser mes appareils avec un compte Firefox.
votre avatar
La plainte de noyb est ridicule, car elle n'est tout simplement pas rigoureuse. Ils laissent croire que le PPA est activé par défaut et utilisé pour tous les sites Web, alors que la réalité est tout autre.
The current implementation of PPA in Firefox is a prototype, designed to validate the concept and inform ongoing standards work at the World Wide Web Consortium (W3C). This limited rollout is necessary to test the system under real-world conditions and gather valuable feedback.
The prototype is enabled with an Origin Trial — which prevents the API from being exposed in any form to any website unless it’s specifically allowed by Mozilla. For the initial test, the only allowed sites are operated by Mozilla – specifically ads for Mozilla VPN displayed on Mozilla Developer Network (MDN). We chose this approach to ensure sufficient participation to evaluate the system’s performance and privacy protections while ensuring that it is tested in tightly-controlled conditions.
https://blog.mozilla.org/netpolicy/2024/08/22/ppa-update/
votre avatar
Alors, au tout départ, ce truc était bel et bien activé par défaut. Je le sais car j'ai du aller le désactiver sur chacun de mes Firefox. Et ça assez gueulé à ce sujet d'ailleurs.
votre avatar
J'ai constaté que dans les versions suivantes, la case est grisée par défaut quand on décoche "Autoriser Firefox à envoyer des données techniques et des données d'interaction à Mozilla". C'est une bonne chose d'avoir conditionné PPA à cette case, mais ce n'était pas le cas initialement.
votre avatar
Est-ce pour cela que Debian n'a pas mis à jour firefox-esr vers la version 128, pas même en unstable ou testing ? Il est sorti en juillet, et aucune activité sur firefox-esr 128 ne remonte.
votre avatar
C'est bien, il faut que la Mozilla Foundation fasse les choses correctement. Il faut que Firefox soit tenu aux plus hauts standards.

noyb dépose plainte contre Mozilla et son mécanisme de suivi publicitaire

  • Qu’est-ce que la PPA ?

  • Quel est le problème ?

  • Mozilla reconnait en partie ses torts

Fermer