Le FLoC de Google est une idée terrible, affirme l'EFF,

La nouvelle méthode de pistage visant à remplacer les cookies tiers créerait de nouveaux risques pour la vie privée

Au fil des ans, les cookies tiers sont devenus le moteur principal du commerce publicitaire numérique, mais les préoccupations croissantes concernant les atteintes à la vie privée ont conduit les principaux fournisseurs de navigateurs, tels qu'Apple, Mozilla, Brave et Microsoft, à introduire des contre-mesures pour mettre fin à la technologie de suivi invasive. Ce qui a obligé Google à réagir en proposant des solutions similaires de protection de la vie privée, sous peine de perdre la confiance de ses clients. L’une des propositions est le FLoC (Apprentissage fédéré des cohortes).

Le géant de la recherche – dans une tentative d'équilibrer son double rôle de développeur de navigateur Web et de propriétaire de la plus grande plateforme publicitaire du monde – a annoncé au début de l'année dernière son intention d'éliminer les cookies tiers dans Chrome au profit d'un nouveau cadre appelé "Privacy Sandbox", qui vise à protéger l'anonymat tout en diffusant des publicités ciblées sans avoir recours à des techniques plus opaques comme les empreintes informatiques.


À cet effet, Google a proposé un ensemble de méthodes de ciblage et de mesure des annonces publicitaires, en constante évolution, visant à supplanter les cookies tiers, dont les principaux sont le FLoC et le TURTLEDOVE, dont il espère qu'ils feront émerger les normes de diffusion des annonces sur le Web.

Le FLoC vise essentiellement à classer les utilisateurs en ligne en groupes basés sur des comportements de navigation similaires, le navigateur de chaque utilisateur partageant ce que l'on appelle un "identifiant de cohorte" avec les sites Web et les spécialistes du marketing, qui peuvent alors cibler les utilisateurs avec des publicités basées sur les groupes auxquels ils appartiennent. Si cela n’est pas assez clair, pensez à ceci : votre "FLoC ID" sera comme un résumé succinct de votre activité récente sur le Web, qui sera partagé afin que vous receviez des publicités.

En d'autres termes, les données recueillies localement à partir du navigateur ne sont jamais partagées et ne quittent jamais l'appareil. En utilisant cette approche publicitaire basée sur les intérêts, l'idée est de cacher les utilisateurs "dans la foule", ce qui permet de garder privé l'historique de navigation d'une personne et offre des protections contre le suivi et le profilage individualisés.

Signifiant un changement majeur dans son modèle commercial axé sur les annonces, Google a déclaré mercredi sans équivoque qu'il ne construirait pas d'autres identificateurs ou outils pour suivre les utilisateurs sur plusieurs sites Web une fois qu'il commencera à éliminer progressivement les cookies de suivi tiers de son navigateur Chrome d'ici le début de 2022.

« Nos produits Web seront plutôt alimentés par des API préservant la vie privée qui empêchent le suivi individuel tout en fournissant des résultats aux annonceurs et aux éditeurs », a déclaré David Temkin, directeur de la gestion des produits de Google pour la confidentialité et la confiance dans les annonces. « Les progrès réalisés en matière d'agrégation, d'anonymisation, de traitement sur les appareils et d'autres technologies de protection de la vie privée ouvrent la voie au remplacement des identifiants individuels ».

La preuve de concept de Google a utilisé les domaines des sites que chaque utilisateur a visités comme base pour regrouper les gens. Il a ensuite utilisé un algorithme appelé SimHash pour créer les groupes. SimHash peut être calculé localement sur la machine de chaque utilisateur, il n'est donc pas nécessaire d'avoir un serveur central pour collecter les données comportementales. Cependant, un administrateur central pourrait jouer un rôle dans l'application des garanties de confidentialité.

Afin d'éviter qu'une cohorte ne soit trop petite (c'est-à-dire trop identifiante), Google propose qu'un acteur central puisse compter le nombre d'utilisateurs affectés à chaque cohorte. Si certaines sont trop petites, elles peuvent être combinées avec d'autres cohortes similaires jusqu'à ce qu'un nombre suffisant d'utilisateurs soit représenté dans chacune d'entre elles. Pour que le FLoC soit utile aux annonceurs, la cohorte d'un utilisateur révélera nécessairement des informations sur son comportement, d’après un document nommé "Évaluation des algorithmes de cohorte pour l'API Floc" publié sur GitHub.

Google va tester publiquement des cohortes basées sur FLoC dans le courant de ce mois, en commençant par Chrome 89, avant de prolonger les essais avec les annonceurs dans Google Ads au cours du deuxième trimestre.

Préoccupations liées à la méthode de ciblage FLoC, selon l’EFF

Si ces plans de préservation de la vie privée permettent de réduire la transmission de données personnelles à des tiers, des questions sont soulevées quant à la manière dont les utilisateurs seront regroupés et quant aux garde-fous mis en place pour éviter toute discrimination illégale à l'encontre de certains groupes sur la base d'attributs sensibles tels que l'appartenance ethnique, la religion, le sexe ou l'orientation sexuelle.

Soulignant, dans un article publié mercredi, que la nouvelle proposition implique le partage de nouvelles informations avec les annonceurs, l'Electronic Frontier Foundation (EFF) a assimilé le FLoC à un « score de crédit comportemental », le qualifiant de « terrible idée » qui crée de nouveaux risques pour la vie privée.

« Le FLoC est censé être un nouveau moyen de faire en sorte que votre navigateur fasse le profilage que les traqueurs tiers faisaient eux-mêmes : dans ce cas, il s'agit de réduire votre activité de navigation récente en un label comportemental, puis de le partager avec les sites Web et les annonceurs. Cette technologie permettra d'éviter les risques d'atteinte à la vie privée liés aux cookies tiers, mais elle en créera de nouveaux au cours du processus. Elle peut également exacerber bon nombre des pires problèmes de non-respect de la vie privée liés aux publicités comportementales, notamment la discrimination et le ciblage prédateur », a déclaré l’EFF.

L'argumentaire de Google à l'intention des défenseurs de la vie privée est qu'un monde avec le FLoC (et d'autres éléments du "privacy sandbox" sera meilleur que le monde que nous avons aujourd'hui, où les courtiers en données et les géants de la publicité suivent et profilent en toute impunité. Mais ce cadrage, selon l’EFF, est basé sur une fausse prémisse selon laquelle nous devons choisir entre "l'ancien suivi" et le "nouveau suivi". Ce n'est pas l'un ou l'autre. Au lieu de réinventer la roue du tracking, nous devrions imaginer un monde meilleur sans les innombrables problèmes liés aux publicités ciblées, a écrit l’organisation.



Les préoccupations relatives à l’empreinte informatique d’un navigateur

Selon l’EFF, la première limite du FLoC est celle liée au traitement réservé aux empreintes informatiques des navigateurs. La prise d'empreinte informatique d'un navigateur est une pratique qui consiste à recueillir de nombreuses informations discrètes sur le navigateur d'un utilisateur afin de créer un identifiant unique et stable pour ce navigateur.

« Google a promis que la grande majorité des cohortes FLoC comprendra des milliers d'utilisateurs chacune, donc un identifiant de cohorte seul ne devrait pas vous distinguer de quelques milliers d'autres personnes comme vous. Toutefois, cela donne aux "fingerprinters" une avance considérable. Si un tracker démarre avec votre cohorte FLoC, il n'a qu'à distinguer votre navigateur de quelques milliers d'autres (plutôt que quelques centaines de millions) », lit-on.

« En termes de théorie de l'information, les cohortes FLoC contiendront plusieurs bits d'entropie – jusqu'à 8 bits, dans le cadre du test de preuve de concept de Google. Cette information est d'autant plus puissante qu'il est peu probable qu'elle soit corrélée avec d'autres informations que le navigateur expose. Il sera ainsi beaucoup plus facile pour les traqueurs d'établir une empreinte informatique unique pour les utilisateurs de FLoC ».

Selon l’EFF, il est notoirement difficile d'arrêter la prise d’empreintes informatiques. Des navigateurs comme Safari et Tor se sont engagés dans une guerre d'usure contre les traqueurs, sacrifiant une grande partie de leurs propres fonctionnalités afin de réduire les surfaces d'attaque des empreintes informatiques.

Les préoccupations relatives à l’exposition croisée

L’EFF cite un passage de la page GitHub du projet FLoC qui dit :

Cette API démocratise l'accès à certaines informations sur l'historique général de navigation d'un individu (et donc, sur les intérêts généraux) à tout site qui y adhère. ... Les sites qui connaissent les PII d'une personne (par exemple, lorsque les gens se connectent en utilisant leur adresse électronique) pourraient enregistrer et révéler leur cohorte. Cela signifie que des informations sur les intérêts d'une personne peuvent éventuellement devenir publiques.

Comme décrit ci-dessus, les cohortes FLoC ne devraient pas fonctionner comme des identificateurs à elles seules. Cependant, toute entreprise capable d'identifier un utilisateur d'une autre manière, par exemple en offrant des services de "log in with Google" à des sites sur Internet, pourra relier les informations qu'elle obtient du FLoC au profil de l'utilisateur, a déduit l’EFF.

« Cela signifie que chaque site que vous visitez aura une bonne idée du type de personne avec laquelle vous êtes en contact pour la première fois, sans avoir à faire le travail de vous suivre sur le Web. De plus, comme votre cohorte FLoC s'actualisera au fil du temps, les sites qui peuvent vous identifier d'autres manières pourront également suivre l'évolution de votre navigation. N'oubliez pas qu'une cohorte FLoC n'est ni plus ni moins qu'un résumé de votre activité de navigation récente », a indiqué l’EFF.

« Si vous visitez un site pour des informations médicales, vous pouvez lui confier des informations sur votre santé, mais il n'y a aucune raison qu'il ait besoin de connaître vos opinions politiques », a déclaré de l'EFF. « De même, si vous visitez un site de vente au détail, il ne devrait pas avoir besoin de savoir si vous avez récemment pris connaissance d'un traitement contre la dépression. Le FLoC érode cette séparation des contextes, et présente au contraire le même résumé comportemental à toutes les personnes avec lesquelles vous interagissez ».

Au-delà des problèmes de la vie privée

« Le pouvoir de cibler est le pouvoir de discriminer », d’apr...