Partons d’un constat simple: Lors d’une requête http sur un serveur web, votre navigateur envoie tous les cookies déjà reçus correspondant à ce domaine s’ils existent et n’ont pas expirés. Donc, si je vais une première fois sur google.fr, je recevrai des cookies, cookies que je renverrai lors d’une seconde requête. Jusque là, tout va bien.

Les cookies servent entre autres au site web à vous identifier. Par exemple, si vous vous authentifier sur un site (login/password), vous recevrez un cookie permettant à garder votre session ouverte.

A ce jour, beaucoup de sites utilisent des systèmes de tracking afin d’établir des statistiques sur le nombre de visiteurs, leurs habitudes et leur façon de naviguer. Google Analytics en est un bon exemple. Quand un site tierce veut controler les visites et habitudes de ses visiteurs, on installe 3 lignes de javascript et hop, l’utilisateur se retrouve tracké par les cookies. Rien de bien scandaleux, c’est le but avoué, ça ne choque pas beaucoup de monde.

Il y a deux semaines, Facebook, dont on sait déjà qu’il stocke toute l’activité des utilisateurs sur son site, vient de proposer une nouvelle API d’utilisation simplifiée de widgets aux éditeurs des autres sites. L’un des nouveaux plugins proposés est ce bouton « like », dont on sait qu’il cartonne (50000 sites ont ajoutés le bouton « like » à peine une semaine après sa mise à disposition du public) permet juste d’inclure un petit bouton innocent sur ses pages pour permettre aux visiteurs finaux de partager à ses amis facebook tel ou tel article, objet, etc.

Là où ça devient dangeureux, c’est que ce simple bouton oblige votre navigateur à faire une requête internet sur la plateforme Facebook. Et que cette simple requête envoie donc tous les cookies relatifs à votre session Facebook (voir exemple sur marianne2.fr)… et qui dit cookie, dit tracking. Pour peu que vous ayez un compte, non seulement ils ont à la disposition toutes les informations que vous avez laissé dans le site, mais à partir de maintenant, un historique complet de vos visites sur les autres sites sur lesquels ce bouton (ou tout autre widget) est présent…

Je ne suis pas un farouche défenseur de la protection de la vie privée, mais même si je n’ai aucune objection sur le tracking de mon activité sur le web
par google (par mes recherches et mes visites de sites qu’ils connaissent, fatalement), je suis un peu opposé sur l’utilisation de ces données par Facebook
à cause entre autre de l’oppacité et des conditions d’utilisations de plus en plus douteuses des données personnelles. De ce fait, pour la première fois, j’ai juste rajouté un filtre (« http://www.facebook.com/plugins/like.php?* ») dans Adblock Plus et ait invité d’autres à en faire de même.