Comment Google contourne aussi IE pour placer ses cookies

Guillaume Champeau - publié le Mardi 21 Février 2012 à 12h18 - posté dans High-Tech

Pour garder trace des actions de ses utilisateurs, notamment sur les sites qui proposent son bouton +1, Google contourne le système de contrôle des cookies implémenté dans Internet Explorer selon les recommandations du W3C.

Google a décidé de ne respecter que sa propre loi. Hier, nous rapportions que la firme de Mountain View faisait partie de plusieurs régies publicitaires qui contournent le système Do Not Track du navigateur Safari pour imposer ses cookies de traçage, même quand l'internaute les refuse. Voyant cela, l'équipe de développement d'Internet Explorer a voulu vérifier si Google respectait les mécanismes similaires mis en place dans le navigateur de Microsoft, comme le raconte Dean Hachamovitch, le vice-président en charge d'IE.

Or là encore, Google n'en fait qu'à sa tête. Microsoft explique que par défaut, IE bloque les cookies qui ne sont pas envoyés par le site visité (les "cookies tiers"), sauf s'ils sont accompagnés d'une notice au standard P3P. Celle-ci doit indiquer au navigateur les raisons pour lesquelles le cookie est envoyé au navigateur, pour que l'explication puisse être affichée à l'internaute qui l'accepte ou le refuse (soit explicitement, soit implicitement via les réglages du navigateur). La politique de vie privée de l'émetteur du cookie est ainsi codée avec une multitude de déclarations type, référencées dans le standard. Mais "la politique P3P de Google fait qu'Internet Explorer accepte les cookies de Google alors-même que la politique ne fait pas état des intentions de Google", écrit Hachamotich.

"Techniquement, Google utilise une nuance des spécifications P3P qui a pour effet de contourner les préférences de l'utilisateur sur les cookies", explique Microsoft. Plutôt que d'envoyer une politique de vie privée codée selon le standard fixé en 2002 par le W3C, Google envoie un message avec un code détourné de son usage originel. Selon les spécifications du W3C, qui ne font plus l'objet d'évolutions depuis 2008, le navigateur confronté à ce type de code doit laisser passer le cookie. Au passage, Google écrit dans son code P3P un message qui contient une URL où il explique que Google ne veut pas respecter le P3P : 

"Dans certains cas, les cookies utilisés pour protéger et authentifier votre compte Google et stocker vos préférences peuvent être diffusés à partir d'un domaine différent de celui du site Web que vous êtes en train de visiter. Par exemple, si vous visites des sites avec des boutons Google +1 ou si vous vous connectez à un gadget Google sur iGoogle, votre navigateur peut traiter ces cookies en tant que cookie tiers (même si vous êtes toujours sur un site Web).

 Certains navigateurs requièrent des cookies tiers pour utiliser le protocole P3P définissant les pratiques en matière de confidentialité. Cependant, le protocole P3P n'a pas été conçu pour ces situations. Par conséquent, nous avons inséré un lien dans nos cookies afin de diriger les utilisateurs vers une page comportant des informations supplémentaires sur les pratiques en matière de confidentialité associées à ces cookies"

Dans son billet, Dean Hachamotivz propose un lien javascript qui permet d'ajouter les cookies de Google à une liste de cookies automatiquement bloqués quelle que soit la déclaration P3P.

Rappelons que Google, qui ne respecte pas le standard P3P recommandé par le W3C, a choisi de ne pas respecter non plus le standard Do Not Track, préférant sa propre solution Keep My Opt-outs.

Le moteur de recherche a par ailleurs répondu à Microsoft, en l'accusant d'une certaine mauvaise foi. "Il est reconnu – y compris par Microsoft – qu’il n’est pas réaliste de se conformer avec la requête (P3P) de Microsoft tout en proposant des fonctionnalités Web modernes (...) Aujourd’hui, la politique de Microsoft est largement non-opérationnelle (...) Un rapport de recherche de 2010 indiquait que 11.000 sites ne publiaient pas de politiques P3P valides comme demandées par Microsoft", indique Rachel Whetstone, vice-présidente de la communication de Google, citée par ZDnet. Live.com et MSN.com, édités par Microsoft, feraient partie de ces sites.
Publié par Guillaume Champeau, le 21 Février 2012 à 12h18
 
 
22
Commentaires à propos de «Comment Google contourne aussi IE pour placer ses cookies»
 

1
2
chouette donc google peut quand meme nous surveiller... bon demain on aura firefox dans la liste des navigateur qui ce font refaire le fion par les cookies de google
Facebook fait la même chose. Mais pour Numerama, seul Google a décidé de ne respecter que sa propre loi.
C'est pour ca que j'ouvre Gmail et Facebook sur un navigateur à part, uniquement dédié à ces deux sites dont on sait effectivement qu'ils sont bien trop curieux.
Ben, c'est bien, finalement, on comprend que le blocage des "cookies tiers" est encore une fumisterie réalisée pour faire croire qu'on est protégé, alors que de base le système est prévu pour être contourné (c'est fermé, mais, si le loup montre patte blanche, il peut rentrer dans la bergerie, il n'a pas besoin de demander au berger).
Je comprends mieux pourquoi mon Firefox a parfois du mal à détruire tous les cookies de session, notamment ceux de Facebook ou Google, malgré 1) mon rejet des cookies tiers et 2) ma suppression de *tous* les cookies à la fermeture du navigateur.
P3P, Do Not Track, tout ça c'est des machins qui retirent la décision des mains de l'utilisateur (faites nous confiaaaaance) pour mieux l'empapaouter.
Mais ... QU'EST-CE QU'ON S'EN BALANCE !!!!
Il y a d'autres moteurs de recherche que Google ... non ?
Perso, Google Search j'ai oublié depuis longtemps.
Je me sers de DuckDuckGo et Seeks Search.
Et dire que certains utilisent chrome en pensant être bien protégés :) :) :)
viviane001, le 21/02/2012 - 12:55
Mais ... QU'EST-CE QU'ON S'EN BALANCE !!!!
Il y a d'autres moteurs de recherche que Google ... non ?
Perso, Google Search j'ai oublié depuis longtemps.
Je me sers de DuckDuckGo et Seeks Search.
Toi, t'as rien compris, on parle des cookies G+1, google-analytics, ... qui se retrouvent sur beaucoup de sites via les services gratuits de google, pas ceux de google quand tu es sur google.
On s'en balance pas vraiment parceque si Google peut le faire, tout le monde peut le faire. Il s'agit de défauts fondamentaux du web. Ne sachant plus ce qu'il magouille dans ton dos, tu ne peux plus lui faire confiance.
Pour info, la politique de sécurité des cookies est jugée "dépassée" par Google : http://www.lemondein...r-ie-47866.html

Comme disait Coluche : "quand on voit ce qu'on voit et qu'on entend ce qu'on entend, on a raison de pensez ce qu'on pense".

Je leur proposerais bien un nouveau slogan : "Don't be evil ... such like us!"
Je vous conseille d'installer un bon firewall et de regarder un peu les url qui restent connectées à google après une recherche sur google. Avec Firefox j'en avais 5 toutes connectée à des IP possédées par google qui envoyaient de paquets à chacuns de mes click où presque...
Pour chrome, c'est simple il n'y a aucunes raisons de l'utiliser. Sa base de programmation open source c'est chromium et d'autres navigateurs quasiment identiques existent sans tout les outils de traçages et d'espionnage qui sont natifs dans Chrome. Iron par exemple. Pensez également à vous munir d'un anti LSO, les LSO sont des genre de coockies contenus dans vos temp de flash où cachés ailleurs. Youtube en installe, et youtube c'est google maintenant. J'utilise donc X-iron portable avec le plugin Click&Clean.
Il est possible d'intégrer flash en portable en copiant les fichiers NPSWF32.dll et NPSWF64_11_1_102.dll (ou plus récent) dans le dossier BinIronplugins
Lorsqu'on copie-colle les onglets et l'histo suis, en copiant plusieurs navigateurs dans des dossiers différents on se fait des thèmes et des sessions différentes, ça garde les onglets, c'est super sympa.
Et c'est un chouilla plus rapide de Chrome... largement plus rapide que firefox ou Internet explorer... je l'utilise depuis 2007 sans soucis, les plantages sont rares, et en cas de plantages tout les onglets où on en était dans sont surf sont réccupérés.
Sans entrer dans le débat "Google is evil", le mécanisme P3P est en effet une daube immense et dépassée à l'heure actuelle. Microsoft profite d'une norme que personne n'utilise pour attaquer son concurrent, c'est tout ce que je vois dans ces accusations.

Je ne vois pas comment un processus automatisé (comme le P3P) peut de toute façon décider à la place de l'utilisateur de l'utilisation ou non des cookies pour un site donné. En plus de ça, dans 99% des cas ne va jamais toucher aux options de vie privée d'IE sans qu'on lui demande explicitement...
Naviguer sous chrome doit etre un régal ....Ya rien à contourner , tout doit etre prévu pour :)

Edit , Largement grilled par Jumbo , j'avais qu'à lire les comms :(
C'est quoi la différence être Chromium et Iron ?
Seeks
Quand aux cookie, ce sont de délicieux délices.
The cake is a lie.
A pardon, mauvais gâteau

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Dead Pixel Tester
Diagnostic - Repérer les pixels morts sur un écran
 
ImprimChèques
Finance - Imprimer ses chèques
 
CloneDVD
 
Panoweaver
Photo numérique - Créer des photos panoramiques
 
Infoscape
Lecteur RSS - Vos flux RSS en pop-up sur votre bureau
 
Février 2012
 
Lu Ma Me Je Ve Sa Di
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 1 2 3 4
5 6 7 8 9 10 11
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC