Les raccourcisseurs d'URL définiraient des cookies de suivi de publicités pour collecter des données de l'historique de navigation,

Selon Luke Miles, un ingénieur logiciel

Les raccourcisseurs d'URL définiraient des cookies de suivi de publicités pour collecter des données de l'historique de navigation,
selon Luke Miles, un ingénieur logiciel

Les raccourcisseurs d'URL (ou raccourcisseur de liens) sont un outil pratique de marketing ou simplement de partage de liens. Toutefois, dissimulent-ils parfois d'autres fonctionnalités ? Luke Miles, ingénieur logiciel indépendant, a déclaré dans un billet de blogue samedi avoir remarqué que les raccourcisseurs d'URL définissent des cookies de suivi des publicités. Voici ci-dessous quelques détails sur ce qu'il a dit.

Qu'est-ce qu'un raccourcisseur d'URL et quelles sont ses fonctions ?

Les raccourcisseurs d'URL sont des outils qui créent une URL relativement courte et unique qui redirigera vers le site Web spécifique de votre choix. En gros, ils rendent une URL plus courte et plus simple. Votre nouvelle URL plus courte comprendra généralement l'adresse du site raccourci et une combinaison de lettres aléatoires. Dans certains cas, vous pouvez même personnaliser cette mini URL avec une phrase personnalisée. Pour ce qui est de savoir quand les utiliser, notez qu'il existe plusieurs bonnes raisons de faire appel à un raccourcisseur d'URL dans le cadre du partage d'un lien.


Par exemple, les liens longs et difficiles à lire semblent très souvent suspects. En d'autres termes, une URL surdimensionnée aura l'air encombrante à peu près partout où vous l'utiliserez : dans les messages sociaux, partagés par texte, collés dans un e-mail, etc. Ainsi, il est recommandé de raccourcir l'URL dans le cas où vous feriez un lien vers une page spécifique enfouie dans votre site Web ou dans le cas où vous utiliseriez les paramètres UTM pour suivre vos visiteurs. Il existe de nombreux outils pour raccourcir les URL, notamment rebrandly.com, bit.ly, ow.ly, tinyurl.com, goo.gl, etc.

Alors, comment fonctionnent les raccourcisseurs d'URL ? Les raccourcisseurs d'URL fonctionnent en créant une redirection vers votre URL longue. La saisie d'une URL dans votre navigateur Internet envoie une requête HTTP au serveur Web pour qu'il trouve un site Web spécifique. Plus précisément, ces services fonctionnent en remplaçant votre URL par un nouveau domaine (par exemple, monsite.com peut devenir bit.ly) et le permalien est remplacé par une chaîne de chiffres et/ou de lettres (par exemple, monsite.com/mesmeilleursarticles peut devenir bit.ly/dp5fr7n).

L'URL longue et l'URL courte sont toutes deux des points de départ différents pour qu'un navigateur Internet atteigne la même destination. En dehors de ces fonctions, les raccourcisseurs d'URL se livrent-ils à d'autres manœuvres secrètes ?

Les raccourcisseurs d'URL définissent des cookies de suivi des publicités

Selon les explications de Miles, des membres de sa famille ont partagé avec lui un lien réduit à l'aide de tinyurl.com à Noël. Ce lien devait directement l'amener vers une discussion Zoom, mais lorsqu'il a cliqué sur le lien, sa barre d'URL a fait apparaître un domaine intermédiaire qui n'était ni Zoom ni TinyURL. Plus tard, il a utilisé cURL pour voir où cette URL allait vraiment. Pour rappel, cURL est une interface en ligne de commande, permettant de récupérer le contenu d'une ressource accessible par un réseau informatique. La ressource est désignée à l'aide d'une URL et doit être d'un type supporté par le logiciel.

cURL est utilisé dans les lignes de commande ou les scripts pour transférer des données. Cela dit, il est aussi utilisé dans les voitures, les téléviseurs, les routeurs, les imprimantes, les équipements audio, les téléphones mobiles, les tablettes, les décodeurs, les lecteurs multimédias et constitue la dorsale de transfert Internet pour des milliers d'applications logicielles. Il prend en charge les certificats SSL, HTTP POST, HTTP PUT, le téléchargement FTP, le téléchargement basé sur des formulaires HTTP, les proxies, HTTP/2, HTTP/3, les cookies, le tunneling par proxy et plus encore.

Miles a découvert que la redirection de tinyurl.com l'envoyait vers VigLink, une société de publicité (tracking) basée à San Francisco, aux États-Unis, spécialisée dans le marketing d'affiliation. Mais ce n'est pas tout ; il a également découvert que TinyURL a installé des cookies sur son ordinateur sans son consentement. « Bien sûr, la redirection n'était pas du tout propre. TinyURL m'a d'abord envoyé sur VigLink. Suivre la redirection dans cURL révèle un autre fait peu recommandable. VigLink place des cookies avant de m'envoyer à la destination prévue sur Zoom », a déclaré Miles dans son billet explicatif.


Il estime que ces cookies leur donnent la possibilité de le suivre sur tous les autres sites qui utilisent leur technologie publicitaire et de collecter ainsi des données liées à son historique de navigation. « Qui sait ce que VigLink fait de mes données, mais personnellement, je ne ferais pas confiance à une société de publicité pour garder pour elle mon historique de navigation », a-t-il déclaré. En outre, TinyURL ne lui a pas donné la possibilité de se soustraire de ce suivi, alors qu'il se situe actuellement en Europe où les fournisseurs de services numériques doivent laisser le choix aux internautes pour le suivi ou la collecte de données.

Par ailleurs, il a ajouté que la politique de confidentialité de TinyURL, mise à jour pour la dernière fois en 2012, ne mentionne ni le partage de données par des tiers ni les cookies qu'ils partagent avec leurs affiliés. Il poursuit en disant qu'il ne s'agit pas en effet d'un phénomène limité à TinyURL. Selon Miles, plusieurs raccourcisseurs d'URL plus courants, comme t.co (Twitter) et bit.ly, placent des cookies lorsque vous cliquez sur un lien. Bien que ni l'un ni l'autre ne vous redirige vers une société de publicité comme TinyURL, le modèle commercial principal de Twitter est la publicité.

Notons qu'en 2018, l'UE avait ouvert une enquête sur Twitter après qu'il a refusé de fournir à un utilisateur les données collectées sur lui par l'intermédiaire de son raccourcisseur d'URL. Soupçonnant que t.co, que Twitter qualifie comme étant un outil qui permet de mesurer le nombre de visites sur un lien et d’empêcher efficacement la propagation de programmes malveillants par le biais de liens douteux, ne soit en fait qu’un moyen détourné pour collecter encore plus de données sur les utilisateurs, Michael Veale, chercheur en sécurité, a décidé d’exercer son droit garanti par le RGPD et de demander à ce que Twitter lui fournisse l’ensemble des données collectées sur lui.

Il avait déclaré que l’entreprise enregistre les heures exactes auxquelles les utilisateurs cliquent sur tel ou tel lien, des données relatives aux types d’appareils dont les utilisateurs se servent pour se connecter et des données approximatives liées à l’emplacement des utilisateurs au moment du clic. Selon lui, Twitter collecte beaucoup de données via ce service, mais l'on ne sait pas ce qu'il en fait.

Alors, faut-il continuer à utiliser les raccourcisseurs d'URL ?

Miles pense qu'il faut arrêter de les utiliser. Toutefois, si vous vous sentez obligé de faire recours à eux, il conseille d'ajouter à votre navigateur des extensions pouvant permettre de limiter le suivi ou la collecte de données par ces services. « N'utilisez pas de raccourcisseurs d'URL. Et si vous cliquez sur un lien d'un raccourci d'URL, je vous recommande d'utiliser des outils comme l'extension Firefox Temporary...