Journal d'investigation en ligne et d'information‑hacking
par aeris, Antoine Champagne - kitetoa

Les trackers de Libé se cachent pour (ne pas) mourir

Encore un effort...

Reflets pensait naïvement que Libé avait "oublié" quelques trackers dans son grand ménage. En fait, c'est visiblement un peu plus compliqué que cela...

Le tweet annonçant la fin des trackers sur Libé - Copie d'écran

Après l'annonce tonitruante de Libération, la mise en route d'un journal en ligne sans trackers publicitaires a été laborieuse. Annoncée pour le 29 octobre, elle n'a été en apparence à peu près effective que le 5 novembre. Mais même après une sorte de nettoyage des dizaines de trackers qui permettent au site de Libération de monétiser son lectorat, au détriment de la vie privée, il restait de manière très visible 4 trackers. Jusqu'à ce que l'on découvre, surprise, qu'en fait, tout avait été caché sous le cyber-tapis.

L'annonce officielle... - Copie d'écran
L'annonce officielle... - Copie d'écran

Après le 5 novembre, donc, il restait :

  • Tagcommander.com
  • Facebook.com
  • Acpm.fr
  • Twitter.com
  • Cloudfront/Sharefacts
  • Chartbeat.com

Chartbeat - Copie d'écran
Chartbeat - Copie d'écran

Voilà pour le très visible. Evidemment, avec le mauvais esprit qui nous caractérise, nous avions interrogé régulièrement CheckNews sur cette dichotomie entre le discours marketing digne d'une startup devant la BPI et la réalité. Pourquoi ennuyer CheckNews avec ça ? Parce que le service de factchecking de Libé s'était saisi d'une question qui lui avait été posée : «Libé» est-il le premier média à supprimer ses trackers publicitaires pour ses abonnés ?

Déjà lors de la publication de cet article, nous avions, et nous n'étions pas les seuls, pointé que CheckNews avait bu les parole du patron sans trop se poser de questions puisque de nombreux journaux en ligne disposant d'un numéro de commission paritaire de type IPG, (c'est à dire "Presse d'information politique et générale", comme Libé, sans doute), proposent depuis longtemps une navigation sans trackers publicitaires. Dans le cas de Reflets, cette navigation sans atteinte à la vie privée des lecteurs vaut pour les abonnés et les non-abonnés. Nos lecteurs ne sont pas une marchandise.

Il y a donc du mieux depuis le 5 novembre, même si Libé n'est pas encore un site de presse sans trackers publicitaire. Des informations sur les lecteurs, même abonnés, fuitent toujours vers chez Facebook et Twitter, chez Tagcommander (dont la "tagline" est "The realtime customer data platform"), Sharefacts. Enfin, il y a Chartbeat qui, visiblement, récolte des information sur les visiteurs pour fournir à ses clients (Libé dans le cas précis) des KPI (Key Performance Indicator).

Mais en y regardant de plus près, il y a peut-être eu une opération de masquage des trackers sous le cyber-tapis. Aeris a ainsi remarqué que l'un des scripts appelés lors de l'affichage d'une page provenait de f7ds.liberation.fr. Ce domaine masque au travers de plusieurs redirections (f7ds.liberation.fr → liberation.eulerian.net → atc.eulerian.net) une machine appartenant au groupe Eularian, se présentant comme créatrice « d’une technologie de collecte de data e-marketing, qui permet d’analyser en temps réel des milliards de données »

Eulerian - Copie d'écran
Eulerian - Copie d'écran

Ce masquage était a priori en préparation depuis plusieurs années, les premières traces d’émission de certificats TLS remontant à septembre 2017 et la mise-en-production datant de juin 2019.

Le problème de cette solution de masquage, annoncée comme inblocable par Eulerian (« Aucun blocage dans la collecte de données grâce à une délégation de domaine en 1st party »), est qu’elle fait aussi sauter le verrou des cookies intégré au navigateur qui empêche habituellement un cookie de session de voyager d’un domaine à un autre. Comme il s’agit du même domaine liberation.fr, votre cookie de session Liberation (si vous êtes abonné par exemple) fuite vers Eularian, qui peut le récupérer et ainsi éventuellement usurper votre compte Libération, accéder à votre profil d’abonné et ainsi obtenir vos coordonnées personnelles…

En termes de protection des données personnelles des abonnés, Libération a encore un peu de boulot.

Update du 8 novembre 2019 - 17h

Eulerian : #saypas du tracking publicitaire

Un utilisateur de Twitter nous a rapidement fait remarquer, après notre publication, que Eulerian ne fait pas du tracking publicitaire : "n'est pas une solution publicitaire mais une solution de mesure publicitaire". Ca change tout. Reste que Mind Media, expert dans le domaine, expliquait en 2018 qu'à l'approche du RGPD, "De nombreux éditeurs se sont ainsi dotés d'une DMP". Une DMP, est une Data Management Platform. En français : une plateforme de gestion des données.

Eulerian se présente de manière explicite sur son site. "Faites décoller vos performances marketing". "Centralisez un suivi quotidien de la performance marketing dans un outil unique et tiers de confiance et maîtrisez vos campagnes en agissant en temps réel grâce à des KPIs et des vues d’attribution accessibles. Gagnez en performance grâce à des analyses Top-down allant jusqu’au niveau le plus fin". "Appréhendez la complexité de votre parcours client. Identifiez si votre attribution et/ou l’allocation de vos budgets doivent évoluer afin de mieux valoriser les leviers créant réellement de la valeur". Voilà pour la "mesure publicitaire" . Pour la gestion des données collectées, Eulerian n'y va pas par quatre chemins. Avec eux, vous allez tout savoir sur vos visiteurs/clients : "Selon une récente étude Eulerian, grâce à une collecte 1st party, les clients Eulerian collectaient en moyenne 30% de données en plus que les autres tout en respectant les réglementations de protection des données utilisateurs. Parcours médias & devices, navigations, CRM, Datas 1st, 2nd et 3rd… Vous n’avez jamais disposé d’autant d’informations sur vos prospects et vos clients".

Dans tous les cas, Eulerian va traiter de la donnée personnelle. Le fait même que ce tiers ait sous la main les cookies de session des abonnés de Libération devrait faire sauter au plafond n'importe quel DPO. La gestion des données personnelles, est dans ce cas du tracking. Annoncer comme l'a fait Libé que les trackers publicitaires disparaissaient du site, c'est un peu exagéré quand on fournit des informations aussi sensibles à une DMP. Soit on ne transmet pas de données à l'extérieur du périmètre, soit on en transmet. Difficile de faire un peu des deux quand on annonce vouloir faire un site sans trackers...

Description des offres de Eulerian sur leur site - Copie d'écran
Description des offres de Eulerian sur leur site - Copie d'écran

9 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée