Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Do Not Track (DNT)

Do Not Track (DNT) est un dispositif qui fut proposé par la Fondation Mozilla pour le navigateur Firefox, puis fit l'objet d'une tentative de normalisation et a fini dans une impasse. Do Not Track se veut un switch universel d'Opt-Out, contrairement aux dispositifs des alliances ou Ghostery.

Do Not Track se voulait être l'anti-tracking total le plus simple du monde, d'une simplicité enfantine. C'était juste un paramètre que l'on positionne à « oui » ou « non » dans les navigateurs Web. Ce paramètre tenait (et tient toujours) sur 1 bit dans les entêtes des requêtes HTTP. Il était en passe de devenir une RC du W3C

Do Not Track est un échec total et une impasse qui, pour l'instant[1], avoue son impuissance !

Liste des sites respectant Do Not Track (archives)

Il y a eu un tel bruit autour de DNT, un tel désir mythique de la part des internautes, que les sites Web choisissant de le respecter se mirent à considérer ce respect comme un attracteur de visiteurs. Ils se précipitèrent pour s'inscrire sur la liste (publiée sur le site du projet DNT) des sites respectant ce protocole. Voici ce que DNT a donné :

  • 31.10.2011 : première publication de la liste des sites Web déclarant respecter Do Not Track. Ils ne sont que 14 !

    Do Not Track - Première liste de sites Web déclarant respecter Do Not Track
    Do Not Track - Première liste de sites Web déclarant respecter Do Not Track
  • 08.12.2015 : ils ne sont que 21, 4 ans et 9 mois après la publication de la spécification DNT.

  • 13.10.2016 : ils ne sont toujours que 21 sur un total de près de 1,1 milliard de sites (octobre 2016 - *).

  • 16.04.2017 : ils ne sont toujours que 21 sur un total de près de 1,7 milliard de sites (avril 2017 - *).

  • 26.03.2018 : ils ne sont toujours que 21 sur un total de près de 1,6 milliard de sites (juin 2018 - *). C'est la dernière liste des sites respectant Do Not Track. À partir de cette date, le site lui-même Do Not Track disparaît et un renvoi vers une page de l'EFF - Electronic Frontier Foundation explique que de nouvelles technologies contournent toutes les tentatives de type DNT qui est abandonné car totalement non fonctionnel, techniquement et politiquement. DNT reste à l'état de RC[2] . La promulgation du RGPD - Règlement Général sur la Protection des Données est alors une réponse juridique incontournable et très pénalisante imposée par l'Union européenne à tous les sites Web du monde s'adressant aux résidents européens (deux solutions sont désormais offertes aux internautes : les Opt-Out ou les solutions de Cookie Consent).

    L'EFF écrit :

    Malheureusement, des technologies plus récentes ont favorisé le développement de systèmes de suivi de type cookie qui sont plus difficiles à détecter ou à supprimer pour un utilisateur, et peuvent fournir aux spécialistes du marketing une riche source de données sur un individu. Aujourd'hui, les sociétés de suivi en ligne utilisent des supercookies et des empreintes digitales pour suivre les personnes qui tentent de supprimer leurs cookies, et la fuite des identifiants d'utilisateur des réseaux sociaux et des sites similaires leur a souvent donné un moyen facile d'identifier les personnes qu'ils suivaient . En décembre 2015, l'EFF a lancé une version mise à jour de son site Panopticlick (Fingerprinting) qui permet aux utilisateurs de vérifier la résistance de leur navigateur à différentes techniques de suivi.

    Do Not Track - Dernière liste de sites Web déclarant respecter Do Not Track
    Do Not Track - Dernière liste de sites Web déclarant respecter Do Not Track
Do Not Track - Do Not Track - de quoi s'agissait-il

Do Not Track était une proposition, un projet, de dispositif universel anti-tracking, NE PROTEGEANT PAS LES INTERNAUTES, contrairement à ce que laissent entendre toute la presse et tous les sites ! Il n'est qu'à l'état de projet et repose sur la confiance - autant dire qu'il ne sert à rien, la confiance étant la dernière chose que l'on puisse trouver sur l'Internet, le Web étant essentiellement un milieu trompeur et menteur.

Do not Track (Interdire le suivi - ne pas me traquer) est un projet de mécanisme reposant sur l'utilisation d'un unique bit, préalablement inutilisé, dans les entêtes HTTP. Ce bit signale aux applications Web (aux sites Internet - au serveur de la page Web que vous êtes en train de visiter, comme à tous les serveurs tiers intervenant dans cette page) que l'utilisateur (vous) ne souhaite pas être suivi (une forme d'espionnage, de surveillance, pudiquement appelée tracking, dont le périmètre flou est probablement indéfinissable, détruisant totalement, entre autres, la notion de vie privée qui, elle même, a des frontières floues).

Do not Track ajoute aux entêtes HTTP des Requêtes HTTP envoyées vers les serveurs, lors de communications HTTP (mode de relation client / serveur du Web - le « client » étant votre navigateur Web, le serveur étant la machine distante), une information significative pour les acteurs de l'Internet qui pratiquent le tracking et le profiling en ligne :

  • « Ne pas me pister »

  • « Interdiction de me suivre »

  • « Arrêter de me prendre en filature »

  • « Ne pas espionner ce que je fais, vois, regarde, écoute, achète, vend, qui je fréquente, etc. sur le Web, et ne pas en déduire des conclusions sur ma personne et ma personnalité. »

Do not Track est un souhait émis dans l'entête HTTP. C'est là que le bât blesse, car l'entête HTTP a déjà été envoyée, à ce moment-là, et le serveur du site visité ainsi que tous les serveurs tiers (ceux des régies publicitaires et autres serveurs de ressources tierces) l'ont déjà reçue. Que pèse un bit positionné à zéro ou à un pour simplement exprimer un souhait, une supplique du malheureux internaute, surveillé (donc coupable (de quoi ?)) par des centaines, des milliers d'opérateurs et d'agences inconnues qui se prennent chacune pour un Service des Renseignements Généraux (Service d'espionnage intérieur français), face aux milliards d'US$ que rapportent nos données privées à chaque acteur du tracking.

Vous avez vu combien de sites afficher ceci (et encore, est-ce réellement suivi d'effet ?) :

DNT - Do Not Track - Ce site prétend respecter votre souhait de ne pas être surveillé (pisté, espionné)
DNT - Do Not Track - Le site qui affiche quelque chose comme cela prétend respecter votre souhait de ne pas être surveillé (pisté, espionné)

DNT - Do Not Track - Ce site prétend respecter votre souhait de ne pas être surveillé (pisté, espionné)
DNT - Do Not Track - Ce site annonce respecter DNT, ce qui est suffisamment rare pour être signalé (découvert le 18.10.2016)
Do Not Track - Do Not Track - de quoi s'agissait-il

Longtemps avant que l’idée, en 2007, de permettre aux internautes d’exprimer, par un simple switch, le désir de ne pas être espionné, des RFC du W3C indiquent, depuis 1992, que certaines données, dans les en-têtes des requêtes HTTP, sont optionnelles et que leur collecte par des serveurs est attentatoire à la vie privée (référence à ce que l’on appelle désormais les clickstreams et qui, en 1992, était désignés sous l’expression « lists of back-links » - « listes de rétro-liens »).

Le Web vient à peine de naître le 6 août 1991. Dès l'expression du protocole HTTP par Tim Berners Lee lui-même, dans « Champs des requêtes HTTP », en 1992, le caractère optionnel du champs « Referrer » et la construction des clickstreams sont évoqués.

Lire l’article sur le champ « Referrer » contenant la liste des RFC évoquant le risque d’atteinte à la vie privée et la nécessité d’un simple switch permettant aux internautes de s’y opposer (ce qui tournera finalement à la dérisoire expression d’un simple désir auquel tous les sites et opérateurs feront un bras d’honneur).

Quant aux campagnes publicitaires révulsantes de Microsoft, à la télévision, appuyant la promotion de leur navigateur Internet Explorer (le générateur de failles de sécurité en flux continu) sur le pré-positionnement du switch « Do Not Track », elle relève du plus profond mépris scandaleux de cette société habituée à prendre les internautes pour une bande d’imbéciles incultes qui, de toute manière, ne comprennent rien et à qui l’on peut assener n’importe quoi qu’ils prendront pour du pain béni (le 26.10.2012, Microsoft sort la version 10 d'Internet Explorer qui insère le mécanisme Do Not Track, et entame une incroyable campagne publicitaire, dont d'innombrables spots télévision, début 2013, autour de Do Not Track positionné par défaut).

Do Not Track - Dès 1992, des réserves sur certains champs

L'idée initiale, déjà sous le nom de « Do Not Track », remonte à 2007, aux États-Unis, et portait alors sur la constitution, d'une manière contraignante (par un texte de loi et des pénalités dissuasives), d'une liste (une base de données) des domaines pratiquants le tracking, obligeant les pratiquants de tracking à se déclarer dans cette liste et à déclarer les données collectées. De nombreux groupes impliqués dans la protection et la défense de la vie privée se mobilisèrent ensembles, incluant des cabinets d'avocats, le « World Privacy Forum »[4], le « CDT (Center for Democracy & Technology) »[5] et l'« EFF (Electronic Frontier Foundation) »[6].

D'une manière extrêmement subtile, le groupe à l'origine de cette idée nomma la proposition en question d'une telle manière qu'elle évoquait immédiatement la très connue et très populaire liste américaine « Do Not Call » (équivalent de la « liste SAFRAN » en France, complétée par un annuaire inversé « pacitel.fr » depuis le 1er décembre 2011). Ainsi nommé, « Do Not Track » résonne comme une bonne idée auprès de toutes les personnes, même celles ne sachant pas ce que c'est ni de quoi il retourne.

Ces initiateurs interpelèrent une agence gouvernementale extrêmement crainte : la FTC - Federal Trade Commission. Il s'agit d'un organisme qui n'a pas d'équivalent en France et a une puissance considérable. Cet organisme défend les consommateurs et pourrait être l'équivalent, en France, de la somme de l'AMF (Autorité des Marchés Financiers), de 60 millions de consommateurs, de la CNIL - Commission Nationale de l'Informatique et des Libertés, de l'Association nationale de défense des consommateurs et usagers, de l'Institut National de la Consommation, etc.

L'idée est que soit créée une liste, qui s'appellerait "Do Not Track", à propos de la publicité en ligne.

Les placards publicitaires, sur les sites, ne sont que la partie visible d'un immense iceberg dont les parties cachées sont le Tracking, suivi du profiling, conduisant au ciblage comportemental et au marketing comportemental. Le ciblage comportemental ne concerne pas uniquement la publicité, mais aussi le profiling de toutes les populations dans toutes les nations du monde, démocratiques ou pas, le recrutement (y compris par les employeurs), les sectes et les mouvements terroristes, etc.

La part invisible de l'iceberg, le Graal des marketeurs est le ciblage comportemental qui découle du tracking. Ceci se fait grâce à l'analyse de tous vos comportements et déplacements, collectés et stockés depuis des années, dans d'immenses bases de données de vos clickstream. Tous vos profils, goûts, tendances, penchants, faiblesses, croyances, superstitions, perversions, etc. sont calculés, épluchés, etc. en vue, principal alibi, de vous délivrer « le bon message publicitaire, à la bonne personne, au bon moment, par le bon canal ».

Do Not Track - Do Not Track - l'idée initiale remonte à 2007

Do not Track (Interdire le suivi, la surveillance) a été initialement proposé, en 2009, par les chercheurs Christopher Soghoian, Sid Stamm et Dan Kaminsky, après une demande faite en 2007, par de puissants groupes de défense et protection des intérêts publics (dont World Privacy Forum, CDT et EFF - Electronic Frontier Foundation) auprès de la très crainte FTC - Federal Trade Commission (voir « Do Not Track - L'idée à l'origine » dans « Petite histoire de Do Not Track »).

En 2016, 7 ans plus tard[3], Do not Track est toujours en cours de standardisation par le W3C et n'est toujours qu'à l'état de candidat à la recommandation (RC - Recommandations ayant force de standards sur le Web). Voir l'état de la candidature à RC sur le site du W3C : Tracking Preference Expression (DNT).

Do not Track n'est que le signalement d'un souhait, par l'utilisateur. Do not Track est purement et simplement déclaratif. Il n'a et n'aura jamais aucun pouvoir bloquant ou filtrant ou coercitif. Il n'est pas et se sera pas contraignant. Il ne s'imposera pas aux pratiquants du tracking et du profiling. Il reposera sur la confiance et les entités pratiquant le tracking et le profiling ont déjà signalé qu'elles ne le respecteraient pas. Pour devenir efficace, sans possibilité de contournement, il faudrait soit des dispositions de censure du Web au niveau le plus élevé des instances de gouvernances du Web, soit des mécanismes totalement bloquants, dans les navigateurs, empêchant toutes les informations de type « Sommes-nous espionnés », ce qui, dans un cas comme dans l'autre, soulèverait des tollés de protestations.

  • Le 07.03.2011, les auteurs de Do not Track publient un document de définition de Do not Track.
    Do Not Track: A Universal Third-Party Web Tracking Opt Out
    Il passe le bébé à la Fondation Mozilla, eux-même étant des chercheurs en sécurité informatique tandis que Do not Track va comporter des négociations et prises de positions purement politiques dans le landerneau du Web.

  • Le 22.03.2011, la Fondation Mozilla sort la version 4.0 du meilleur navigateur Web qui soit : Firefox. Cette version intègre le mécanisme Do not Track (non positionné). C'est le début de la popularité de ce mécanisme.

  • Le 20.07.2011, Apple sort Safari 5.1 pour Mac et Windows qui intègre le mécanisme Do not Track (non positionné).

  • Le 26.10.2012, Microsoft sort la version 10 d'Internet Explorer qui intègre le mécanisme Do not Track (et entame une incroyable campagne publicitaire, dont d'innombrables spots télévision, début 2013, autour de Do not Track positionné par défaut, prenant tous les internautes du monde pour des imbéciles, sachant que Do not Track n'est qu'un projet, que sa standardisation n'arrive pas à se faire depuis plus de 6 ans de travaux autour de ce simple positionnement à 0 ou à 1 d'un seul bit, et que, de toute manière, les espions (trackers) ciblés par Do not Track ont annoncé qu'ils ne le respecteraient pas !).

  • Le 14.06.2012, Opera sort Opera 12 qui intègre le mécanisme Do not Track (non positionné).

  • Le 07.11.2012, Google sort Chrome 23 qui intègre le mécanisme Do not Track (non positionné). Google aura résisté jusqu'au bout avant d'être contraint de faire comme les autres.

  • A ce jour, Do not Track est toujours dans l'impasse.

Le 03 novembre 2015, constatant l'impasse définitive dans laquelle se trouve le Projet DNT qui, même s'il devenait un jour une RC du W3C, ne servira à rien, la Fondation Mozilla sort la version 42 de Firefox qui intègre, dans son comportement dit « Navigation privée », de manière native, un comportement anti-tracking actif basé sur Disconnect. Ceci rend, encore un peu plus, le navigateur Firefox le plus respectueux et protecteur des internautes. Ceci fait aussi que les notions de « Traces internes » et de « Traces externes » se rejoignent dans la navigation privée avec Firefox.

Do Not Track - Origine de Do Not Track
Do Not Track - Origine du mécanisme actuel de Do Not Track
Do Not Track (DNT)

Microsoft, accusé de tous les maux en matière de violation de la vie privée, et qui sent que le dispositif Do Not Track est complètement faillible par rapport aux cookies anti-tracking que de nombreux outils de protection de la vie privée positionnent directement chez l'internaute, pousse Do Not Track en avant, le positionnant par défaut sur « blocage » (ce qui est, d'ailleurs, complètement mensonger car il ne s'agit pas du tout d'un blocage, mais de la simple expression d'un désir, à charge pour les destinataires de le respecter, et il ne sera jamais respecté) en y trouvant, hypocritement, plusieurs intérêts :

  1. Microsoft, qui dispute la place de premier espion du monde à Google, n'a pas forcément besoin des dispositifs de tracking à la Web-Bug qu'utilisent tous les trackers pour tracker et espionner, de manière bien plus approfondie, tous les internautes du monde sous Windows (environ 75% des internautes). Windows lui-même s'en charge, de manière incontournable. Le numéro de série de Windows et le code MAC d'une machine valent tous les cookies à GUID et tous les cookies, trop combattus, disparaissent et sont remplacés par les fingerprinting. Tous les bidules de Windows qui communiquent, dont la télémétrie, valent mieux que tous les scripts de tracking dont, principalement, tous les Windows Update, le pare-feu de Microsoft, le Genuine machin, l'antivirus de Microsoft, etc. C'est d'ailleurs la raison pour laquelle Google se lance dans Google OS.

  2. Microsoft, dont une part importante des revenus est basée sur son activité de régie publicitaire, pousse en avant Do Not Track, car ce dispositif ne le gène pas du tout mais gène tous ses concurrents (à l'exception de ceux capables de proposer un système d'exploitation et un navigateur Web aux internautes, soit Google et Apple). Même si le mécanisme Do Not Track est, un jour, normalisé, et les législations de protection de la vie privée respectées, Microsoft verra toujours les données des windowsiens remonter sur ses serveurs. Les autres acteurs du marketing et de la publicité, réduits à la simple utilisation des cookies à GUID, sont complètement lésés par rapport aux acteurs propriétaires d'un système d'exploitation (Microsoft, Apple et Google) et d'un navigateur Web (les trois mêmes : Microsoft, Apple et Google) - sans évoquer les « clouds » qui nous promettent monts et merveilles en nous affranchissant de nos programmes et de nos données, carrément ! Voir « Les cinq cercles du pouvoir ».

  3. Microsoft fait un coup médiatique. C'est de la poudre aux yeux. Microsoft tente un « rachat de bonne conscience/bonne conduite » et laisse entendre qu'avec Internet Explorer, il lave désormais plus blanc que blanc. C'est une démarche hypocrite de tentative de rétablissement de la confiance des internautes envers Internet Explorer qui perd régulièrement des parts de marché face à Firefox et Google Chrome. Depuis des années, un message est martelé partout : le navigateur Internet Explorer, de Microsoft, ne sert qu'à une chose - télécharger le navigateur Firefox.

Do Not Track - Microsoft - Internet Explorer et le jeu avec Do Not Track

Outils d'investigations pour chercheurs