Un rapport accable les plug-ins Internet

Cloud

Un rapport de la Privacy Foundation révèle les pratiques peu orthodoxes des extensions aux navigateurs proposées gratuitement. Collecte de données privées à l’insu de l’utilisateur et absence d’informations sur le devenir de ces suivis sont les principales incriminations.

Les plug-ins et autres extensions destinées aux navigateurs pour en améliorer les fonctionnalités sont-ils inoffensifs ? Rien n’est moins sûr selon un rapport de la Privacy Foundation, une association de l’Université de Denver, qui a étudié le comportement de seize browser extensions, généralement distribuées gratuitement. « Selon notre étude », notent les auteurs, « les téléchargements gratuits peuvent inutilement compromettre la vie privée des utilisateurs. » Voilà qui est rassurant… Les produits testés sont Neoplanet, AllAdvantage, @hoc, CueCat, Enfish, Flyswat, Gator, iChoose, Obongo, SurfMonkey, ThirdVoice et Zack.

Si, pour la très grande majorité de ces produits, l’usage est gratuit, l’utilisateur doit généralement remplir un formulaire plus ou moins discret avant de pouvoir télécharger le logiciel. Certes, rien n’oblige l’utilisateur à communiquer les bonnes informations. Mais au-delà du formulaire, l’extension exploite des données à l’insu de l’utilisateur. A savoir, le suivi de ce qu’il tape dans sa barre d’adresse ou encore dans son moteur de recherche quand ce ne sont pas des adresses e-mail, numéro de compte et autres saisies personnelles. Pire, certains systèmes parviennent à capturer des informations issues de pages sécurisées par SSL (Secure Socket Layers).

La France mieux lotie ?

Ainsi, un produit comme CueCat, un périphérique de lecture de code à barre, renvoie chaque identification au serveur. Alexa, une barre d’information contextuelle, récupère toutes les URL (adresses de sites) saisies. NeoPlanet, éditeur d’un navigateur à interface personnalisable, renvoie les comportements de l’utilisateur à l’éventuel partenaire du skin (comme Universal pour le film The Grinch). RealJukeBox identifie le titre écouté, etc. « Dans la plupart des cas », peut-on lire dans le rapport, « les éditeurs de ces applications n’ont aucun intérêt à récupérer ces données privées mais c’est le manque de soin apporté à la programmation qui est à blâmer. »

Ces extensions aux navigateurs, Internet Explorer et Netscape essentiellement, ne sont pas toutes inquiétantes comme Flash ou RealPlayer qui permettent avant tout de lire des formats propriétaires. Mais visiblement, le téléchargement « gratuit » ne signifie pas toujours « sans contre-partie ». Bien sûr, il faut bien que les entreprises vivent. Si ce n’est de la vente de leurs produits, ce sera de la vente de nos habitudes. C’est de bonne guerre mais l’utilisateur est censé être adulte et responsable, et il serait plus honnête de l’informer de ce type de pratiques. Or, le rapport épingle également le manque de clarté des sites sur l’utilisation des données personnelles et leurs accès pour modification ou suppression comme l’exige notamment la loi française, que l’on peut consulter sur le site de la Cnil. Ne nous faisons pas trop d’illusions pour autant. Si la loi protège mieux les Français que les Américains, nos « marketeurs » hexagonaux ne s’en privent pas moins pour vendre nos informations comme le révèle un séminaire organisé par nos confrères du magazine Transfert.

Pour en savoir plus :

* Le rapport en pdf (en anglais)

* Le site de la Privacy Fundation (en anglais)