Culture

Votre porno vous regarde

Et partage tout votre historique de recherches avec d'autres entreprises.

par Brian Merchant
19 Mai 2015, 5:00am

Illustration : Stephen Maurice Graham

40 millions d'Américains regardent régulièrement du porno en ligne. C'est beaucoup plus que le nombre de ceux qui l'admettent : en 2013, seulement 12 % des personnes interrogées avaient reconnu qu'ils regardaient du porno sur internet. Mais à cause des navigateurs, sur lesquels nous laissons en permanence nos empreintes digitales, les impudents qui matent du porno ne restent plus dans l'ombre. En effet, si l'ingénieur Brett Thomas dit vrai, il serait facile de faire la liste de tous les clips scabreux que nous, pauvres humains, avons consultés.

Thomas, qui vit à San Francisco, se trouvait récemment dans un bar, où il parlait avec un membre de l'industrie des films pour adultes. Ils ont fini par discuter d'économie. Le professionnel du porno a eu beau insister sur le fait que collecter et revendre les données personnelles des gens ne faisait pas partie du modèle économique de son site, ça n'a pas convaincu Thomas.

« Si vous regardez du porno en ligne en 2015, même incognito, vous devez vous attendre à ce qu'à un moment donné votre historique soit publiquement révélé », a écrit Thomas peu de temps après dans un post intitulé « Le porno sur internet pourrait devenir le plus grand scandale de la vie privée ».

L'argument de Thomas, c'est de dire : votre navigateur (Chrome, Safari, peu importe) possède une configuration unique, et diffuse donc tout un tas d'informations qui pourront ensuite être utilisées pour vous identifier alors que vous vous baladez sur le web. En gros, vous laissez des « traces de pas », comme Thomas les appelle (d'autres préfèrent le terme « empreintes digitales »). Ensuite, il suffit de lier une trace de pas à une autre, que vous soyez sur Facebook ou sur Pornhub.

Thomas a argué que « presque tous les sites traditionnels que vous visitez conservent suffisamment de données pour lier votre compte utilisateur à votre empreinte digitale de navigateur, indirectement ou par le truchement d'une partie tierce ». Il a raison. La plupart des pages web que vous consultez possèdent des éléments de tracking qui envoient vos données à des sociétés tierces, sans jamais que vous le sachiez. Comment pourrait exister Google Analytics, si ce n'était pas le cas ?

Par exemple, si vous cliquez sur « Fétiche cuir #3 » sur XNXX, vous n'allez pas être simplement redirigé vers le site. Vous envoyez aussi des requêtes à Google, à la compagnie de suivi en ligne AddThis, ainsi qu'à une entreprise nommée Pornvertising, et ce, même si vous faites des recherches en privé. Vous manipulez également des données qui pourront être utilisées pour identifier votre ordinateur, comme votre adresse IP.

Bien sûr, ce fait entraîne de nombreuses conséquences néfastes, au-delà de la potentielle humiliation d'être dénoncé comme « un consommateur de porno ». Il existe toujours plein d'endroits dans le monde où les gens sont persécutés à cause de leur orientation sexuelle. Et révéler que quelqu'un, dans un pays oppressif, a regardé une série de vidéos porno gay, pourrait mettre cette personne sérieusement en danger.

Pornhub est le seul site porno qui a accepté de me répondre. Ils ont publié un communiqué dans lequel les conclusions de Thomas étaient qualifiées de « non seulement fausses, mais aussi dangereusement trompeuses ». Au cours de sa longue réfutation, assez convaincante, Pornhub soulignait qu'il faudrait un immense espace de stockage pour conserver tout l'historique des utilisateurs – le site recevant 300 millions de requêtes par jour, celui-ci estime qu'il faudrait « dans les 36 000 téraoctets ». Sans parler du fait que chercher dans toutes ces données constituerait une perte de temps considérable. « Les serveurs Pornhub intègrent l'adresse IP et l'agent utilisateur, mais seulement pour un court laps de temps », m'a répondu la porte-parole du site.

Aussi, tous les chercheurs en matière de sécurité internet et les experts que j'ai interviewés pour ce sujet s'accordent sur un fait : l'historique des amateurs de porno n'est pas aussi privé que ce qu'ils s'imaginent. Et ce, même s'ils ne sont pas aussi extrêmes dans leurs analyses que les prédictions porno-apocalyptiques de Thomas.

« C'est une inquiétude tout à fait légitime », m'a confirmé Justin Brookman, expert de la vie privée au Centre pour la démocratie et la technologie. « Les modes de navigation privée n'empêchent pas les autres mécanismes de suivi. » En d'autres termes, se mettre en privé lorsqu'on navigue et effacer son historique n'empêche pas les entreprises de porno de vous suivre à la trace.

Pour avoir une meilleure idée de ce que sont les sites de suivi des visiteurs, j'ai utilisé l'application Ghostery qui traque les identifiants de navigation (ou cookies) sur les pages web, afin d'enquêter sur les cinq sites pornos les plus fréquentés — XVideos, XHamster, Pornhub, XXNX, et Redtube. (Il est bon de noter ici à quel point ces sites sont gigantesques : selon Alexa, le service d'analyses de fréquentation, XVideos est le 43e site le plus visité au monde. En comparaison, Gmail n'est que le 66e et Netflix le 53e.)

Ghostery révèle que chaque site possède des cookies, et qu'ils transmettent des données à un bon nombre de sociétés tierces, parmi lesquelles Google, Tumblr, et des services de pub spécifiques comme Pornvertising et DoublePimp.

Qui plus est, la plupart des sites pornos explicitent la nature exacte du film regardé dans l'URL – XVideos, XHamster, and XXNX ont tous des URL qui affichent des trucs comme : www.pornsite.com/view/forme-embarrassante-de-porno–909 aux compagnies citées plus haut.

« L'URL est l'un des éléments d'information basiques de toutes les requêtes en HTTP », m'a dit un chercheur spécialiste dans les problématiques liées à la vie privée, Tim Libert. « C'est pourquoi quiconque s'introduit dans le code [Google ou Tumblr par exemple] le verra par défaut sur la page. Certaines adresses purement numériques [comme '? id=123'] ne vous indiquent pas les préférences sexuelles de quelqu'un, mais vous pouvez en déduire qu'ils sont sur un site porno. À l'inverse, les URL extrêmement descriptives vous donnent de vraies indications sur les préférences de quelqu'un. Donc, si c'est coquin, ce n'est plus un secret. »

L'autre élément important, c'est que le fait d'être en navigation privée n'arrête pas le suivi. « Au mieux, votre barre de recherche n'affichera rien de gênant, mais les annonceurs et les I-brokers choperont quand même l'information. Je ne sais pas ce qu'ils en font, mais elle repose ensuite quelque part dans une base de données. »

Ça ne devrait surprendre personne. C'est une vérité de l'internet d'aujourd'hui : où que vous alliez, vous êtes suivi. Pas pour des raisons malveillantes, mais parce que les développeurs, notamment les développeurs de sites pornos, sont devenus dépendants de ces outils tiers, dont beaucoup sont « gratuits » afin d'augmenter la fiabilité et le partage sur les sites. Des recherches récentes ont révélé que 91 % des sites dédiés à la santé – censément les plus sécurisés sur le net – envoyaient vos données via des serveurs tiers. Bien sûr, les sites pornos font la même chose : Libert les a scannés pour moi, et il en a conclu que 88 % des 500 sites les plus visités au monde disposaient d'éléments tiers installés dans leur système.

Ceci dit, les sites pornos ne sauvegardent pas vos données. La politique de confidentialité de XVideos établit que « XVideos ne collecte pas les adresses IP des utilisateurs qui ne sont pas enregistrés, pas plus que leur activité ». Libert m'a pourtant dit que, quoique cette assertion soit parfaitement vraie, les données circulaient quand même – et notamment les URL scandaleux – vers des parties tierces. Encore une fois, on ne peut pas savoir ce que ces parties tierces, de Google à AddThis, en passant par Pornvertising, font de ces données. Lorsque j'ai sollicité la compagnie pour un commentaire, AddThis a déclaré qu'« ils
ne collectaient aucune information permettant d'identifier qui que ce soit à partir des sites internet qui utilisaient [leurs] services. »

« D'un point de vue technique, il est extrêmement compliqué d'assurer une traçabilité zéro, m'a dit Brookman. Après tout, on est tous rattachés à une adresse IP, laquelle pourra toujours être identifiée via des enregistrements ISP. »

« C'est comme ça que le gouvernement trouve qui regarde et distribue de la pédopornographie aujourd'hui », a ajouté Brookman. Mais c'est aussi probablement comme ça que la NSA a été en mesure d'observer les habitudes des musulmans en manière de films pornos – l'agence utilise des techniques insensées dans le but de décrédibiliser des « terroristes » potentiels en révélant leur addiction au porno et ce faisant, ruinant leur crédibilité religieuse.

Tous ne sont cependant pas convaincus par le scénario cauchemardesque de Thomas. Pour Cooper Quintin, ancien ingénieur de l'Electronic Frontier Foundation [qui défend la liberté d'expression sur internet], Thomas confond « les I-brokers qui traquent vos habitudes de navigation avec les hackers, qui eux, font fuiter les informations ». Mais pour lui, le fait que quelqu'un puisse divulguer toutes vos infos pornos dans la sphère publique est « alarmiste ».

« Le scénario le plus probable, ce serait qu'une compagnie porno soit piratée et que les données de carte bleue soient volées. Si ça se produit, je pense que les pirates seront plus susceptibles de vendre ces données que de les mettre en ligne "pour se marrer", dit Quentin. Je pense aussi qu'il faut s'inquiéter des I-brokers qui pourraient utiliser votre adresse IP pour lier les données sur les sites que vous consultez avec les profils dont ils disposent déjà. »

Ce sont en effet les I-brokers et les cookies (AddThis, etc.) qui sont en mesure de décrire en détail vos préférences en matière porno, et non PornHub et XVideos, qui eux ont tout intérêt à garder vos données secrètes – si vous ne leur faites pas confiance, vous ne reviendrez jamais sur leur site. Mais comme sur la plupart des sites internet, les développeurs de sites pornos ont fait appel à des logiciels gratuits et à des identifiants de navigation qui les arrangeaient et qui exposent les données de leurs utilisateurs.

« Nos prérequis en matière de sécurité devraient être plus explicites, afin de limiter la fuite d'informations qui pourraient permettre à des parties tierces de corréler des données qui ne seraient sinon pas identifiables », explique Brookman.

Thomas n'est pas d'accord avec ça, même s'il a raison, et même si un hacker cherchait à monter un « revenge porn » contre lui. Il pense que c'est la fin de l'anonymat, même en matière de porno, et que cela représente la réalité de l'internet moderne.