Lorsque vous êtes dans la rue, il est normal qu’un ami vienne vous saluer. Mais que diriez-vous si une personne, tranquillement cachée derrière son journal, vous suivait discrètement et prenait note de tout ce que vous faites ? Bienvenue sur Internet, où votre seul ami sera un VPN.
Sur le web, les annonceurs et les courtiers en données jouent un peu ce rôle d’espion. Ils cherchent à collecter des données sur vous et vos activités. Leur objectif est notamment d’améliorer l’expérience utilisateur, d’afficher des publicités ciblées et surtout… de générer des profits financiers à partir de l’exploitation de vos données de navigation. Comment arrivent-ils à leur fin et pourquoi faut-il se prémunir contre leurs techniques ?
Il y a le bon cookie… et le mauvais cookie
La technique de suivi en ligne la plus connue est celle relative aux cookies. Bien que de plus en plus encadrés par le RGPD, ces derniers occupent encore une place de choix dans le pistage des internautes.
On vous épargnera les métaphores culinaires à leur sujet, et l’on se contentera de préciser qu’ils sont constitués d’un petit fichier texte stocké par le navigateur web, dans le répertoire système AppData > Local. Dans le détail, on y trouve un nom de variable, une valeur, un domaine, et parfois une date d’expiration.
Pour autant, tous les cookies ne sont pas de vilains mouchards. On distingue principalement les cookies internes, ou « 1st party », et les cookies tiers, ou « 3rd party ».
Les 1st party cookies sont nécessaires au bon fonctionnement du site web que vous consultez. Ces derniers permettent, par exemple, d’enregistrer vos préférences, comme la langue d’affichage d’un service en ligne multilingue. Ce sont également eux qui vous permettent de naviguer sur un compte de réseau social ou un espace utilisateur bancaire sans avoir à saisir vos identifiants de connexion à chaque fois que vous chargez une nouvelle page du domaine.
Les cookies tiers, contrairement aux 1st party cookie, s’affranchissent de cette dimension fonctionnelle essentiellement centrée sur l’expérience utilisateur. Comme leur nom l’indique, ils sont créés par des acteurs autres que ceux de l’éditeur du site que vous visitez. Et, mauvaise nouvelle, ils constituent l’immense majorité des cookies posés en ligne. Pour connaître leur nombre sur chaque site, vous pouvez, par exemple, cliquer sur l’icône du cadenas dans la barre d’adresse de Chrome, à gauche de l’URL.
Malheureusement, la distinction entre ces deux types de cookies n’est pas toujours aussi évidente qu’il y paraît. Il n’est pas rare que des tiers déposent des simulacres de cookies 1st party sur le système de l’internaute dans le but de contourner le blocage de plus en plus répandu des cookies tiers par les navigateurs web, Firefox et Safari les premiers. Parmi les procédés existants, on pense au CNAME cloaking (délégation de la gestion d’un sous-domaine de l’éditeur à un tiers via une redirection qui permet à l’annonceur de déposer des 3rd cookies perçus par les navigateurs comme des 1st cookies).
Bien que de plus en plus de navigateurs obligent les annonceurs à faire preuve d’inventivité pour déposer leurs cookies de tracking, voire à les abandonner complètement au profit d’autres techniques de suivi en ligne, les cookies tiers ont encore de beaux jours devant eux. La raison ? Google, dont le navigateur Chrome est utilisé par plus de 65% des internautes dans le monde, toutes plateformes confondues, ne cesse de repousser le blocage de ces dispositifs intrusifs. Initialement prévue pour 2022, puis 2023, la fin des cookies tiers a encore récemment bénéficié de quelques mois de sursis et ne devrait intervenir qu’à la mi-2024.
Balises web et images transparentes
La balise web, c’est un peu l’homme invisible qui aurait décidé de devenir espion. Elle est souvent constituée d’une image transparente comportant un unique pixel.
Comment fonctionne-t-elle ? Lorsque l’internaute ouvre une page web ou un mail contenant une balise web, son navigateur ou son logiciel de messagerie interroge le serveur où l’image transparente est stockée et la télécharge automatiquement.
Cette requête involontaire livre des informations d’identification sur l’appareil émetteur et permet au serveur cible de conserver une trace de l’utilisateur. Parmi les données recueillies, on retrouve souvent l’adresse IP, l’heure de la requête, le type de navigateur web et les données d’utilisation liées au programme ou au service sollicités.
Parmi les exemples les plus connus, on peut citer celui du pixel Meta. Intégré aux pages de tous types de sites web, ce bout de code JavaScript permet aux éditeurs d’identifier et de suivre l’activité de leurs internautes au sein du domaine. À partir des données collectées, ces mêmes éditeurs peuvent générer des publicités ciblées sur Facebook et Instagram, en lien direct avec les articles ou services consultés.
Depuis quelques années maintenant, Meta va encore plus loin. Son pixel de conversion véhicule désormais des cookies internes revisités à destination des éditeurs et annonceurs, soit des cookies tiers déguisés, un peu moins précis que les originaux, mais capables de contourner les blocages de navigateurs pour cibler les utilisateurs sur la base d’estimations et de modélisations statistiques.
Pourquoi se protéger contre les cookies tiers et les balises web ?
Vous l’aurez compris, les cookies tiers et les balises web offrent aux éditeurs et aux annonceurs des outils permettant d’exploiter massivement et de manière opaque les données privées des internautes (comportements de navigation, pages consultées, fréquence et durée des visites, achats effectués, etc.).
Ces informations très personnelles sont récupérées et vendues à des fins de ciblage publicitaire. Afin de lutter contre les cookies tiers, le RGPD impose l’intégration de modules de recueil de consentement à l’ensemble des plateformes web accessibles depuis le territoire européen. Ces outils se doivent d’être clairs et synthétiques, et offrir aux internautes la possibilité de refuser les cookies tiers en un seul clic.
Des conditions encore trop peu respectées, alors que 65% des internautes (hors catégorie « éloignés du numérique ») acceptent toujours régulièrement ou systématiquement les cookies, selon le Baromètre du numérique de 2022.
Concernant les balises web, les systèmes de protection mis en place proviennent davantage des acteurs du web que de la loi. Vous ne comprenez pas pourquoi une image reçue dans un mail ne se télécharge pas ? Il est fort probable que votre client de messagerie ait désactivé ce paramètre, non pour des raisons de performances, mais pour des questions de sécurité. Le blocage des téléchargements automatiques permet en effet de lutter efficacement contre les stratégies de pistage dissimulé mises en place par l’expéditeur.
Un VPN pour se protéger efficacement contre le suivi en ligne
Il est bien entendu que la première chose à faire pour lutter contre le pistage en ligne consiste à adopter de bons réflexes et à ne jamais y déroger. Prendre le temps de refuser systématiquement les cookies sur un site, par exemple, même si cela implique d’entrer dans les paramètres avancés du bandeau RGPD pour décocher manuellement des dizaines de dispositifs et d’objectifs d’utilisation.
On peut laisser tomber les produits Google et, en plus d’un nouveau moteur de recherche, opter pour un meilleur navigateur, plus enclin à faire respecter les droits des internautes vis-à-vis du respect de leur vie privée, à l’image de Firefox ou Brave. Fouiller dans les paramètres de protection de la vie privée du logiciel et activer des boucliers anti-cookies stricts lorsque l’option est disponible.
Pour prévenir le suivi par pose de balises, il est également conseillé de prendre quelques minutes pour modifier les paramètres de téléchargement par défaut des images dans les réglages de son client ou de son service de messagerie en ligne.
Hélas, comme évoqué plus haut au sujet des techniques de CNAME cloacking, de 1st cookie véhiculant des cookies tiers, ou de certaines modalités de pose de balises web contre lesquels personne ne peut rien faire, les éditeurs et les annonceurs se débrouilleront toujours pour contourner les blocages opposés par la loi, les navigateurs et les internautes.
C’est ici qu’opter pour un VPN comme ExpressVPN prend tout son sens. De manière conjointe aux mesures de protection mises en place par les internautes, un réseau privé virtuel sécurise la vie privée des utilisateurs et utilisatrices là où ils ne peuvent agir d’eux-mêmes.
Concrètement, ExpressVPN place un serveur intermédiaire entre un appareil connecté (mobile ou desktop) et le serveur web que l’on cherche à atteindre. La connexion entre le terminal et le serveur VPN est chiffrée à l’aide de l’algorithme AES-256, et transite via un tunnel généré à l’aide d’un protocole VPN (Lightway, OpenVPN ou IKEv2). Le trafic est donc, dans un premier temps, isolé du reste du trafic Internet public, invisible et illisible.
Le serveur VPN intermédiaire consiste en un élément clé dans la lutte contre le pistage en ligne. Lorsque la connexion rebondit sur l’équipement, elle est déchiffrée et emprunte l’une des adresses IP du serveur avant de poursuivre son chemin jusqu’au serveur web interrogé. De cette manière, services et plateformes en ligne ne voient plus l’IP réelle des internautes, mais l’IP de substitution attribuée par l’un des 3 000 serveurs d’ExpressVPN, répartis dans 94 pays.
Il faut ici comprendre que même les meilleurs VPN n’agissent pas tant comme des bloqueurs de cookies et balises, mais comme des brouilleurs de pistes. Les plateformes continuent de collecter et traiter des données de navigation, mais l’identité du profil généré n’est plus la bonne. En d’autres termes, les activités en ligne d’internaute passant par ExpressVPN ne sont plus rattachées à leur véritable identité numérique (authentifiée par leur adresse IP), mais à celle du serveur VPN auquel ils se sont connectés.
De deux choses l’une : il suffit aux utilisateurs et utilisatrices de changer de serveur VPN pour que les sites web consultés perdent leur trace en tant que visiteurs uniques. Seconde conséquence : le profil marketing dressé d’un internaute protégé par un VPN est faussé par l’ensemble des données de navigation d’autres abonnés ExpressVPN connectés à un même serveur et identifiés par une même adresse IP virtuelle. En clair, cookies et autres balises web perdent instantanément en efficacité.
ExpressVPN est disponible sur Windows, macOS, Linux, Android et iOS, et protège jusqu’à 5 appareils en même temps. Afin de renforcer la sécurité des données personnelles et l’anonymat des internautes, il dispose d’un kill switch (Network Lock) permettant de couper automatiquement la connexion à Internet en cas d’interruption involontaire du VPN.
Quid du fingerprinting ?
L’exploitation de l’empreinte numérique du navigateur, ou fingerprinting, constitue, selon la définition de la CNIL, une technique « probabiliste visant à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur ».
Grâce à un simple script, il est possible de récupérer des informations relatives à l'appareil sur lequel est installé le navigateur. Cette technique permet de retrouver les données issues de l’utilisation du JavaScript sur le terminal de l’utilisateur ; résolution d’écran, langue utilisée, informations contenues dans l’en-tête HTTP, ou user agent.
Il a également été démontré qu’en croisant des variables comme la liste des extensions utilisées, le fuseau horaire, ou encore la version du navigateur, les sociétés parviennent à identifier presque systématiquement les internautes en tant qu’individus uniques. Les données sont en effet tellement nombreuses, et les caractéristiques techniques tellement variées, que la grande majorité des navigateurs web disposent d'une empreinte unique. On comprend dès lors en quoi le fingerprinting pose un problème de taille pour l’anonymat en ligne.
Pour lutter contre le fingerprinting, les solutions sont bien minces. Le moyen le plus simple consiste à opter pour un navigateur capable de leurrer les entreprises sur les caractéristiques techniques du logiciel utilisé et de l’appareil sur lequel il est installé. Tor Browser, Firefox et Brave font office de pionniers et intègrent tous trois des technos capables de lutter efficacement contre les relevés non consentis d’empreintes numériques.
Cybersécurité et vie privée : consultez nos autres décryptages sur l'utilisation d'un VPN
- Votre VPN ralentit votre connexion Internet ? On vous explique pourquoi
- Pourquoi utiliser un VPN pour ses transactions cryptos ?
- Antivirus et VPN sont-ils les garants de ma sécurité et de ma vie privée ?
- Comment savoir si vous pouvez faire confiance à un VPN ?
- Votre FAI peut-il surveiller votre navigation ?
- Est-il possible d'effacer ses données de navigation ?
- Quelle est la durée de conservation de vos données personnelles ?
- Comment sécuriser son réseau domestique à l'aide d'un VPN ?
- Comment augmenter la vitesse de votre vpn ?
- Comment choisir un VPN pour voyager à l’étranger ?
- Un VPN me protège-t-il d’un piratage ?
- VPN : un audit de sécurité est-il gage de fiabilité ?
- Un VPN est-il utile pour vos transactions bancaires ?
ExpressVPN propose un niveau de service de premier ordre. Difficile de le prendre en défaut, tant concernant sa politique de confidentialité qu'au sujet des performances et de la sécurité de ses serveurs, la qualité de ses applications ou encore sa couverture multiplateforme. Sa capacité à débloquer les sites de streaming à l'étranger, dont Netflix et Amazon Prime Video, en font un compagnon de voyage idéal, d'autant qu'il affiche des vitesses de connexion impressionnantes et des latences minimes, quel que soit le serveur sélectionné. Seule ombre au tableau : des prix élevés qui pourraient pousser les internautes à se tourner vers des offres plus économiques et de qualité équivalente, comme CyberGhost ou NordVPN.
- Vitesses de connexion très élevées et linéaires
- Vaste couverture géographique
- Débloque les catalogues étrangers de streaming dont Netflix US et Amazon Prime Video
- Interface soignée et accessible à tous
- Prix plus élevés que d'autres solutions VPN équivalentes