Pour garder trace des actions de ses utilisateurs, notamment sur les sites qui proposent son bouton +1, Google contourne le système de contrôle des cookies implémenté dans Internet Explorer selon les recommandations du W3C.

Google a décidé de ne respecter que sa propre loi. Hier, nous rapportions que la firme de Mountain View faisait partie de plusieurs régies publicitaires qui contournent le système Do Not Track du navigateur Safari pour imposer ses cookies de traçage, même quand l’internaute les refuse. Voyant cela, l’équipe de développement d’Internet Explorer a voulu vérifier si Google respectait les mécanismes similaires mis en place dans le navigateur de Microsoft, comme le raconte Dean Hachamovitch, le vice-président en charge d’IE.

Or là encore, Google n’en fait qu’à sa tête. Microsoft explique que par défaut, IE bloque les cookies qui ne sont pas envoyés par le site visité (les « cookies tiers »), sauf s’ils sont accompagnés d’une notice au standard P3P. Celle-ci doit indiquer au navigateur les raisons pour lesquelles le cookie est envoyé au navigateur, pour que l’explication puisse être affichée à l’internaute qui l’accepte ou le refuse (soit explicitement, soit implicitement via les réglages du navigateur). La politique de vie privée de l’émetteur du cookie est ainsi codée avec une multitude de déclarations type, référencées dans le standard. Mais « la politique P3P de Google fait qu’Internet Explorer accepte les cookies de Google alors-même que la politique ne fait pas état des intentions de Google« , écrit Hachamotich.

« Techniquement, Google utilise une nuance des spécifications P3P qui a pour effet de contourner les préférences de l’utilisateur sur les cookies« , explique Microsoft. Plutôt que d’envoyer une politique de vie privée codée selon le standard fixé en 2002 par le W3C, Google envoie un message avec un code détourné de son usage originel. Selon les spécifications du W3C, qui ne font plus l’objet d’évolutions depuis 2008, le navigateur confronté à ce type de code doit laisser passer le cookie. Au passage, Google écrit dans son code P3P un message qui contient une URL où il explique que Google ne veut pas respecter le P3P :

« Dans certains cas, les cookies utilisés pour protéger et authentifier votre compte Google et stocker vos préférences peuvent être diffusés à partir d’un domaine différent de celui du site Web que vous êtes en train de visiter. Par exemple, si vous visites des sites avec des boutons Google +1 ou si vous vous connectez à un gadget Google sur iGoogle, votre navigateur peut traiter ces cookies en tant que cookie tiers (même si vous êtes toujours sur un site Web).

Certains navigateurs requièrent des cookies tiers pour utiliser le protocole P3P définissant les pratiques en matière de confidentialité. Cependant, le protocole P3P n’a pas été conçu pour ces situations. Par conséquent, nous avons inséré un lien dans nos cookies afin de diriger les utilisateurs vers une page comportant des informations supplémentaires sur les pratiques en matière de confidentialité associées à ces cookies »

Dans son billet, Dean Hachamotivz propose un lien javascript qui permet d’ajouter les cookies de Google à une liste de cookies automatiquement bloqués quelle que soit la déclaration P3P.

Rappelons que Google, qui ne respecte pas le standard P3P recommandé par le W3C, a choisi de ne pas respecter non plus le standard Do Not Track, préférant sa propre solution Keep My Opt-outs.

Le moteur de recherche a par ailleurs répondu à Microsoft, en l’accusant d’une certaine mauvaise foi. « Il est reconnu – y compris par Microsoft – qu’il n’est pas réaliste de se conformer avec la requête (P3P) de Microsoft tout en proposant des fonctionnalités Web modernes (…) Aujourd’hui, la politique de Microsoft est largement non-opérationnelle (…) Un rapport de recherche de 2010 indiquait que 11.000 sites ne publiaient pas de politiques P3P valides comme demandées par Microsoft« , indique Rachel Whetstone, vice-présidente de la communication de Google, citée par ZDnet. Live.com et MSN.com, édités par Microsoft, feraient partie de ces sites.

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !