Bannir les traceurs tiers des sites web de l'État et des organismes publics

Là, nous ne sommes pas dans l’absolu, nous sommes dans le contexte des « traceurs indélicats ». Dans ce contexte, un bon produit répond au besoin de protéger les données personnelles de navigation des visiteurs des sites de l’État et des organismes publics.

Et pourtant, cette question fait référence à des sujets significatifs :

• comment expliquer que certains préfèrent les fonctionnalités affriolantes au détriment de leur intimité numérique ?
• comment expliquer que certains utilisent les fonctionnalités affriolantes pour piéger des utilisateurs ?
• comment expliquer que certains imposent des fonctionnalités affriolantes pour que d’autres puissent piéger des utilisateurs ?

Je pose donc la question pour motiver une réponse qui est courageuse mais nécessaire.

Démonstration via le « Panopticlick » de l’Electronic Frontier Foundation qui permet de tester la collecte d’information directement depuis son propre navigateur. Plus d’infos sur la méthodologie ici (browser fingerprint).

Selon les résultats de notre navigateur on est invité à installer une extension comme « Privacy Badger » pour bloquer certains trackers et publicités-espionnes.

Dans quelle situation un produit contenant des traceurs indélicats pourrait être un bon produit ? La seule réponse que je trouve, c’est la situation de celui qui veut « voler » et exploiter l’intimité numérique des gens. Et pour moi, cette situation n’est pas acceptable, surtout dans le cadre d’un service public.

J’approuve totalement les 3 questions \o/\o/\o/
Avec tous mes encouragements

Sur https://amiunique.org, on peut tester l’unicité de la fingerprint de son navigateur, et obtenir des statistiques détaillée sur les éléments qui font qu’elle est unique ou non.

L’un des principaux problème semble quand même être l’absence d’équivalence de certains services.

• On peut reprocher nombre de choses à analytics, mais c’est le meilleur produit du genre, et piwik est loin de lui être comparable (pas plus que les autres solutions auto-hébergées). Le besoin de bonnes statistiques n’est pourtant toutefois pas si vital… mais souvent demandé.

• Google maps ? Openstreet est loin du compte. La solution de l’IGN comporte malgré tout des erreurs … non corrigées depuis plusieurs années, malgré signalement.

• Google font ? Pas d’équivalent à part les polices locales (et cela a d’autres conséquences, à supposer que les organismes possèdent les droits des polices utilisées, ce qui est rarement le cas).

• Il ne vaut même mieux pas aborder le sujet des logiciels qui ne concernent pas les sites internet publiques.

Quelques autres contre-exemples, et éléments d’information :

• Contre exemple toutefois, les systèmes de partage sur les réseaux sociaux ne nécessitent PAS de traqueurs pour fonctionner lorsqu’ils sont fait « à la main ».
• https://reflets.info/les-trackers-statistiques-ont-ete-supprimes-des-pages-sensibles-de-sites-gouvernementaux/

Quelques autres questions secondaires qu’il faudrait donc se poser :

• pourquoi ne pas créer des services d’état mutualisés pour les manques les plus criants ? (créer un service de statistiques anonymisées centralisé, un ensemble de police open source ? …)
• pourquoi ne pas améliorer les produits neutres existants, ce qui permet de se passer de certaines des solutions de google ?
• pourquoi ne pas contraindre les administrations à fournir un accès TOR aux sites, et ce, sans aucun traqueur (c’est à la mode avec AMP actuellement) ?

Effectivement, les outils alternatifs ont souvent moins de fonctionnalité, c’est un fait.

Toutefois, ceci me rappelle un refrain longtemps entendu concernant les logiciels où l’on opposait souvent le manque de fonctionnalités à beaucoup de logiciels libres comparés à ceux du marché.

Quelles sont les fonctionnalités véritablement utiles ? Sont elles manquantes ?

L’analytics ? Piwik répond aux besoins essentiels, si on veut aller plus loin (et bien plus loin que Google Analytics d’ailleurs) on a très puissants qui peuvent prendre le relais si nécessaire.

Les cartes ? La grande majorité des usages de Google Maps est très basique et les données OSM et les outils qui gravitent autour répondent à ces besoins (géocodage, calcul d’itinéraire, cartes personnalisées, etc).

Les Google Fonts ? Quelle est la valeur ajoutée ? Il y a des catalogues de polices libres de droits qu’on peut utiliser sur son site (et localement).

Je suis plus que favorable à la mise en place de services mutualisés. J’y travaille même au quotidien comme la mise en place d’un outil de géocodage performant sur http://adresse.data.gouv.fr qui permet de se passer de Google.

Un CDN mutualisé et un outil de stats des sites gouvernementaux ou publics serait un gros progrès pour retrouver de l’indépendance ET aussi de la visibilité sur le traffic de ces sites.

Là encore il faut reprendre la main, remonter en compétence et arrêter de sous traiter à outrance car finalement l’usage de ces outils tiers n’est qu’une forme de sous-traitance qui ne dit pas son nom, invisible car « gratuite ».

L’adjectif « Meilleur » me semble complètement déplacé alors qu’il collecte, utilise et vend abusivement les données personnelles (navigation) des webonautes…
À la rigueur, tu pourrais dire « fonctionnellement plus avancé », mais meilleur, non.

Les Google Fonts ? Quelle est la valeur ajoutée ? Il y a des catalogues de polices libres de droits qu’on peut utiliser sur son site (et localement).

Le fait de charger la même police de caractère sur plusieurs sites web depuis un même endroit augmente drastiquement la rapidité de premier chargement d’une page, parce que le navigateur est capable de reconnaître que cette ressource a déjà été téléchargée précédemment et est toujours en mémoire cache. Typiquement, un fichier de police de caractère pèse aux environs de 500KB a 2MB, et un navigateur peut conserver des centaines de MB en cache. En utilisant des polices téléchargées d’un site commun, on évite le double chargement des mêmes polices. Si ces mêmes polices étaient placées en téléchargement sur deux sites distincts, le navigateur ne les reconnaîtrait pas comme la même police et les chargerait plusieurs fois (donc plus d’usage de bande passante, donc temps d’attente supérieur).

Une (bonne) solution serait de faire en sorte qu’un organisme gouvernemental voué à ce genre de chose propose un service similaire et en promeuve l’usage au sein de l’administration. La moins bonne solution est effectivement de les mettre en téléchargement, mais il faudrait dès lors que cela apparaisse dans les appels d’offre ou dans une réglementation spécifique pour que les fournisseurs puissent être au courant de cette limitation au niveau graphique.

Bien vu l’argument technique MAIS :

• ne concerne QUE le premier chargement ;
• s’agissant de site web de l’État, je tolère volontiers un PREMIER chargement plus lent ;
• si c’est pour protéger mes données personnelles (de navigation) alors je tolère volontiers un PREMIER chargement plus lent ;
• ça serait quand même bigrement étonnant qu’il ne soit pas possible de faire des sites web avec des fontes « légères ».

En conséquence, l’argument technique ne me semble pas suffisant, au contraire.

Cette solution technique répondrait effectivement au problème. Pour autant, je m’interroge sur sa viabilité dans le sens où c’est une dépendance forte (risque centralisé) et utile uniquement pour le premier chargement (faible utilité).

Etalab serait-il un candidat à l’hébergement d’un tel service ?

ça serait quand même bigrement étonnant qu’il ne soit pas possible de faire des sites web avec des fontes « légères ».

En fait les fontes Google, c’est simplement pour donner un peu plus de flexibilité au design, mais dans la mesure où le gouvernement établit des normes strictes quant à l’utilisation de fontes standard supportées par tous les navigateurs, le problème ne se poserait jamais. C’est juste parce qu’il n’y a pas de standardisation à ce niveau (ou pas de respect du standard… je ne sais pas lequel des deux) que la couche Google fonts (et son problème) est ajoutée.

Bonjour,
Les « traceurs » sont responsable aussi du référencements, à l’heure actuelle je pense que les développeurs ont déja les moyens de tout faire eux même. Toutefois deployer ce genre d’infra a un coût. Il est vrai qu’en france nous avons peu d’entreprises faisant du MAAS (monitoring as a service), donc pas de souveraineté possible tant qu’une entreprise qui n’est pas performante et pertinente s’occupe de ceci. Le traçage de la navigation permet entre autres choses à la lutte contre la crimminalité numérique (exemple de safebrowsing dans les navigateurs) donc tout n’est pas à jeter aux oubliettes.

Ah bon ? Vraiment ?!!! C’est carrément surprenant comme déclaration. Peux-tu expliciter un peu stp ?

Ah bon ? Vraiment ?!!! C’est carrément surprenant comme déclaration. Peux-tu expliciter un peu stp ?

Par traceur j’entends un procédé utilisé pour récupérer les informations relatives au comportement utilisateur, le script javascript utilisé par google analytics en est un autant que le site safebrowsing. La question je le pense n’est pas vraiment comment sont prises ces informations et quand. Mais plutôt qu’est ce qui en est fait (le devoir éthique de ces entreprises) et pourquoi cela est utilisé.

En prenant le plugin tamperdata de firefox et en activant le reniflage des requetes on constate régulièrement des requête de traçages provenant du navigateur lui même pointant vers safebrowsing. Chose logique si un comportement suspect est identifié, mais illogique lorsque rien n’est fait. Des navigateurs tels qu’Icecat, chromium existent comme alternative toutefois la performance/l’optimisation de ces alternatives libres ne sont pas tout le temps au rendez vous.

Savoir qui le fait et quand est déterminant pour savoir ce qu’ils en font. Et comme de toute façon, on ne peut pas savoir ce qu’ils en font, pas de confiance possible et donc la solution est de bannir ces traceurs indélicats.

Mozilla Firefox est un Logiciel Libre. Quelques soient les manques que tu leurs trouves, ces alternatives sont viables et fonctionnent biens.

« Même si, techniquement, un logiciel libre n’est pas forcément toujours le meilleur, il l’est toujours éthiquement », Richard Stallman.

Il ne faut pas présenter les alternatives libres et / ou respectant la vie privée comme des « équivalents » : les fonctionnalités ne sont pas toujours les mêmes, parfois en mieux et parfois en moins bien (j’ai plusieurs exemples avec LibreOffice et Microsoft Office).

Il faut bien identifier les fonctionnalités qui sont nécessaires, et parmi toutes les solutions disponibles privilégier les solutions libres et respectueuses de la vie privée, tout en acceptant des solutions non libres lorsqu’il n’y a pas d’autres possibilités, et surtout éviter les comportements agressifs ou moralisateurs envers ceux qui n’ont pas fait le même choix.

L’amélioration des logiciels libres est une responsabilité collective, et pour cela les utilisateurs ont un rôle très important à jouer, rien que le fait de l’utiliser, remonter les bugs rencontrés, parfois aider à la traduction, et contribuer par des dons même modestes permet d’améliorer grandement un logiciel.

Il faut également un peu de patience, on ne peut pas mettre en place instantanément des solutions libres alors que les solutions propriétaires sont améliorées depuis un bon nombre d’années.

Mais si tout le monde utilise Google Analytics par facilité et parce que Piwik n’est pas encore tout à fait aussi performant, on continue de livrer à Google toutes les données qui font qu’ils sont aussi puissants, au lieu d’aider Piwiki a devenir une solution crédible.