Lundi, Microsoft a accusé Google de contourner les protections sur la vie privée de son navigateur Internet Explorer. Ces accusations font suite à celles portées la semaine dernière contre Google à propos du navigateur Safari d'Apple. Dans un blog, Dean Hachamovitch, vice-président Corporate pour Internet Explorer, a expliqué comment Google s'y prenait pour contourner les politiques de confidentialité du navigateur de Microsoft. Par défaut, IE bloque les cookies dits de tierce-partie, sauf si le site oppose au navigateur un P3P Compact Policy Statement qui expose la manière dont le site utilisera le cookie et s'engage à ne pas suivre la trace de l'utilisateur.
Le P3P (Platform for Privacy Preferences Project) est un protocole W3C utilisé par les sites Web pour spécifier, dans un format standard, la façon dont ils envisagent d'utiliser les informations recueillies auprès des personnes consultant le site en question. Les navigateurs supportant le P3P peuvent bloquer ou autoriser les cookies en fonction des préférences de confidentialité déterminées par les utilisateurs. Les cookies de tierce-partie sont répartis par nom de domaines, et traités différemment de ceux apparaissant dans la barre d'adresse du navigateur. « Techniquement, Google utilise une nuance dans la spécification P3P, ce qui a pour effet de contourner les préférences de l'utilisateur concernant les cookies », a écrit Dean Hachamovitch. « La politique P3P de Google repose en fait sur une déclaration qui ne respecte pas une politique P3P. Celle-ci est destinée à être « lue » par un individu, alors qu'une politique P3P doit être lisible par les navigateurs », a t-il expliqué. « Les navigateurs répondant aux normes P3P interprètent la déclaration de Google comme un engagement à ne pas utiliser le cookie pour le traçage de l'utilisateur ou à tout autre fin », a t-il ajouté. « En envoyant ce texte, Google contourne la protection du cookie et permet à ses cookies tiers d'être autorisés plutôt que bloqués », écrit-il.
Microsoft a aussi sa part de responsabilité
Une chercheuse suggère que Microsoft a aussi sa part de responsabilité. « Les entreprises ont découvert qu'elles pouvaient mentir dans leurs déclarations P3P, et personne n'a pris la peine d'y remédier », a déclaré Lorrie Faith Cranor, professeur agrégée de Sciences informatiques, d'Ingénierie et de Politique publique à l'Université Carnegie Mellon, dans un blog. « Les entreprises ont également découvert que, en raison d'un bug dans IE, si leurs déclarations de confidentialité ne sont pas valides, IE ne les bloquera pas. » Selon la chercheuse, Google n'est pas le seul à contourner le protocole P3P et le problème pose une question plus large en matière de respect de la vie privée par les navigateurs. Par exemple, dans le cas de Facebook, le site présente une déclaration P3P qui dit simplement que « Facebook n'a pas de politique P3P. » « Cette déclaration de confidentialité P3P, qui tient sur une ligne, est invalide et a pour seul objectif d'empêcher le blocage du cookie par IE », a t-elle expliqué. « Des milliers d'autres sites ont des énoncés de confidentialité P3P qui ne correspondent pas à leurs pratiques réelles », a t-elle ajouté. Sollicité pour un commentaire, Facebook n'a pas répondu.
« L'excuse que tout le monde fait valoir pour justifier ce contournement c'est de dire que le protocole P3P est mort, qu'IE empêche, à cause du P3P, d'ajouter des fonctionnalités intéressantes sur les sites, et que ce contournement des contrôles de confidentialité du navigateur ne pose pas de problème », dit encore Lorrie Faith Cranor, qui a présidé le groupe de travail sur le P3P. Elle a reconnu qu'il fallait se battre pour maintenir le protocole. Mais elle suggère que si les acteurs de l'industrie n'aiment pas le P3P, ils n'ont qu'à demander à Microsoft de le retirer de son navigateur. De même, l'industrie pourrait demander à des organismes de normalisation de déclarer la mort du P3P. « Personne ne veut prendre cette initiative parce que cela pourrait remettre en question l'efficacité des mesures prises par l'industrie elle-même pour protéger la vie privée », a t-elle avancé.
La chercheuse aurait alerté Microsoft en 2010
Selon le blog All About Microsoft, la chercheuse aurait alerté Microsoft en 2010 sur cette possible violation de la vie privée avec la méthode utilisée par Google et décrite aujourd'hui par l'éditeur. « Microsoft a demandé à Google de respecter les paramètres de confidentialité P3P des utilisateurs pour tous les navigateurs », a affirmé Dean Hachamovitch. Celui-ci fait par ailleurs remarquer que ce problème n'a pas d'incidence sur les utilisateurs qui activent la nouvelle fonctionnalité de protection de la vie privée Tracking Protection dans IE 9.
Le billet posté par Microsoft fait suite à un article publié la semaine dernière par le Wall Street Journal qui a fait pas mal de bruit. En effet, le journal américain accuse Google de contourner les politiques de confidentialité de Safari et de tracer ainsi l'activité des internautes sur les sites Web. Google suivrait l'activité des possesseurs d'iPhone et autres terminaux utilisant le navigateur Safari d'Apple. Google s'est défendu en disant que l'article du Wall Street Journal transformait la réalité. Le géant de l'Internet a nié tracer les utilisateurs, mais il a reconnu qu'il avait introduit « par mégarde » des cookies publicitaires sur les téléphones des utilisateurs, installés sans consentement.