Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa, aeris, Jef

Libération : à traqueur vaillant, rien d'impossible

La fin des bloqueurs de pub ?

Notre plongée dans les méandres des trackers publicitaires de Libération nous a permis de faire des découvertes qui n'intéressent pas que les geeks. Il semble bien que les entreprises qui monétisent leurs visiteurs aient trouvé, avec l'aide de leurs DMPs (Data Management Platforms), un moyen de contourner le RGPD (assez grossièrement) et de leurrer les bloqueurs de pubs et autres trackers.

Notre plongée dans les méandres du premier journal de France à offrir une navigation sans trackers publicitaires à ses abonnés bordel que Libération a mis en place pour continuer à monétiser les données personnelles de ses lecteurs nous a permis de faire des découvertes intéressantes, qui n'intéressent pas que les geeks.

Souvenez-vous, dans notre dernier article, Aeris relevait que Libé a mis en place un lien fourre-tout pour les trackers. Lorsque l'on charge une page du site de Libé en étant abonné, l'un des scripts appelés provient de f7ds.liberation.fr. A priori, un nom de domaine propre sur lui, en tout cas pour un bloqueur de trackers. Celui-ci va en effet considérer qu'il s'agit d'un nom de domaine de Libération, c'est à dire, un site "de confiance" pour qui est en train de consulter liberation.fr. En tout cas pas marqué au fer rouge comme étant un diffuseur de pubs, un pompeur de données personnelles. Ce n'est ni Criteo, ni Facebook. Bref, le bloqueur de trackers va laisser le script se charger dans votre navigateur. Et pourtant, ce domaine masque, au travers de plusieurs redirections une machine de Eulerian, la Data Management Platforms du groupe Altis qui, elle, va collecter vos données personnelles. Et même plus, puisque cela va jusqu'au cookie de session.

Dis papa, c'est quoi cette redirection ? Pour nos lecteurs qui ne maitriseraient pas très bien le concept, voici ce que cache le terme redirection... Lorsque vous tapez www.reflets.info dans votre navigateur pour venir nous lire, aucune machine ne sait ce que c'est. Les machines comprennent les adresses IP (de type 210.234.21.45). Les humains ont donc vite mis en place un système leur permettant de se rappeler leur liste de sites préférés. Pour simplifier (on va se faire défoncer par Stéphane Bortzmeyer), les DNS, sont des petits guides Michelin sur le Web qui permettent aux machines de comprendre ce qu'on leur demande : www.liberation.fr = 163.171.140.179. Dans le même ordre d'idée, il est possible de faire en sorte que les DNS comprennent que liberation.com = liberation.fr. Ou, dans le cas qui nous intéresse, que f7ds.liberation.fr = atc.eulerian.net. Techniquement, il s'agit d'un enregistrement DNS de "nom canonique", ou "CNAME" en abrégé, qui permet de créer des alias entre différents noms de domaine. Ici, l'enregistrement CNAME f7ds.liberation.fr est un alias pour liberation.eulerian.net, lui-même alias de atc.eulerian.net.

Cette méthode un peu crade permet donc :

  • à Libé de continuer à envoyer des données personnelles de ses lecteurs abonnés à sa DMP sans que ce soit très visible, au nez et à la barbe des bloqueurs de pub et autres paramétrage de navigateur interdisant les cookies de tierce-parties (comme Eulerian) ;
  • à la DMP Eulerian de continuer à récolter des données personnelles, même si des bloqueurs de pub décidaient de la blacklister.

La collecte de données personnelles de la part de Libération en masquant la destination de ces données derrière un faux-nez est une pratique classique du groupe Altice. On retrouve cette façon de procéder sur tous les sites (BFMTV, L'Express, etc). Sur le site de Libé, où il ne devait plus y avoir de trackers, c'est d'autant plus malvenu, que Libé ne demande pas le consentement à ses lecteurs avant de faire fuiter leurs données personnelles vers Eulerian. Pas très RGPD compliant, mais qui s'en soucie ?

Accessoirement, ça pique un peu quand on sait que le patron de la rédaction se vante que Libé soit le premier site d'information sans traqueurs, ce qui n'avait pas manqué de provoquer une franche hilarité chez Reflets, NextInpact ou Les Jours qui ne se sont pas réveillés l'avant-veille pour respecter la vie privée de leurs lecteurs.

Eulerian donne quelques informations sur ce qui est collecté par ses clients et ce qui lui est transmis. La page consacrée à la "vie privée" (LOL) est explicite :

"Lorsqu’elles sont utilisées par nos clients, nos solutions logicielles reposent sur un cookie propriétaire des clients (cookie associé au nom de domaine du client) afin de collecter des informations concernant votre navigation sur les sites des clients, en particulier les informations suivantes : le terminal utilisé (ordinateur, mobile, tablette, etc.), le navigateur utilisé, les interactions avec des éléments publicitaires, le temps passé sur le site ou encore les actions effectuées, notamment les pages consultées, les produits visualisés, l’inscription à un service, la création d’un panier ou encore la soumission d’un formulaire d’inscription. Les données collectées par les cookies des clients sont transmises à Eulerian. Cette collecte est effectuée pour le compte des clients d’Eulerian et a pour objectif d’établir des rapports statistiques sur l’utilisation des services de nos clients, de personnaliser l’affichage de certaines pages de leur(s) site(s) ou encore d’analyser la diffusion des éléments publicitaires ciblés. (...) Dans certains cas, nos clients partagent avec nous l’identifiant CRM de leurs visiteurs afin de nous permettre de réconcilier, pour le compte de nos clients, les données générées par un même internaute sur différents terminaux, dans le but d’établir son comportement de navigation multi-terminal. (...) Eulerian est également susceptible d’être destinataire de données (y compris des données personnelles) collectées par des partenaires de nos clients et synchronisées, à la demande de nos clients, avec les données de nos clients aux fins d’analyse et d’établissement de rapports statistiques. (...) Information des internautes En qualité de sous-traitant, nous sommes liés contractuellement à nos clients et nous leur demandons de s’engager à informer les utilisateurs de leur(s) site(s) et/ou les utilisateurs des sites de leurs partenaires de l’existence du traitement effectué pour leur compte via les solutions logicielles d’Eulerian".

Cette démarche, qui semble coïncider avec l'entrée en vigueur du RGPD rend moins transparente la collecte de données personnelles. En outre, elle n'est visiblement pas que le fait d'Eulerian. Criteo, spécialiste du retargeting le fait via le nom de domaine dnsdelegation.io. Concernant Libération, la mise en place de l'alias f7ds.liberation.fr qui "masque" Eulerian a été mis en place le 19 septembre 2017, quelques mois avant l'entrée en vigueur du RGPD.

Copie d'écran de Passive Total - Alias masquant Eulerian - Reflets - CC BY SA 2.0
Copie d'écran de Passive Total - Alias masquant Eulerian - Reflets - CC BY SA 2.0

Gageons que la CNIL, qui a par ailleurs accordé un délai supplémentaire aux éditeurs de presse pour qu'ils se mettent conformité vis-à-vis du RGPD, ne mouftera pas. Et pendant ce temps-là, sur le blog d'Eulerian, l'entreprise explique très tranquillement que pour contourner les bloqueurs de trackers, il suffit d'utiliser sa petite astuce du masquage d'adresse.

La chute du billet qu'ils consacrent à ce sujet est épatante : "Sans pour autant lancer une révolution « anti-adblock », il serait peut-être temps d’y remédier, non ?"

8 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée