Vie privée : Microsoft et Google se disputent pour des cookies

La réponse, on vous la donne en mille : oui. Selon Dean Hachamovitch, Google détourne bien les paramètres de confidentialité d’Internet Explorer pour mieux traquer ses utilisateurs. Mais pas du tout de la même façon que dans Safari. Le vice-président pointe du doigt le non-respect par Google d’un standard méconnu des internautes, le P3P (Platform for Privacy Preferences Project), défini il y a dix ans par le W3C pour permettre aux sites Web de déclarer ce qu’ils vont faire des informations personnelles qu’ils récoltent sur les internautes et des cookies qu’ils installent.

Or « par défaut, IE bloque les cookies de sites tiers, à moins qu'ils ne présentent des règles P3P indiquant comment ils vont utiliser le cookie et que le pistage de l’utilisateur n'est pas prévu », indique D. Hachamovitch. Mais « les règles P3P de Google forcent Internet Explorer à accepter ses cookies même si elles n’indiquent pas l'intention du géant du Web », poursuit-il.

Pour comprendre, il faut se pencher sur le fonctionnement de ce standard complexe, qui s'appuie sur une grammaire bien précise, que ne respecte pas Google. Ce dernier estime en effet que sa règle P3P (capture ci-dessous) n’en n’est pas une… Il l'indique même noir sur blanc : « Ce n’est pas une règle P3P » !

Or, et c’est un des gros défauts du P3P, si la déclaration n’est pas correctement remplie, les cookies sont installés tout de même. IE, en décryptant le message mal conçu de Google, laisse donc la porte ouverte au pistage de ses utilisateurs. « Les navigateurs compatibles P3P interprètent la règle P3P de Google comme indiquant que le cookie ne sera pas utilisé pour du pistage. En envoyant ce texte, Google outrepasse la protection contre les cookies et permet leur installation », détaille D. Hachamovitch.

Pour parer à ce problème, Microsoft propose donc aux utilisateurs d’IE 9 une solution radicale sous la forme d'un add-on : ajouter une liste de protection contre le tracking, qui va définitivement bloquer les cookies de Google et l’empêcher de pister les internautes.

Google a réagi aux accusations de Microsoft par une réponse envoyée à certains bloggeurs et journalistes américains, comme MG Siegler de Techcrunch. Cette missive, malgré un ton diplomatique, est une contre-attaque cinglante contre le post de D. Hachamovitch, contre Microsoft… et contre le P3P.  

Il faut dire que Google a le Web avec lui. D’abord parce que, le P3P n’est supporté, parmi les navigateurs dominants, que par Internet Explorer. Mozilla, Apple ou Google ont préféré d’autres techniques de blocage de cookies. « Microsoft utilise un protocole “d’auto-déclaration” (connu sous le nom de P3P) qui date de 2002 et grâce auquel la firme de Redmond demande aux sites Web de présenter leurs pratiques en matière de confidentialité selon une forme compréhensible par une machine. Il est bien connu – y compris par Microsoft – qu’il est irréalisable de se conformer à ses requêtes tout en fournissant des fonctions Web modernes », indique Rachel Whetstone, vice-présidente au sein de Google. D’après elle, le P3P est notamment incompatible avec les boutons « j’aime » de Facebook, par exemple, ou le nouveau « +1 » de Google.

Elle enfonce ensuite le clou en accusant Internet Explorer d’être en retard technologiquement : « Les navigateurs comme Chrome, Firefox et Safari ont des réglages de sécurité plus simples. Plutôt que de vérifier les règles de vie privée d’un site, ces navigateurs laissent les gens choisir de bloquer tous les cookies, de bloquer seulement les cookies de tiers ou de les autoriser tous. »

Rachel Whetstone revient enfin sur l’échec de la technologie P3P. Une idée qui n’a jamais vraiment décollé. D’après les statistiques de TRUSTe qu’elle rapporte, seuls 12 % des 3 000 sites vérifiés par cette entreprise disposeraient d’entêtes P3P valides. Elle pointe même sur une étude [PDF] de l’université Carnegie-Mellon, qui en 2010 a montré que la plupart des sites Web les plus fréquentés au monde ne respectaient pas ce protocole : Google, mais aussi Amazon ou Facebook, voire certains sites de la galaxie Microsoft, comme live.com ou msn.com !

Alors, ringard, le P3P ? Pas sûr que Microsoft l’entende de cette oreille. Il n’en demeure pas moins que Google – comme d’autres – profitent bien d’une faille dans ce protocole recommandé par le W3C pour mieux vous pister !