L’association noyb, bien connue pour ses différentes plaintes en Europe liées à la vie privée, a désormais Mozilla dans le collimateur. La faute à la « Privacy Preserving Attribution » (PPA), mécanisme devant s’interposer entre les internautes et le suivi publicitaire assuré traditionnellement par les cookies.
La PPA, ou « attribution préservant la vie privée » en français, a été présentée en grande pompe par Mozilla. La fondation travaillait sur le sujet depuis un moment déjà, mais tout est devenu beaucoup plus évident à la sortie de Firefox 128, quand le mécanisme a été activé par défaut. Et dès le début, il a provoqué des remous.
Qu’est-ce que la PPA ?
De quoi s’agit-il ? D’une technique relativement similaire à ce que tentent de mettre en place des entreprises comme Apple et Google via des systèmes de « cohortes » et de données anonymisées (en théorie) et agrégées. Celui d’Apple a provoqué la colère de l’industrie de la publicité, alors que Google peine à convaincre avec sa Privacy Sandbox, que noyb a d’ailleurs attaqué en juin.
Au départ, les intentions de Mozilla sont bonnes. Partant du principe que les cookies tiers autorisent un suivi bien trop précis et intrusif des internautes, la fondation voulait proposer une alternative. Elle consiste, dans les grandes lignes, à poser Firefox comme intermédiaire dans la chaine d’informations allant de l’internaute à la régie publicitaire.
Les sites peuvent ainsi demander à Firefox un rapport d’activité sur le comportement des internautes sur une publicité donnée. Le navigateur crée le rapport, le chiffre, puis l’envoie à un service d’agrégation, via un protocole spécifique et sécurisé (Distributed Aggregation Protocol), que Mozilla cherche d’ailleurs à faire normaliser auprès de l’IETF.
Qui dit agrégation dit collecte et rassemblement. Les rapports générés par Firefox ne sont en effet pas envoyés immédiatement. Le service d’agrégation attend de pouvoir combiner un grand nombre de rapports témoignant d’un comportement similaire par d’autres personnes. Quand la quantité d’informations passe un certain seuil, la régie publicitaire reçoit un lot d’informations statistiques anonymes sur un groupe, et non sur une unique personne.
« Les annonceurs ne reçoivent que des informations globales qui répondent à des questions basiques sur l’efficacité de leur publicité », affirmait Mozilla au début de l’été.
Quel est le problème ?
« Contrairement à son nom rassurant, cette technologie permet à Firefox de suivre le comportement des utilisateurs sur les sites web », indique noyb dans un communiqué de presse.
L’association, fondée par Max Schrems, reproche essentiellement deux points à Mozilla dans sa plainte, déposée en Autriche. D’une part, le déplacement du contrôle dans le suivi des internautes : « En fait, c’est le navigateur qui contrôle le suivi et non plus les sites web individuels ».
D’autre part, si noyb reconnait qu’il s’agit « d’une amélioration par rapport au suivi des cookies, en plus invasif », elle ne pardonne pas l’activation par défaut dans Firefox 128. « L’entreprise n’a jamais demandé à ses utilisateurs s’ils souhaitaient l’activer ».
noyb estime le mouvement « particulièrement inquiétant, car Mozilla a généralement la réputation d’être une alternative respectueuse de la vie privée, alors que la plupart des autres navigateurs sont basés sur Chromium de Google ». Comparant la PPA à la Privacy Sandbox de Google, l’association estime que Mozilla fait de Firefox un outil de suivi des internautes, sans consentement et donc en violation du RGPD.
« Il est dommage qu'une organisation comme Mozilla pense que les utilisateurs sont trop bêtes pour dire oui ou non. Les utilisateurs devraient pouvoir faire un choix et la fonction aurait dû être désactivée par défaut », fustige Felix Mikolasch, l'un des avocats de noyb.
L’association souligne par ailleurs le manque criant de force de frappe de Mozilla dans le domaine des navigateurs. Firefox n’a pas assez de parts de marché pour influer sur le monde de la publicité. En conséquence, la PPA ne peut pas remplacer le système des cookies et devient un moyen parmi d’autres de suivre les internautes, « en dépit de ses bonnes intentions ».
Mozilla reconnait en partie ses torts
Mozilla a réagi auprès de plusieurs médias, dont TechCrunch. Christopher Hilton, son directeur de la communication, n’est pas d’accord avec l’analyse faite par noyb.
Pour Mozilla, le mécanisme « permet aux annonceurs de mesurer l’efficacité globale des publicités sans collecter d’informations permettant d’identifier des individus spécifiques ». En outre, « la PPA s’appuie sur des techniques cryptographiques pour permettre une attribution agrégée qui préserve la vie privée. Ces techniques empêchent toute partie, y compris Mozilla, d’identifier des individus ou leur activité de navigation ».
En revanche, Mozilla reconnait qu’elle aurait pu mieux communiquer sur la PPA, notamment en impliquant « des voix extérieures ». Christopher Hilton affirme également qu’en dépit de l’activation par défaut de la PPA dans Firefox 128, le mécanisme ne l’est pas réellement. « L’itération actuelle de PPA est conçue pour être un test limité au site du Mozilla Developer Network ». Un point sur lequel Mozilla n’avait pas non plus communiqué.
La plainte de noyb, en conséquence, demande deux actions pour l'Union européenne : qu’un consentement explicite soit demandé aux internautes pour activer la PPA et que les données collectées soient supprimées. Mozilla, elle, dit se réjouir de travailler avec noyb pour progresser sur son mécanisme, dans lequel elle croit fermement.
Commentaires (23)
#1
dom.private-attribution.submission.enabled --> true l'envoi est activé.
Il faut le passer à false pour désactiver PPA.
#1.1
Tant que Mozilla reste une entreprise de confiance, qui voudrait désactiver cela ?
#1.2
Et il faut avoir vachement confiance en leur système pour accepter qu'un navigateur exfiltre tes données fussent-elles chiffrées vers un serveur externe qui doit en principe les anonymiser et les agréger (elles ne sont donc pas chiffrées ni anonymes sur le serveur) avant envoi aux publicitaires. Sans consentement.
A ce niveau de mauvaise foi j'ai davantage confiance en les devs de Vivaldi que dans Mozilla.
#1.3
Tout simplement faux : Enhanced Tracking Protection. Puis oser dire qu'un navigateur web au code source fermé (surcharge de Vivaldi) serait plus digne de confiance qu'un navigateur web au code source ouvert (Firefox), c'est antinomique.
#1.4
Le souci majeur est que personne ne suivra le standard d'un navigateur qui a moins de 4% de parts de marché, et on crée donc une brèche pour rien, sans consentement.
Chrome va aussi bloquer le suivi : https://developer.mozilla.org/en-US/blog/goodbye-third-party-cookies/ et leur modèle FLoC pour le tracking est nettement plus problématique, même révisé. Cela ne rend pas FLoC plus acceptable.
Au final Mozilla introduit une fonction qui, cela est mon avis, fortement indésirable.
Historique des modifications :
Posté le 26/09/2024 à 13h51
D'un point de vue des sites et des annonceurs, en soi les sites utilisent toujours les cookies et traceurs habituels, qu'ils soient ou non bloqués par Firefox. Mozilla ferme la porte et ouvre une fenêtre, certe moins grande, sur le suivi des utilisateurs, sous prétexte de ne pas vouloir tuer les annonceurs.
Le souci majeur est que personne ne suivra le standard d'un navigateur qui a moins de 4% de parts de marché, et on crée donc une brèche pour rien, sans consentement.
Chrome va aussi bloquer le suivi : url text et leur modèle FLoC pour le tracking est nettement plus problématique, même révisé. Cela ne rend pas FLoC plus acceptable.
Au final Mozilla introduit une fonction qui, cela est mon avis, fortement indésirable.
#1.6
MoFo : ne participe pas à Firefox, Thunderbird, ni ne contribue techniquement au web ouvert
(voir le lien de mon lien et les commentaires)
Historique des modifications :
Posté le 27/09/2024 à 01h41
Heu de confiance, de confiance ... on va dire qu'au minimum "il y aurait pas mal de choses à revoir":
MoFo : ne participe pas à Firefox, Thunderbird, ni ne contribue techniquement au web ouvert
#1.5
je n'ai pas ce parametre!
#1.7
Pour les personnes qui ne connaissent pas site officiel et repo GitHub
#2
#2.1
#2.2
#3
#3.1
#3.4
Bon d'accord FF n'est pas le seul INpacté, car il ne fonctionne à peu près correctement qu'avec Chrome...
Historique des modifications :
Posté le 26/09/2024 à 15h41
Par exemple https://www.gmbinder.com/
Bon d'accord, il ne fonctionne à peu près correctement qu'avec Chrome...
#3.5
Il posait sa question suite au commentaire qui disait :
Ton site n'entre pas dans cette catégorie. Et du peu que j'y ai navigué, Firefox fonctionnait. Le seul truc idiot que j'y ai vu : un message à chaque page disant d'utiliser Chrome.
Un site comme ça, me fait penser au site de Jvachez et ce n'est pas un compliment !
#3.6
Alors tu y a bien peu navigué, de fait :)
Car quand on veut exporter un des fichiers au format pdf, ça part en vrille, c'est d'ailleurs un probleme bien connu et maintes fois débattu dans la communauté rôliste, celle de D&D5e en particulier. Et rien à voir avec celui de jvachez.
#3.2
#3.3
#4
Ce n'est pas spécialement de la collecte de données (quoique…?).
édit: ça ne m'empêche pas d'être un utilisateur de Firefox, de Pocket, de synchroniser mes appareils avec un compte Firefox.
Historique des modifications :
Posté le 26/09/2024 à 12h19
La page d'accueil de Firefox contient des publicités par défaut. Le moteur de recherche est configuré sur Google search par défaut. Ce n'est pas spécialement de la collecte de données (quoique…?) mais les paramètres de Firefox contiennent des services Google notamment la « Protection contre les contenus trompeurs et les logiciels dangereux »
Posté le 26/09/2024 à 12h19
La page d'accueil de Firefox contient des publicités par défaut. Le moteur de recherche est configuré sur Google search par défaut. Les paramètres de Firefox contiennent des services Google notamment la « Protection contre les contenus trompeurs et les logiciels dangereux ».
Ce n'est pas spécialement de la collecte de données (quoique…?).
#5
https://blog.mozilla.org/netpolicy/2024/08/22/ppa-update/
Historique des modifications :
Posté le 26/09/2024 à 12h30
La plainte de noyb est ridicule, car elle n'est tout simplement pas rigoureuse. Ils laissent croire que le PPA est activé par défaut et utilisé par tous les sites Web, alors que la réalité est tout autre.
https://blog.mozilla.org/netpolicy/2024/08/22/ppa-update/
Posté le 26/09/2024 à 12h30
La plainte de noyb est ridicule, car elle n'est tout simplement pas rigoureuse. Ils laissent croire que le PPA est activé par défaut et utilisé par tous les sites Web, alors que la réalité est tout autre.
https://blog.mozilla.org/netpolicy/2024/08/22/ppa-update/
#5.1
#5.2
#6