Qu'ont en commun l'UQAM, les épiceries Metro et Protégez-Vous? Ils ont tous trois été interloqués d'apprendre cette semaine que leur site web utilise une toute nouvelle technologie qui sert à épier les internautes.

Des chercheurs des universités Princeton (États-Unis) et de Louvain (Belgique) ont découvert que plus de 5000 des 100 000 sites les plus populaires du web utilisent le canvas fingerprinting.

Cette technologie vieille d'à peine deux ans fait l'empreinte numérique d'un ordinateur lorsqu'il accède à un site internet. Cette empreinte permet ainsi à des tiers de suivre la trace d'un utilisateur et de cerner ses habitudes et ses champs d'intérêt.

Le canvas fingerprinting s'apparente aux témoins (cookies) en ce qu'il peut être utilisé par les annonceurs pour mieux cibler leurs publicités en ligne. Mais la technologie n'est pas intégrée à un ordinateur, ce qui la rend beaucoup plus difficile à contrôler et à bloquer.

La Presse a recensé une demi-douzaine de sites web québécois dans le moteur de recherche conçu par les chercheurs.

Mais Metro, l'UQAM et le magazine de consommation Protégez-Vous, qui faisaient partie de la liste, ont tous affirmé qu'ils ignoraient que leur site web employait cette technique.

Chacun de ces sites a incorporé la technologie AddThis, qui permet aux visiteurs de partager certains contenus par courriel ou sur les réseaux sociaux.

Recherche et développement

Une porte-parole de l'entreprise a indiqué à La Presse que les renseignements personnels des internautes avaient été colligés en toute légalité depuis le début de l'année 2014, et uniquement à des fins de recherche et de développement.

Elle a ajouté que ces tests étaient maintenant terminés et qu'ils n'avaient pas été concluants.

Cette porte-parole a affirmé qu'aucune information n'avait été transmise à des tiers. Quant au fait que les clients de AddThis aient été gardés dans l'ombre, Kathleen Keeting a expliqué que «nous n'avisons pas les propriétaires des sites web parce que, comme plusieurs compagnies de nos jours, en particulier des compagnies internet, nous menons nos projets de R&D en temps réel pour obtenir de meilleurs résultats».

Cette approche n'a pas plu à la chaîne d'alimentation Metro, qui a décidé de retirer AddThis de son site internet.

«On n'était pas au courant et ça a été fait sans nous aviser. Donc on ne va pas exposer nos utilisateurs à une nouvelle méthode qui, à notre avis, contrevient à notre politique sur la vie privée», a déclaré Geneviève Grégoire, porte-parole de Metro.

L'UQAM et Protégez-Vous ont été plus réservés. «Il va falloir décider si on le garde ou non. On avait intégré AddThis parce qu'on trouvait que c'était pratique pour l'utilisateur. Mais en sachant cela... Il y a beaucoup de questions qui se posent. On va devoir évaluer la situation», a affirmé Manon Lacourse, directrice des affaires publiques de Protégez-Vous.

Au cours d'une conversation sur Skype, l'un des auteurs de l'étude, Gunes Acar, n'a pas caché son appréhension à l'égard de ce nouveau moyen de suivre la trace des internautes. «Avec des cookies, vous avez le moyen de les éviter ou de les gérer. Vous pouvez bloquer des cookies, vous pouvez en effacer, a-t-il dit. Mais cette technologie peut être utilisée pour contourner toutes les préférences que vous pouvez avoir. C'est ce qui fait peur.»

Le Commissariat à la protection de la vie privée du Canada a dit suivre la situation et a rappelé que selon ses lignes directrices, «la collecte et l'utilisation des données concernant les activités de navigation sur le Web doivent être faites au su de la personne concernée et avec son consentement».

Comment ça fonctionne?

Lorsqu'un ordinateur accède à un site web qui a recours à canvas fingerprinting, un script lui demande de générer une image. Invisible pour l'utilisateur, cette image est unique, un peu comme une empreinte digitale. Il suffit ensuite de suivre sa trace sur le web pour comprendre, par exemple, quels sites sont visités, à quelle heure, pendant combien de temps, etc.