Publié par Guillaume Champeau, le Mardi 21 Février 2012

Comment Google contourne aussi IE pour placer ses cookies

Pour garder trace des actions de ses utilisateurs, notamment sur les sites qui proposent son bouton +1, Google contourne le système de contrôle des cookies implémenté dans Internet Explorer selon les recommandations du W3C.

Google a décidé de ne respecter que sa propre loi. Hier, nous rapportions que la firme de Mountain View faisait partie de plusieurs régies publicitaires qui contournent le système Do Not Track du navigateur Safari pour imposer ses cookies de traçage, même quand l'internaute les refuse. Voyant cela, l'équipe de développement d'Internet Explorer a voulu vérifier si Google respectait les mécanismes similaires mis en place dans le navigateur de Microsoft, comme le raconte Dean Hachamovitch, le vice-président en charge d'IE.

Or là encore, Google n'en fait qu'à sa tête. Microsoft explique que par défaut, IE bloque les cookies qui ne sont pas envoyés par le site visité (les "cookies tiers"), sauf s'ils sont accompagnés d'une notice au standard P3P. Celle-ci doit indiquer au navigateur les raisons pour lesquelles le cookie est envoyé au navigateur, pour que l'explication puisse être affichée à l'internaute qui l'accepte ou le refuse (soit explicitement, soit implicitement via les réglages du navigateur). La politique de vie privée de l'émetteur du cookie est ainsi codée avec une multitude de déclarations type, référencées dans le standard. Mais "la politique P3P de Google fait qu'Internet Explorer accepte les cookies de Google alors-même que la politique ne fait pas état des intentions de Google", écrit Hachamotich.

"Techniquement, Google utilise une nuance des spécifications P3P qui a pour effet de contourner les préférences de l'utilisateur sur les cookies", explique Microsoft. Plutôt que d'envoyer une politique de vie privée codée selon le standard fixé en 2002 par le W3C, Google envoie un message avec un code détourné de son usage originel. Selon les spécifications du W3C, qui ne font plus l'objet d'évolutions depuis 2008, le navigateur confronté à ce type de code doit laisser passer le cookie. Au passage, Google écrit dans son code P3P un message qui contient une URL où il explique que Google ne veut pas respecter le P3P :

"Dans certains cas, les cookies utilisés pour protéger et authentifier votre compte Google et stocker vos préférences peuvent être diffusés à partir d'un domaine différent de celui du site Web que vous êtes en train de visiter. Par exemple, si vous visites des sites avec des boutons Google +1 ou si vous vous connectez à un gadget Google sur iGoogle, votre navigateur peut traiter ces cookies en tant que cookie tiers (même si vous êtes toujours sur un site Web).

Certains navigateurs requièrent des cookies tiers pour utiliser le protocole P3P définissant les pratiques en matière de confidentialité. Cependant, le protocole P3P n'a pas été conçu pour ces situations. Par conséquent, nous avons inséré un lien dans nos cookies afin de diriger les utilisateurs vers une page comportant des informations supplémentaires sur les pratiques en matière de confidentialité associées à ces cookies"

Dans son billet, Dean Hachamotivz propose un lien javascript qui permet d'ajouter les cookies de Google à une liste de cookies automatiquement bloqués quelle que soit la déclaration P3P.

Rappelons que Google, qui ne respecte pas le standard P3P recommandé par le W3C, a choisi de ne pas respecter non plus le standard Do Not Track, préférant sa propre solution Keep My Opt-outs.

Le moteur de recherche a par ailleurs répondu à Microsoft, en l'accusant d'une certaine mauvaise foi. "Il est reconnu - y compris par Microsoft - qu'il n'est pas réaliste de se conformer avec la requête (P3P) de Microsoft tout en proposant des fonctionnalités Web modernes (...) Aujourd'hui, la politique de Microsoft est largement non-opérationnelle (...) Un rapport de recherche de 2010 indiquait que 11.000 sites ne publiaient pas de politiques P3P valides comme demandées par Microsoft", indique Rachel Whetstone, vice-présidente de la communication de Google, citée par ZDnet. Live.com et MSN.com, édités par Microsoft, feraient partie de ces sites.

Publié par Guillaume Champeau, le 21 Février 2012 à 12h18
 
22
Commentaires à propos de «Comment Google contourne aussi IE pour placer ses cookies»
Inscrit le 21/02/2006
4179 messages publiés
chouette donc google peut quand meme nous surveiller... bon demain on aura firefox dans la liste des navigateur qui ce font refaire le fion par les cookies de google
Inscrit le 23/02/2011
430 messages publiés
Facebook fait la même chose. Mais pour Numerama, seul Google a décidé de ne respecter que sa propre loi.
Inscrit le 10/07/2009
223 messages publiés
C'est pour ca que j'ouvre Gmail et Facebook sur un navigateur à part, uniquement dédié à ces deux sites dont on sait effectivement qu'ils sont bien trop curieux.
Inscrit le 03/10/2011
5194 messages publiés
Ben, c'est bien, finalement, on comprend que le blocage des "cookies tiers" est encore une fumisterie réalisée pour faire croire qu'on est protégé, alors que de base le système est prévu pour être contourné (c'est fermé, mais, si le loup montre patte blanche, il peut rentrer dans la bergerie, il n'a pas besoin de demander au berger).
Inscrit le 10/03/2010
31 messages publiés
Je comprends mieux pourquoi mon Firefox a parfois du mal à détruire tous les cookies de session, notamment ceux de Facebook ou Google, malgré 1) mon rejet des cookies tiers et 2) ma suppression de *tous* les cookies à la fermeture du navigateur.
Inscrit le 10/07/2008
2615 messages publiés
P3P, Do Not Track, tout ça c'est des machins qui retirent la décision des mains de l'utilisateur (faites nous confiaaaaance) pour mieux l'empapaouter.
[message édité par /dev/tty le 21/02/2012 à 12:59 ]
Inscrit le 15/04/2010
829 messages publiés
Mais ... QU'EST-CE QU'ON S'EN BALANCE !!!!
Il y a d'autres moteurs de recherche que Google ... non ?
Perso, Google Search j'ai oublié depuis longtemps.
Je me sers de DuckDuckGo et Seeks Search.
Inscrit le 16/08/2010
1280 messages publiés
Et dire que certains utilisent chrome en pensant être bien protégés
Inscrit le 03/10/2011
5194 messages publiés
viviane001, le 21/02/2012 - 12:55
Mais ... QU'EST-CE QU'ON S'EN BALANCE !!!!
Il y a d'autres moteurs de recherche que Google ... non ?
Perso, Google Search j'ai oublié depuis longtemps.
Je me sers de DuckDuckGo et Seeks Search.
Toi, t'as rien compris, on parle des cookies G+1, google-analytics, ... qui se retrouvent sur beaucoup de sites via les services gratuits de google, pas ceux de google quand tu es sur google.
Inscrit le 10/07/2008
2615 messages publiés
On s'en balance pas vraiment parceque si Google peut le faire, tout le monde peut le faire. Il s'agit de défauts fondamentaux du web. Ne sachant plus ce qu'il magouille dans ton dos, tu ne peux plus lui faire confiance.
Inscrit le 27/05/2009
415 messages publiés
Pour info, la politique de sécurité des cookies est jugée "dépassée" par Google : http://www.lemondein...r-ie-47866.html

Comme disait Coluche : "quand on voit ce qu'on voit et qu'on entend ce qu'on entend, on a raison de pensez ce qu'on pense".

Je leur proposerais bien un nouveau slogan : "Don't be evil ... such like us!"
Inscrit le 21/09/2008
29 messages publiés
Je vous conseille d'installer un bon firewall et de regarder un peu les url qui restent connectées à google après une recherche sur google. Avec Firefox j'en avais 5 toutes connectée à des IP possédées par google qui envoyaient de paquets à chacuns de mes click où presque...
Inscrit le 21/09/2008
29 messages publiés
Pour chrome, c'est simple il n'y a aucunes raisons de l'utiliser. Sa base de programmation open source c'est chromium et d'autres navigateurs quasiment identiques existent sans tout les outils de traçages et d'espionnage qui sont natifs dans Chrome. Iron par exemple. Pensez également à vous munir d'un anti LSO, les LSO sont des genre de coockies contenus dans vos temp de flash où cachés ailleurs. Youtube en installe, et youtube c'est google maintenant. J'utilise donc X-iron portable avec le plugin Click&Clean.
Il est possible d'intégrer flash en portable en copiant les fichiers NPSWF32.dll et NPSWF64_11_1_102.dll (ou plus récent) dans le dossier BinIronplugins
Lorsqu'on copie-colle les onglets et l'histo suis, en copiant plusieurs navigateurs dans des dossiers différents on se fait des thèmes et des sessions différentes, ça garde les onglets, c'est super sympa.
Inscrit le 21/09/2008
29 messages publiés
Et c'est un chouilla plus rapide de Chrome... largement plus rapide que firefox ou Internet explorer... je l'utilise depuis 2007 sans soucis, les plantages sont rares, et en cas de plantages tout les onglets où on en était dans sont surf sont réccupérés.
Inscrit le 26/10/2010
39 messages publiés
Sans entrer dans le débat "Google is evil", le mécanisme P3P est en effet une daube immense et dépassée à l'heure actuelle. Microsoft profite d'une norme que personne n'utilise pour attaquer son concurrent, c'est tout ce que je vois dans ces accusations.

Je ne vois pas comment un processus automatisé (comme le P3P) peut de toute façon décider à la place de l'utilisateur de l'utilisation ou non des cookies pour un site donné. En plus de ça, dans 99% des cas ne va jamais toucher aux options de vie privée d'IE sans qu'on lui demande explicitement...
Inscrit le 05/10/2011
2609 messages publiés
Inscrit le 11/03/2009
3532 messages publiés
Naviguer sous chrome doit etre un régal ....Ya rien à contourner , tout doit etre prévu pour

Edit , Largement grilled par Jumbo , j'avais qu'à lire les comms
[message édité par speed le 21/02/2012 à 15:15 ]
Inscrit le 23/11/2011
161 messages publiés
C'est quoi la différence être Chromium et Iron ?
Inscrit le 28/05/2009
1276 messages publiés
Seeks
Quand aux cookie, ce sont de délicieux délices.
Inscrit le 29/04/2010
391 messages publiés
The cake is a lie.
A pardon, mauvais gâteau
Inscrit le 29/07/2011
14 messages publiés
Une fois de plus, Opera n'est pas exposé à ce genre de tracking (quand on active l'option de refuser les cookies tiers).

Cette faille était par ailleurs prévisible pour IE, Chrome(ium) et Safari.
Explications ici : http://grack.com/blo...ge-and-privacy/

PS: Firefox n'était pas concerné si la même option qu'Opera était activée, cependant elle semble ne plus exister dans la(ou les) dernière(s) version(s).

Déja pour l'histoire des certificats, tous les navigateurs étaient concerné sauf Opera.
Explications ici : http://my.opera.com/...es-are-hacked-2
Inscrit le 03/10/2011
5194 messages publiés
earth01, le 22/02/2012 - 11:48
Une fois de plus, Opera n'est pas exposé à ce genre de tracking (quand on active l'option de refuser les cookies tiers).

Cette faille était par ailleurs prévisible pour IE, Chrome(ium) et Safari.
Explications ici : http://grack.com/blo...ge-and-privacy/

PS: Firefox n'était pas concerné si la même option qu'Opera était activée, cependant elle semble ne plus exister dans la(ou les) dernière(s) version(s).

Déja pour l'histoire des certificats, tous les navigateurs étaient concerné sauf Opera.
Explications ici : http://my.opera.com/...es-are-hacked-2

Eh bien, merci pour ces infos !
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Février 2012
 
Lu Ma Me Je Ve Sa Di
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 1 2 3 4
5 6 7 8 9 10 11