.

Des cookies tiers incontrôlables à la limite de la légalité

De nos jours, de nombreux fournisseurs de services en ligne dépendent de logiciels et de services de tiers pour pouvoir mettre à disposition leurs propres offres.

Les exigences multiples imposées même à de simples plateformes de services ou d'informations sont devenues beaucoup trop complexes. Par exemple, les outils d'évaluation des statistiques d'utilisateurs comme Google Analytics sont pertinents pour de nombreux sites afin de mesurer et d'améliorer l'expérience utilisateur. Ou encore, il est fait référence à des bibliothèques externes pour intégrer des fonctions, des symboles et des icônes dans le propre site web.

Pour répondre aux exigences en matière de sécurité et de protection des données, les exploitants d'une offre en ligne doivent toutefois savoir exactement ce que font les assistants externes et quelles actions sont exécutées en arrière-plan. C'est là que le bât blesse, tout particulièrement en ce qui concerne les cookies. En effet, l'exploitant du site Web n'a souvent aucune idée du nombre de cookies effectivement installés par le véritable fournisseur tiers d'un service, voire par des quatrième ou cinquième parties qui coopèrent à leur tour avec le véritable fournisseur tiers ou qui agissent même de manière abusive.

Origine des cookies imprévisible et manque de contrôle pour les exploitants de blogs

Prenons l'exemple d'un exploitant de blog qui fait appel à un réseau publicitaire pour diffuser automatiquement des annonces sur son blog afin de gagner un peu d'argent ou tout simplement pour couvrir les frais de serveur. Ce réseau publicitaire place des cookies de son propre réseau dans les navigateurs des visiteurs de son site web et éventuellement des partenaires de coopération du réseau publicitaire placent également d'autres cookies. En outre, des cookies sont également placés par d'innombrables annonceurs qui diffusent des annonces sur le réseau publicitaire. Pour le blogueur, il est presque impossible de savoir qui place quels cookies auprès des visiteurs de son blog.

Étude sur les cookies tiers problématiques

Tobias Urban, Thorsten Holz, Martin Degeling de l'Université de la Ruhr à Bochum et Norbert Pohlmann de l'Institute for Internet Security se sont penchés sur la question dans l'étude "Beyond the Front Page : Measuring Third Party Dynamics in the Field", se sont penchés en détail sur la problématique des cookies dits de tiers. Nous souhaitons résumer les principales conclusions dans cet article.

Pour cette étude, 10 000 sites Web et leur comportement lors de l'installation de cookies ont été examinés. Les chercheurs en sécurité ont tiré les conclusions suivantes :

  • Un seul cookie tiers peut entraîner le chargement de jusqu'à huit cookies différents provenant de différentes sources
  • Les cookies qui sont placés sont souvent imprévisibles. Environ 50 % des cookies changent de nature et d'origine après plusieurs visites du site web
  • 93 % des cookies tiers proviennent d'autres régions que le site web lui-même et sont donc soumis à d'autres conditions juridiques (mot-clé : législation sur la protection des données)
  • 45 % des sites Web placent plus de cookies sur les sous-pages que sur les pages d'accueil
  • Si le visiteur d'une page d'accueil d'un site web navigue plus profondément dans la structure du site web et s'y déplace, le nombre de cookies utilisés augmente en moyenne de 36 % ( !)
  • La plupart des cookies abusifs sont placés sur les sous-pages vers lesquelles les utilisateurs naïfs naviguent après avoir visité une page de destination

En cas d'utilisation abusive de cookies, il s'agit généralement de ce que l'on appelle le "malvertising" ou "cryptominer". Le "malvertising" désigne le chargement de bannières publicitaires corrompues par des virus. les "cryptomineurs" utilisent les capacités de l'ordinateur attaqué pour extraire des bitcoins ou d'autres cryptomonnaies. Cela concerne toutefois moins de 1 % de l'ensemble des cookies analysés.

Conclusion

L'industrie du marketing en ligne a encore beaucoup à apprendre. Les mesures radicales prises par les régulateurs au cours des dernières années et des derniers mois semblent tout à fait justifiées à la lumière de l'enquête présentée. Si le secteur ne se défend pas contre les brebis galeuses et leur collecte effrénée de données, les fonctions marketing mesurées et justifiées resteront elles aussi sur le carreau.