Google, leader mondial de la publicité en ligne et développeur du navigateur Web Chrome, a présenté le mois dernier un projet visant à protéger les internautes contre le pistage et le profilage. Appelée "IP Protection" (protection IP), cette fonctionnalité permettra à Chrome d'envoyer le trafic Web des utilisateurs via les serveurs proxy de Google, afin de contrecarrer le pistage et le profilage des entreprises de publicité. Cependant, l'initiative est fortement décriée, Google étant accusé de vouloir préserver son monopole sur le pistage et la publicité en ligne. Un groupe d'intérêt vient de porter plainte contre Google auprès du régulateur britannique de la concurrence.Comme vous le savez, les adresses IP permettent aux sites Web et aux plateformes en ligne de suivre l'historique de navigation des internautes, sans leur consentement éclairé, facilitant la création de profils d'utilisateurs persistants. Cela pose d'importants problèmes de protection de la vie privée, car, contrairement aux cookies tiers, les utilisateurs n'ont actuellement aucun moyen direct de se soustraire à ce suivi secret. Conscient du risque d'utilisation abusive des adresses IP à des fins de traçage clandestin, Google cherche à trouver un équilibre entre la protection de la vie privée des utilisateurs et les fonctionnalités essentielles du Web.
Venant d'une entreprise telle que Google, qui détient la plus grosse part du marché mondial de la publicité en ligne, cela peut paraître drôle. Cependant, l'entreprise a annoncé le mois dernier qu'elle s'apprête à tester une nouvelle fonction de protection IP pour le navigateur Chrome. Selon Google, cette fonctionnalité vise à améliorer la confidentialité des utilisateurs en masquant leur adresse IP à l'aide de serveurs proxy. Pour mémoire, si les adresses IP sont des vecteurs potentiels de traçage, elles sont également indispensables à des fonctions Web critiques telles que l'acheminement du trafic, la prévention de la fraude et d'autres tâches vitales du réseau.
La solution de protection IP répond à ce double rôle en acheminant le trafic de tiers provenant de domaines spécifiques par l'intermédiaire de proxys, rendant ainsi les adresses IP des utilisateurs invisibles pour ces domaines. Au fur et à mesure que l'écosystème évolue, la fonction de protection de l'adresse IP s'adapte pour continuer à protéger les utilisateurs contre le suivi intersite et pour ajouter d'autres domaines au trafic protégé par des proxys. Dans un premier temps, la protection IP sera une fonctionnalité facultative qui selon Google, garantira aux utilisateurs le contrôle de leur vie privée et permettra à l'entreprise de surveiller les tendances comportementales.
Cependant, le projet est contesté par de nombreux acteurs du Web, notamment "Movement for an Open Web" (MOW), un groupe qui défend les intérêts des entreprises spécialisées dans la publicité en ligne. Le groupe, qui a déjà fait pression contre l'initiative Privacy Sandbox de Google en affirmant qu'elle était préjudiciable aux entreprises concurrentes de publicité sur Internet, vient de déposer une nouvelle plainte auprès de l'autorité britannique de la concurrence et des marchés (Competition and Markets Authority - CMA) au sujet de la proposition de Google relative à la protection de l'adresse IP. Selon la plainte, l'initiative de Google vise à éjecter les rivaux du marché.
« Avoir son adresse IP cachée à tout le monde sauf à Google doit être merveilleux pour la vie privée. Rien que ça. Nous parlons quand même de l'une des entreprises les plus intrusives dans la vie privée des gens et qui surveillent pathologiquement tout ce que vous faites, à tout prix. Peu importe à quel point ils essaient de présenter leurs solutions comme étant au nom de la sécurité, cela me paraît inacceptable », note un critique. Un autre ajoute : « il est risible que quelqu'un prenne au sérieux une solution de protection de la vie privée proposée par Google. Une entreprise comme celle-ci ne peut tout simplement pas offrir un bonus gratuit d'anonymat véritable ».
On peut lire également : « étant donné qu'il s'agit de Google, vous pouvez être absolument certain que ce changement est conçu à 100 % pour le bénéfice de Google, à peine pour le bénéfice de l'utilisateur final et à 100 % au détriment de la concurrence. Ils n'ont pas besoin d'être de connivence avec qui que ce soit parce qu'ils ont mis en place un système qui leur permet de tout voir de toute façon. Chaque fonctionnalité introduite par Google est motivée par le désir de l'entreprise de posséder l'ensemble de l'Internet, dans le seul but de vous faire avaler des publicités. Un Internet sans Google serait infiniment meilleur pour tout le monde ».
MOW considère le projet comme une violation des engagements pris par Google auprès de la CMA, un ensemble de promesses faites par la société de publicité à la CMA pour obtenir l'approbation de son projet de remplacement des cookies de tiers par des technologies de type Privacy Sandbox. « La protection IP de Google signifie que les fournisseurs de services Internet n'auront plus accès aux données par le biais d'une adresse IP, tout en laissant à Google la possibilité de surveiller et de traiter les données à tout moment », indique une lettre du représentant juridique de MOW, Preiskel & Co LLP, basée à Londres, adressée à la CMA la semaine dernière.
L'autorité britannique de régulation des télécommunications, Ofcom, a également un exemplaire de la lettre. Le groupe ajoute : « cela rendra la fourniture de services de protection de l'enfance plus difficile pour les fournisseurs de services Internet ». Mais cet argument a été rejeté par les experts. Ces derniers s'indignent contre le fait que la nécessité de protéger les enfants soit devenue une justification courante des efforts répétés visant à affaiblir le chiffrement en Europe, au Royaume-Uni et aux États-Unis. Les critiques s'opposent à la protection IP de Chrome, mais dénoncent la tentative du MOW de relier le problème à la protection des enfants.
Les sociétés de publicité en ligne, tout comme les organismes chargés de l'application de la loi, craignent juste que les technologies de protection de la vie privée ne les laissent dans l'ignorance et sans les données lucratives dont ils dépendent. MOW a admis que l'inquiétude vient du fait que Google continuerait d'avoir accès aux données qu'il souhaite cacher à ses rivaux. En effet, la protection IP fera passer les connexions à Chrome par deux proxys. L'un sera géré par Google et l'autre par un fournisseur tiers comme Cloudflare. Le proxy de Google aura accès à l'adresse IP de l'utilisateur et le proxy tiers aura accès à la liste des sites Web visités par ces IP.
L'introduction de la protection IP se fera par étapes afin de tenir compte des spécificités régionales et d'assurer une courbe d'apprentissage. Dans un premier temps, seuls les domaines répertoriés seront affectés dans les contextes de tiers, ce qui permettra de cibler ceux qui sont perçus comme traçant les utilisateurs. Dans le cadre de la première phase, baptisée "phase 0", Google ne transmettra les demandes qu'à ses propres domaines au moyen d'un proxy propriétaire. Cela permettra à Google de tester l'infrastructure du système et de gagner du temps pour affiner la liste des domaines. Les rivaux de Google affirment que cela est totalement scandaleux.
« Si nous n'avons plus accès aux adresses IP granulaires, nous ne pourrons plus aider nos clients à économiser de l'argent. Cette situation entraînera une baisse des performances des campagnes et nous amènera sans aucun doute à arrêter un certain nombre d'entre elles, car elles ne seront plus rentables », a écrit un détracteur de la proposition de Google. Un autre note : « tout ce que je vois, c'est une tentative de Google de protéger son propre pistage en le cachant derrière sa protection anti-pistage. Je ne fais pas confiance à Google. Un conseil pour Google : avant de procéder à d'importants changements, il convient d'instaurer la confiance ».
Selon Google, pour commencer, seuls les utilisateurs connectés à Chrome et disposant d'une adresse IP basée aux États-Unis peuvent accéder à ces proxys. Un groupe sélectionné de clients sera automatiquement inclus dans ce test préliminaire, mais l'architecture et la conception subiront des modifications au fur et à mesure que les tests progresseront. Pour éviter toute utilisation abusive, un serveur d'authentification géré par Google distribuera des jetons d'accès au proxy, en fixant un quota pour chaque utilisateur. Dans les phases à venir, Google prévoit d'adopter un système de proxy à deux sauts afin d'améliorer encore la protection de la vie privée.
Étant donné que plusieurs services en ligne utilisent la géolocalisation pour déterminer l'emplacement d'un utilisateur, Google prévoit d'attribuer aux connexions proxy des adresses IP qui représentent l'emplacement approximatif d'un utilisateur plutôt que son emplacement spécifique. Toutefois, selon la lettre du MOW, la Protection IP proposée par Google rend la concurrence plus difficile pour les opérateurs de VPN, restreint l'accès aux données sur lesquelles s'appuient les systèmes publicitaires de Google et supprime des fonctionnalités sans apporter la preuve que cela est nécessaire. Bien évidemment, Google dément toutes ces allégations.
« Les critiques qui prétendent que notre proposition de protection IP favorise Google déforment sciemment les faits ou ne comprennent tout simplement pas ce qui est proposé. La fonction comprend un système de proxy à deux sauts, dont l'un est géré par un tiers. Cela signifie que Google, ainsi que le reste de l'industrie, ne sera pas en mesure de voir à la fois l'adresse IP du client et la destination de l'utilisateur », a déclaré un porte-parole de Google. Cela ne convainc toutefois pas les critiques, qui demandent l'abandon du projet.
Par ailleurs, Google explique que la nouvelle fonctionnalité de protection de l'adresse IP pose certains problèmes de cybersécurité. Le trafic passant par les serveurs de Google, les services de sécurité et de protection contre la fraude pourraient avoir du mal à bloquer les attaques DDoS ou à détecter le trafic non valide. Et si l'un des serveurs proxy de Google est compromis, l'acteur de la menace peut voir et manipuler le trafic qui y transite.
Pour pallier ce problème, Google envisage de demander aux utilisateurs de la fonctionnalité de s'authentifier auprès du proxy, d'empêcher les proxys de lier les requêtes Web à des comptes particuliers et d'introduire une limitation de débit pour prévenir les attaques DDoS.
Source : la proposition de Google visant à protéger l'adresse IP dans Chrome
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la proposition de Google visant à cacher l'adresse IP ? Cette fonctionnalité protège-t-elle réellement la vie privée des utilisateurs de Chrome ? Croyez-vous au fait que Google tente de protéger contre le pistage et le profilage en ligne ? Cette fonctionnalité est-elle controversée simplement parce qu'elle est proposée par Google ? Selon vous, la fonction de protection de l'adresse IP favorise-t-elle Google au détriment de ses rivaux ?Voir aussi
Google Chrome proposera bientôt de masquer votre adresse IP pour plus de confidentialité et de sécurité pour protéger la vie privée des utilisateurs, et pour la sécurité du web L'EFF exhorte les utilisateurs de Chrome à sortir du "Privacy Sandbox" de Google. Voici comment désactiver le suivi publicitaire dans "Privacy Sandbox", et pourquoi vous devriez le faire Android lance un nouveau moyen d'espionner les utilisateurs avec la version bêta de "Privacy Sandbox", la fonctionnalité améliore les capacités de Google à profiler les utilisateurs d'Android