« Il y seulement deux choses qui sont difficiles en informatique : invalider le cache[1] et nommer les choses. »

— Phil Karlton, Netscape, traduit[2]

Cette phrase a été prononcée par l’un des ingénieurs de Netscape, une société américaine d’informatique qui a marqué l’histoire du Web en créant, dans les années 90, l’un des premiers navigateurs, qui donnera ensuite naissance à Mozilla Firefox.

Netscape est aussi connu pour avoir été à l’origine du langage de programmation JavaScript, qui permet d’apporter une brique d’interaction aux sites Internet, et pour avoir élaboré le protocole SSL, connu aujourd’hui sous le nom de TLS, qui permet de sécuriser les échanges sur Internet, le fameux S de HTTPS[3].

Logo de Netscape
Logo de Netscape

Nommer les choses correctement est indispensable pour nous permettre de communiquer et de se comprendre facilement. En informatique, comme dans la vie courante, il n’est pas toujours évident de donner des termes aux nouveaux concepts, d’autant plus que certaines choses peuvent être relativement complexes à leur début et qu’il n’est pas facile de les renommer par la suite.

Sur Internet, les choses évoluent rapidement et de nombreux mécanismes sont créés chaque année. Les navigateurs ne font pas exception à la règle et proposent sans cesse de nouveaux éléments pour faire face aux usages actuels. L’un d’eux est la navigation privée, qui est probablement un bon exemple d’un concept avec un nom est très mal choisi.

L’intérêt de supprimer ses traces

Lorsque vous visitez un site Internet, la grande majorité des traitements n’est pas visible à l’œil de l’internaute. Des mécanismes comme les cookies[4] sont, par exemple, utilisés pour permettre aux éditeurs de se souvenir de vos actions passées.

Ces cookies sont conservés dans votre appareil, dans votre navigateur, et sont réutilisés lorsque vous retournez sur un site que vous avez déjà consulté pour, par exemple, récupérer le contenu de votre panier, pour vous permettre d’accéder à votre espace personnel sans vous authentifier, ou pour des objectifs plus douteux comme la création de votre profil ou l’affichage de publicités ciblées.

Il peut être intéressant de supprimer ces cookies et les autres données stockées dans votre navigateur :

  • pour améliorer la sécurité, car les cookies contiennent des identifiants permettant de vous maintenir connectés aux sites Internet sur lesquels vous vous êtes authentifié. Leur suppression permet donc de se « déconnecter ».
  • pour améliorer la confidentialité, car les cookies contiennent des traceurs laissés par les publicitaires pour vous identifier et vous pister sur le Web.

La suppression de ces données a aussi quelques effets secondaires. Vos choix en matière de vie privée sont, par exemple, oubliés. Les sites vous ré-afficheront donc leur bannière de consentement, mais c’est plutôt un mal pour un bien, car cela vous rappelle que ces sites ne vous veulent pas que du bien.

Limiter le nombre de traces

Si vous souhaitez améliorer votre sécurité et mieux protéger votre vie privée sur Internet, vous pouvez, dans un premier temps, empêcher les sites Internet de stocker des informations dans votre appareil. Cela peut se faire en refusant les bannières de consentement qui doivent obligatoirement[5] vous êtes proposées, dès lors que vos données personnelles sont traitées.

Cette méthode nécessite cependant que les sites respectent la réglementation et respectent votre choix, ce qui est loin d’être le cas. Le site populaire de petites annonces leboncoin se fiche, par exemple, totalement de votre choix et vous traque dans tous les cas, tout comme le site du Figaro.

Faire confiance aux sites Internet n’est donc probablement pas la meilleure option. Les sites dont la santé financière dépend fortement de ces mécanismes sont trop souvent tentés de ne pas appliquer les règles en se souciant guère de la vie privée de ses visiteurs, d’autant plus que les amendes sont ridicules voire inexistantes pour les contrevenants.

La CNIL a, par exemple, sanctionné Google d’une amende de 100 millions d’euros en février 2021[6] pour une utilisation abusive des cookies. Cent millions, cela représente 0,06 % du chiffre d’affaires mondial de Google, c’est-à-dire que Google gagne cette somme en seulement cinq heures. Pas étonnant que Google n’ait pas changé ses pratiques et ne permette toujours pas à ses visiteurs de refuser les cookies simplement, comme la loi l’exige. La même chose peut être dite pour Amazon, qui a aussi été aussi condamnée pour utilisation abusive des cookies et qui n’a pas non plus modifié ses pratiques.

Pour s’assurer que les cookies et les autres traces néfastes soient éliminés, il faut donc les supprimer, d’une façon ou d’une autre, après votre visite. C’est là que la navigation privée entre en jeu.

Supprimer les traces automatiquement

Les cookies et autres données laissés par les sites Web et conservés dans votre navigateur peuvent être manuellement supprimés. Pour cela, il faut se rendre dans les paramètres du navigateur, qui propose une fonctionnalité dédiée à cet effet. Pour Firefox par exemple, la fonctionnalité se trouve dans : Options, Vie privée et sécurité et Effacer les données.

Options de vie privée et de sécurité du navigateur Firefox
Options du navigateur Firefox pour effacer les cookies et données

On peut cependant difficilement demander aux internautes de réaliser cette opération chaque fois qu’ils visitent un site.

Pour faciliter la suppression des traces et éviter de devoir manuellement supprimer ces données à intervalles réguliers, une autre solution est possible : la navigation privée.

À la différence d’une navigation traditionnelle, la navigation privée supprime automatiquement les cookies et autres traces à la fermeture de la fenêtre. Plus besoin d’aller manuellement dans les paramètres pour supprimer les données, le seul fait de fermer la fenêtre les supprimera et le simple fait d’ouvrir une nouvelle fenêtre de navigation privée permet de partir d’une page blanche.

Pour surfer sur le Web avec un degré de sécurité et de confidentialité un peu plus élevé, il est donc intéressant de démarrer une nouvelle fenêtre de navigation privée chaque fois que vous souhaitez visiter un site, de fermer cette fenêtre à la fin de la consultation du site, et de recommencer l’opération lorsque vous souhaitez visiter un autre site.

Plusieurs fenêtres de navigation privée peuvent être ouvertes en parallèle, mais elles ne disposent pas toutes d’une mémoire dédiée. Elles doivent donc être toutes fermées avant de consulter un autre site.

Avec un peu de sérieux, on peut donc améliorer son expérience sur Internet, simplement en visitant les sites en navigation privée.

Les limites de la navigation privée

Contrairement à ce que son nom laisse croire, la navigation privée n’a rien de privé. Elle permet uniquement d’effacer les cookies et autres traces stockés dans votre appareil après avoir visité un site Internet.

D’autres mécanismes sont utilisés par les éditeurs en complément des cookies pour vous identifier et vous pister. L’une d’entre elles est appelée « fingerprint[7] » et consiste à analyser les caractéristiques de l’appareil de l’internaute pour en déduire son identité.

Cette technique fonctionne sur le même principe que le jeu de société « Qui Est-ce ? », où des questions sur les caractéristiques physiques du personnage de son adversaire sont posées pour trouver son identité. Après quatre ou cinq questions bien choisies, il reste généralement peu de doute sur l’identité réelle de la personne à trouver.

Boîte du jeu de société « Qui Est-ce ? » avec des photos de visages de personnages fictifs
Boîte du jeu de société « Qui Est-ce ? ». Crédits Hasbro Gaming

En informatique, c’est pareil. Un éditeur de site Internet peut questionner le navigateur de l’internaute pour découvrir ses caractéristiques et l’identifier. Les informations recherchées peuvent être :

  • le type de navigateur utilisé et sa version ;
  • les langues et les technologies prises en charge par le navigateur ;
  • le fuseau horaire dans lequel l’internaute se trouve ;
  • les dimensions de la fenêtre du navigateur ;
  • les polices installées dans l’appareil ;
  • le nombre de processeurs de l’appareil ;
  • la façon dont le navigateur traite les éléments audios et graphiques ;
  • la présence ou non d’un bloqueur de publicité.

Toutes ces informations sont obtenues à partir des requêtes envoyées par votre navigateur et en exploitant les fonctionnalités du navigateur qui sont normalement utilisées pour proposer une expérience riche à l’internaute. Ces données permettent d’identifier avec une très bonne précision un appareil, et donc un individu, car il est rare que deux personnes visitent un site avec le même appareil, du même endroit, avec la même configuration.

Un point important à noter est que ces informations ne sont pas considérées comme des données personnelles, comme peuvent l’être l’adresse IP ou l’adresse e-mail, mais l’agrégation de ces données permet d’identifier un individu. C’est pour cela que cette technique est régulée de la même façon que les cookies et nécessite, théoriquement, le consentement de l’internaute.

Ce mécanisme n’est pas le seul à fonctionner aussi bien dans une navigation classique que privée. La nouvelle technologie FLoC[8], censée remplacer les cookies, fonctionnera aussi dans les deux cas, encore faut-il qu’elle voit le jour.

La navigation privée n’est donc pas la solution à tout, mais elle permet néanmoins de se protéger contre certaines techniques traditionnelles basées sur les cookies et les autres technologies de stockage[9] intégrées au navigateur. Un bloqueur de publicités et de trackers comme l’excellent uBlock Origin[10] peut aussi être ajouté en complément de la navigation privée pour une meilleure protection.

Le terme de navigation privée n’est pas partagé par tous les navigateurs. Le terme de « mode incognito » est, par exemple, utilisé par Google dans son navigateur Chrome. Le terme est cependant tout aussi trompeur pour l’internaute.

Certains internautes américains ont d’ailleurs porté plainte contre Google[11], qui indiquerait, à tort, que la navigation privée permet de surfer sur le Web de façon privée.

Il est peut-être temps de renommer cette fonctionnalité de navigation privée et de lui donner un terme qui ne laisse pas sous-entendre qu’elle apporte une quelconque protection au niveau de la vie privée des internautes. Il n’est pas facile de trouver un terme juste et simple, mais si je devais le faire, je l’appellerais navigation à usage unique.

La notion d’usage unique est facilement compréhensible par les utilisateurs, car elle est utilisée dans la vie de tous les jours pour indiquer qu’un objet doit être utilisé qu’une seule et unique fois. Dans notre cas, même si l’internaute n’a pas conscience de la menace, il comprendra au moins que ce type de navigation a été conçu pour être utilisé qu’une seule fois et l’utilisera probablement correctement.

Les cookies peuvent-ils vous pister ?

Pour illustrer la façon dont les cookies peuvent vous pister, un petit outil ludique a été conçu : Les cookies peuvent-ils vous pister ?

Essayez-le !

Note : un outil a aussi été mis en ligne par l’organisation miliante EFF pour sensibiliser les internautes sur la technique de « fingerprint » (en anglais uniquement) : coveryourtracks.eff.org

Note 2 : Le navigateur Safari a un comportement différent des autres navigateurs, car les cookies obtenus dans une fenêtre de navigation privée ne sont pas partagés les autres fenêtres.

Notes et références

  1. Le cache est un mécanisme permettant de garder en mémoire des données pour améliorer la performance. Invalider le cache consiste à supprimer les données mémorisées et à forcer le système à récupérer les données auprès de la source.
  2. « There are only two hard things in Computer Science: cache invalidation and naming things » (source : karlton.org, en anglais).
  3. Le fonctionnement du protocole HTTPS est expliqué dans l’article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  4. Le fonctionnement des cookies est expliqué dans la vidéo « Que sont les cookies et comment peuvent-ils être utilisés pour vous espionner ».
  5. La législation encadrant les cookies est décryptée dans l’article « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  6. La CNIL sanctionne Amazon et Google pour utilisation abusive de cookies. Voir « Amazon et Google épinglés par la CNIL pour utilisation abusive de cookies ».
  7. Le mot « fingerprint » est traduit en français par « empreinte digitale ».
  8. Le fonctionnement de FLoC est présenté dans l’article « Google propose FLoC pour remplacer les cookies et continuer de vous traquer, mais vous pouvez vous y opposer ».
  9. Plusieurs technologies permettent de stocker des informations dans le navigateur de l’internaute comme « local Storage » ou « IndexedDB ».
  10. Le module uBlock Origin permet de bloquer les publicités et certains trackers. Le module peut être téléchargé gratuitement sur ublockorigin.com.
  11. Une class-action a été lancée contre Google au sujet de la navigation privée : Brown v. Google LLC, 20-3664, U.S. District Court, Northern District of California.