Un procédé involontaire, mais intrusif
Les chercheurs ont commencé leur analyse en établissant une liste de départ contenant des dizaines de milliers de sites Web gouvernementaux, à l’aide de techniques automatisées de recherche et d’exploration du Web, entre juillet et octobre 2020. Ils ont ensuite effectué une exploration en profondeur afin d’extraire des liens à partir du code source HTML de chaque page. L’équipe a eu recours aux technologies de suivi fournies par OpenWPM, un logiciel automatisé libre servant à mesurer la confidentialité des sites Web; ils ont ainsi pu recueillir diverses informations, comme les scripts et les témoins employés dans le code des sites ainsi que l’emploi de techniques d’empreinte numérique unique.
Ils ont cherché, dans les sites gouvernementaux, les URL des applications Android provenant de la boutique Google Play, puis ont examiné les URL et les adresses courriel des développeurs. Lorsque cela était possible, ils ont téléchargé les applications — nombre d’entre elles étaient géobloquées — et les ont analysées pour déterminer si elles comportaient des trousses de développement logiciel (SDK) destinées au suivi.
Les analyses ont révélé que 30 % des sites Web gouvernementaux comportaient au moins un outil de suivi JavaScript sur leurs pages de renvoi. Les outils de suivi les plus courants appartenaient tous à Alphabet : YouTube (13 % des sites Web), doubleclick.net (13 %) et Google (près de 4 %). Les chercheurs ont trouvé environ 1 647 trousses de développement logiciel destinées au suivi dans 1 166 applications Android utilisées par les gouvernements. Plus du tiers — 37,1 % — provenaient de Google, et les autres de Facebook (6,4 %), de Microsoft (2,1 %) et de OneSignal (2,9 %).
Mohammad Mannan fait remarquer que l’utilisation des technologies de suivi n’est pas toujours intentionnelle. Les développeurs gouvernementaux utilisent selon toute vraisemblance des suites logicielles existantes lorsqu’ils construisent les sites, ainsi que des applications qui contiennent des scripts de suivi ou des liens menant à des plateformes de médias sociaux comportant des technologies de suivi, comme Facebook ou Twitter.
Les utilisateurs n’ont pas le choix
Si l’utilisation des technologies de suivi est répandue, Mohammad Mannan se montre particulièrement sévère à l’endroit de certains décideurs comme ceux de l’Union européenne et de la Californie, qui se vantent de leurs lois strictes en matière de protection de la vie privée, mais qui en réalité ne font pas mieux que les autres. Et comme les utilisateurs n’ont d’autre choix que de recourir aux portails gouvernementaux pour accomplir certaines tâches personnelles indispensables comme payer leurs impôts ou demander des soins médicaux, ils s’exposent sans le vouloir à des risques additionnels.
« Les gouvernements sont de plus en plus conscients des menaces à la vie privée qui existent en ligne, mais en même temps, ils laissent la porte ouverte à d’éventuelles atteintes à la vie privée dans leurs propres services Web », déplore-t-il.
Mohammad Mannan presse les gouvernements de procéder fréquemment à une analyse exhaustive de leurs propres sites et applications, dans le but d’assurer la protection de la vie privée des utilisateurs et par souci de se conformer à leurs propres lois.
Lisez l’article mentionné : « Et tu Brute? Privacy Analysis of Government Websites and Mobile Apps »