D’après des recherches menées par le navigateur blockchain Brave, son concurrent Google fournirait de manière détournée aux annonceurs des identifiants uniques permettant de pister les internautes.

Le RGPD, règlement européen de protection des données entré en vigueur en mai 2018, n’a toujours pas été digéré par les géants du numérique. Google a déjà fait l’objet d’enquêtes de la part de divers régulateurs nationaux pour mauvaise application du texte juridique. De nouvelles accusations viennent d’être portées auprès du régulateur irlandais, comme déclaré dans un billet de blog par Johnny Ryan, chief policy officer du navigateur Brave.

Avant de plonger dans les détails, il faut rappeler que Google n’est autre que le principal concurrent de Brave, un navigateur bloqueur de publicité qui se veut « respectueux de la vie privée ».

Authorized Buyers, qu’est-ce que c’est ?

La pomme de discorde se niche dans DoubleClick/Authorized Buyers, le système d’enchère en temps réel (real-time bidding, ou RTB) de Google. Lorsqu’un internaute se connecte sur l’un des 8,4 millions de sites équipés d’Authorized Buyers, une enchère de quelques millisecondes se produit entre les annonceurs pour déterminer quelle publicité sera affichée. Bien sûr, les annonceurs sont prêts à placer des enchères plus élevées s’ils connaissent le profil de l’internaute, vu qu’une publicité ciblée leur rapporterait plus d’argent.

Google fournit donc aux annonceurs clients d’Authorized Buyers un paquet de données personnelles permettant de catégoriser l’internaute qui visite le site à ce moment donné. Cela inclut des informations sur ses revenus, son orientation sexuelle ou politique, sa localisation, son activité ailleurs sur le Web… tout en restant suffisamment vague pour ne pas permettre d’identifier la personne. C’est ce à quoi Google s’engage ouvertement, du moins depuis la mise en place du RGPD le 25 mai 2018.

Car pour se mettre en conformité avec le règlement européen, Google avait arrêté de fournir à ses clients le DoubleClick ID, un identifiant avec lequel l’annonceur lui-même peut mesurer l’activité d’un internaute donné sur plusieurs plateformes. Ce que Brave affirme est que le géant de Mountain View a trouvé un moyen détourné de continuer à proposer des identifiants utilisateurs.

Les accusations de Brave

Le navigateur blockchain, rejoint par un certain nombre de groupes de défense de la vie privée, avait déjà porté plainte en septembre 2018 auprès de la DPC irlandaise concernant le système de RTB de Google. Cette fois-ci, Brave a consolidé ses inquiétudes grâce aux travaux du chercheur Zach Edwards, qui a analysé l’activité en ligne du chief policy officer Johnny Ryan.

Les recherches ont découvert des « Push Pages », des pages web toutes intitulées « cookie_push.html » et servies depuis le nom de domaine « pagead2.googlesyndication.com ». Celles-ci s’affichent comme vides dans un navigateur, mais contiennent bien un code source (TXT), vers la fin duquel est indiqué un code unique de presque deux mille caractères. Ce dernier servirait de marqueur pseudonyme associé à chaque profil d’internaute.

Des pages web apparemment vides, mais contenant un marqueur pseudonyme

« Toutes les entreprises que Google invite à accéder à une Push Page reçoit le même identifiant pour la personne profilée. Cet identifiant “google_push” les permet de croiser leurs profils de la personne, et ensuite de s’échanger des données de profilage les unes avec les autres ». De quoi répliquer approximativement les propriétés du DoubleClick ID.

Le géant californien décrit un système apparenté sur une page de son site pour développeurs, sous le nom de Cookie Matching Service, mais se défend des utilisations que lui impute Brave. « Un cookie_push n’est pas un ID et n’est pas un identifiant », déclare un porte-parole de la firme à The Register« C’est un paramètre pour mesurer la latence de bout en bout […] Nous ne servons pas de publicités personnalisées ou envoyons des requêtes d’enchères aux enchérisseurs sans le consentement de l’utilisateur ».