Votre porno vous regarde

40 millions d'Américains regardent régulièrement du porno en ligne, selon le Wall Street JournalWall Street Journal. C'est beaucoup plus que le nombre de ceux qui l'admettent : en 2013, seules 12 % des personnes interrogées ont reconnu regarder du porno sur internet. Mais à cause des navigateurs, qui collectent en permanence nos cookies et historiques de navigation, les impudents qui matent du porno ne peuvent plus rester dans l'ombre. En effet, si l'ingénieur Brett Thomas dit vrai, il serait facile de faire la liste de toutes les vidéos scabreuses que nous, pauvres humains lubriques, avons consultées.

Thomas, qui vit à San Francisco, se trouvait récemment dans un bar où il parlait avec un professionnel de l'industrie des films pour adultes. Ils ont fini par discuter d'économie. Le type a eu beau insister sur le fait que collecter et revendre les données personnelles des gens ne faisait pas partie du modèle économique de son site, ça n'a pas convaincu Thomas.

« Si vous regardez du porno en ligne aujourd'hui, même incognito, vous devez vous attendre à ce votre historique de navigation soit publié à un moment ou à un autre », a écrit Thomas peu de temps après dans un post intitulé « Online Porn Could Be The Next Big Privacy Scandal. »

L'argument de Thomas, c'est de dire : votre navigateur (Chrome, Safari, peu importe) possède une configuration unique, et diffuse donc tout un tas d'informations qui pourront ensuite être utilisées pour vous identifier tandis que vous vous baladez sur le web. En gros, vous laissez des « traces de pas », comme Thomas les appelle (d'autres préfèrent le terme « empreintes numériques »). Ensuite, il suffit de lier une trace de pas à une autre, que vous soyez sur Facebook ou sur Pornhub.

Thomas estime que « tous les sites que vous visitez, ou presque, conservent suffisamment de données pour pouvoir associer votre compte utilisateur à votre empreinte numérique sur navigateur, indirectement ou par le truchement d'une partie tierce ». Il a raison. La plupart des pages web que vous consultez possèdent des systèmes de tracking qui envoient vos données à des sociétés tierces sans votre consentement. Nombre d'entre elles utilisent Google Analytics, ainsi que des boutons de redirection vers les réseaux sociaux, par exemple.

Si vous cliquez sur « Fétiche cuir #3 » sur XNXX, vous n'allez pas seulement être redirigé vers le site. Vous envoyez aussi une requête à Google, à la société AddThis, ainsi qu'à l'annonceur Pornvertising, et ce, même si vous effectuez des recherches en mode navigation privée. Vous manipulez également des données qui pourront être utilisées pour identifier votre ordinateur, comme votre adresse IP.

Bien sûr, les conséquences vont au-delà de votre étiquetage comme « consommateur de porno ». Dans le monde, il existe encore de nombreux pays où les citoyens sont persécutés à cause de leur orientation sexuelle. Dans ces pays, révéler que quelqu'un a regardé une série de vidéos porno gay, est susceptible de mettre cette personne en danger.

Pornhub est le seul site porno qui a accepté de répondre à mes questions. Ils ont publié un communiqué dans lequel les conclusions de Thomas étaient qualifiées de « fausses, et dangereusement trompeuses ». Dans sa longue réfutation, assez convaincante, Pornhub souligne qu'il faudrait un immense espace de stockage pour conserver l'historique des utilisateurs – le site recevant 300 millions de requêtes par jour, celui-ci estime qu'il faudrait stocker « environ 36 000 téraoctets » de données quotidiennement. Sans parler du fait que chercher dans toutes ces données constituerait une perte de temps considérable. « Les serveurs Pornhub intègrent l'adresse IP et l'agent utilisateur, mais seulement pour un court laps de temps », m'a répondu la porte-parole du site.

Tous les chercheurs en sécurité informatiques et experts que j'ai interviewés pour ce sujet s'accordent sur un fait : l'historique des amateurs de porno n'est pas aussi privé que ce qu'ils s'imaginent, même quand on n'a pris une distance critique suffisante par rapport aux prédictions porno-apocalyptiques de Thomas.

« C'est une inquiétude tout à fait légitime », m'a confirmé Justin Brookman, expert de la vie privée au Centre pour la démocratie et la technologie. « Les modes de navigation privée n'empêchent ne sont pas un rempart contre toutes les méthodes de tracking. » En d'autres termes, se mettre en navigation privée et effacer son historique n'empêchera pas certaines sociétés de vous suivre à la trace.

Pour mieux me représenter qui pourrait bien me suivre sur Internet, j'ai utilisé l'application Ghostery qui traque les identifiants de navigation (ou cookies) sur les pages web, afin d'enquêter sur les cinq sites pornos les plus fréquentés — XVideos, XHamster, Pornhub, XXNX, et Redtube. (Notons que ces sites sont énormes : selon Alexa, le service d'analyses de fréquentation, XVideos est le 43e site le plus visité au monde. En comparaison, Gmail n'est que le 66e et Netflix le 53e.)

Ghostery révèle que chaque site possède des cookies, et qu'ils transmettent des données à un bon nombre de sociétés tierces, parmi lesquelles Google, Tumblr, et des services de pub spécifiques comme Pornvertising et DoublePimp.

Qui plus est, la plupart des sites pornos explicitent la nature exacte du film regardé dans l'URL – XVideos, XHamster, and XXNX ont tous des URL qui affichent des trucs comme : www.pornsite.com/view/forme-embarrassante-de-porno…

« L'URL est l'un des éléments d'information basiques de toutes les requêtes en HTTP », m'a confié un chercheur spécialiste des problématiques liées à la vie privée, Tim Libert. « Quiconque s'introduit dans le code [Google ou Tumblr par exemple] le verra par défaut sur la page. Certaines adresses purement numériques [comme '? id=123'] ne vous indiquent pas les préférences sexuelles de quelqu'un, mais vous pouvez en déduire qu'ils sont sur un site porno. À l'inverse, les URL extrêmement descriptives vous donnent de vraies indications sur les préférences de quelqu'un. Donc, si c'est coquin, ce n'est plus un secret. »

L'autre élément important, c'est que le fait d'être en navigation privée n'arrête pas le suivi. « Au mieux, votre barre de recherche n'affichera rien de gênant, mais les annonceurs et les I-brokers choperont quand même l'information. Je ne sais pas ce qu'ils en font, mais elle repose ensuite quelque part dans une base de données. »

Ça ne devrait surprendre personne. Aujourd'hui, sur Internet, où que vous alliez, vous êtes suivi. Les développeurs, notamment les développeurs de sites pornos, sont devenus dépendants de ces outils tiers, dont beaucoup sont « gratuits » afin d'augmenter la fiabilité et le partage sur les sites. Des recherches ont révélé que 91 % des sites dédiés à la santé – censément les plus sécurisés sur le net – envoyaient vos données via des serveurs tiers. Bien sûr, les sites pornos font la même chose : Libert les a scannés pour moi, et a conclu que 88 % des 500 sites les plus visités au monde disposaient d'éléments tiers installés dans leur système.

Ceci dit, les sites pornos ne sauvegardent pas vos données. La politique de confidentialité de XVideos établit que « XVideos ne collecte pas les adresses IP des utilisateurs qui ne sont pas enregistrés, pas plus que leur activité ». Libert m'a pourtant dit que, quoique cette assertion soit parfaitement vraie, les données circulaient quand même – et notamment les URL scandaleux – vers des parties tierces. Encore une fois, on ne peut pas savoir ce que ces parties tierces, de Google à AddThis, en passant par Pornvertising, font de ces données. Lorsque j'ai sollicité la compagnie pour un commentaire, AddThis a déclaré qu'« ils
ne collectaient aucune information permettant d'identifier qui que ce soit à partir des sites internet qui utilisaient [leurs] services. »

« D'un point de vue technique, il est extrêmement compliqué d'assurer une traçabilité zéro, m'a dit Brookman. Après tout, on est tous rattachés à une adresse IP, laquelle pourra toujours être identifiée via des enregistrements ISP. »

« C'est comme ça que le gouvernement trouve qui regarde et distribue de la pédopornographie aujourd'hui », a ajouté Brookman. Mais c'est aussi probablement comme ça que la NSA a été en mesure d'observer les habitudes des musulmans en manière de films pornos – l'agence utilise des techniques insensées dans le but de décrédibiliser des « terroristes » potentiels en révélant leur addiction au porno et ce faisant, ruinant leur crédibilité religieuse.

Tous ne sont cependant pas convaincus par le scénario cauchemardesque de Thomas. Pour Cooper Quintin, ancien ingénieur de l'Electronic Frontier Foundation [qui défend la liberté d'expression sur internet], Thomas confond « les I-brokers qui traquent vos habitudes de navigation avec les hackers, qui eux, font fuiter les informations ». Mais pour lui, le fait que quelqu'un puisse divulguer toutes vos infos pornos dans la sphère publique est un constat « alarmiste ».

« Le scénario le plus probable, ce serait qu'un site porno soit piratée et que les données de carte bleue soient volées. Si ça se produit, je pense que les pirates seront plus susceptibles de vendre ces données que de les mettre en ligne "pour se marrer", dit Quentin. Je pense aussi qu'il faut s'inquiéter des I-brokers qui pourraient utiliser votre adresse IP pour lier les données sur les sites que vous consultez avec les profils dont ils disposent déjà. »

Ce sont en effet les I-brokers et les cookies (AddThis, etc.) qui sont en mesure de décrire en détail vos préférences en matière porno, et non PornHub et XVideos, qui eux ont tout intérêt à garder vos données secrètes – si vous ne leur faites pas confiance, vous ne reviendrez jamais sur leur site. Mais comme sur la plupart des sites internet, les développeurs de sites pornos ont fait appel à des logiciels gratuits et à des identifiants de navigation qui les arrangeaient et qui exposent les données de leurs utilisateurs.

« Nos prérequis en matière de sécurité devraient être plus explicites, afin de limiter la fuite d'informations qui pourraient permettre à des parties tierces de corréler des données qui ne seraient sinon pas identifiables », explique Brookman.

Thomas n'est pas d'accord avec ça, même s'il a raison, et même si un hacker cherchait à monter un « revenge porn » contre lui. Il pense que c'est la fin de l'anonymat, même en matière de porno, et que cela représente la réalité de l'internet moderne.