Pourquoi nos navigateurs ne bloquent pas les trackers Microsoft • Le registre

DuckDuckGo promet la confidentialité aux utilisateurs de ses navigateurs Android, iOS et macOS, mais autorise certaines données à circuler depuis des sites Web tiers vers des services appartenant à Microsoft.

Le chercheur en sécurité Zach Edwards a récemment mené un audit des navigateurs mobiles de DuckDuckGo et a constaté que, contrairement aux attentes, ils n’empêchent pas le domaine Meta Workplace, par exemple, d’envoyer des informations aux domaines Bing et LinkedIn de Microsoft.

Plus précisément, le logiciel de DuckDuckGo n’a pas empêché les trackers de Microsoft sur la page Workplace de divulguer des informations sur les utilisateurs à Bing et LinkedIn à des fins de publicité personnalisée. D’autres robots d’exploration, comme celui de Google, sont bloqués.

“J’ai testé le soi-disant navigateur privé DuckDuckGo pour iOS et Android, mais pas de version Transferts de données bloqués pour les publicités Linkedin + Bing de Microsoft lors de la visualisation du lieu de travail sur Facebook[.]com », a expliqué Edwards dans un sujet twitter.

La situation est la même pour le navigateur macOS de DuckDuckGo, a confirmé un porte-parole de la société.

En réponse à Edwards, le PDG de DuckDuckGo, Gabriel Weinberg, a souligné que leurs navigateurs ne permettaient pas aux données de suivi des publicités de circuler dans le moteur de recherche Microsoft Bing de DuckDuckGo, qui a fait l’objet de critiques distinctes l’année dernière pour avoir hérité de la censure des images de la place Tiananmen par Redmond.

Selon Weinberg, les utilisateurs de DuckDuckGo Search qui voient des publicités diffusées via Microsoft Advertising ne fournissent pas de données lorsque ces publicités se chargent sur la page. Si un utilisateur clique sur une annonce, Microsoft Advertising obtient l’adresse IP de l’utilisateur et la chaîne de l’agent utilisateur pour l’attribution et la facturation de l’annonce, bien qu’il ne semble pas y avoir de lien entre ce clic et un profil d’utilisateur, comme l’explique DuckDuckGo sur son site.

En ce qui concerne les navigateurs de l’entreprise, il a déclaré que DuckDuckGo bloque les cookies tiers de Microsoft (utilisés pour le suivi des publicités) sur des sites Web tiers, mais a reconnu qu’il existe certains trackers (scripts utilisés pour le suivi) que les navigateurs de Microsoft DuckDuckGo ne bloquent pas en raison de contrats. engagements avec Microsoft.

“Pour bloquer les trackers non liés à la recherche (par exemple dans notre navigateur), nous bloquons la plupart des trackers tiers”, a dit Weinberg. “Malheureusement, notre accord de distribution de recherche Microsoft nous empêche d’en faire plus avec les propriétés Microsoft. Cependant, nous avons continuellement insisté et espérons en faire plus bientôt.”

Ce dont nous parlons ici est une protection au-delà de ce que la plupart des navigateurs n’essaient même pas de faire.

“Ce dont nous parlons ici, c’est d’une protection au-delà de ce que la plupart des navigateurs n’essayent même pas de faire, c’est-à-dire de bloquer les scripts de suivi tiers avant qu’ils ne se chargent sur des sites tiers”, a ajouté Weinberg dans un communiqué envoyé par e-mail. courrier à Le registre.

“Parce que nous faisons cela là où nous le pouvons, les utilisateurs bénéficient toujours d’une protection de la vie privée nettement supérieure avec DuckDuckGo qu’avec Safari, Firefox et d’autres navigateurs.”

En d’autres termes, DuckDuckGo offre des protections de confidentialité supérieures à la moyenne dans ses navigateurs, mais contourne les scripts propriétaires de Microsoft – pour Bing et LinkedIn – afin qu’ils puissent continuer à télécharger sur des sites tiers comme Workplace et à collecter des données.

DuckDuckGo, a déclaré Weinberg, ne promet pas l’anonymat lors de la navigation “parce que, franchement, ce n’est pas possible étant donné la rapidité avec laquelle les trackers changent leur façon de travailler pour échapper aux protections et aux outils que nous proposons actuellement”.

L’anonymat est également interdit par contrat, comme DuckDuckGo l’a noté dans des critiques récentes de ses descriptions de navigateur sur Google Play, l’App Store iOS et le Mac App Store – probablement pour éviter l’examen minutieux des agences de réglementation pour avoir promis la confidentialité et ne pas divulguer d’exceptions.

Le texte ajouté se lit comme suit : “Remarque sur le blocage de notre traceur : bien que nous bloquions tous les cookies intersites (tiers) sur les autres sites que vous visitez, nous ne pouvons pas bloquer tous les scripts de suivi cachés sur les sites autres que DuckDuckGo pour diverses raisons, notamment : de nouveaux scripts apparaissent tout le temps, ce qui les rend difficiles à trouver, le blocage de certains scripts crée des ruptures rendant des parties ou la totalité de la page inutilisables, certains nous sont empêchés de bloquer en raison de restrictions contractuelles avec Microsoft.”

Dans un article de Hacker News et un essai encore plus long sur Reddit, Weinberg a tenté d’expliquer les restrictions impliquées, dans la mesure du possible, sans violer son engagement contractuel envers Microsoft de garder les termes de l’accord privés.

“Il ne s’agit que de sites Web non DuckDuckGo et non Microsoft dans nos navigateurs, où notre accord de distribution de recherche nous empêche actuellement d’empêcher le chargement des scripts appartenant à Microsoft, bien que nous puissions toujours appliquer nos protections de post-chargement du navigateur (comme des tiers bloquer les cookies et autres mentionnés ci-dessus, et ils le font)”, a-t-il écrit dans HN.

Weinberg insiste sur le fait que DuckDuckGo essaie de modifier les termes de son accord de distribution de recherche avec Microsoft, mais ne peut pas dire grand-chose.

“Notre accord de distribution comporte également de nombreuses clauses de confidentialité et les documents d’exigences eux-mêmes sont explicitement marqués comme confidentiels”, a-t-il déclaré. ®

En parlant d’anonymat… Les utilisateurs du navigateur Tor sur le système d’exploitation pro-privacy Tails 5.0 ont reçu pour instruction de cesser d’utiliser le logiciel jusqu’à la version 5.1, car une vulnérabilité du navigateur Mozilla Firefox sous-jacent pourrait être exploitée par “un site Web malveillant pour contourner une partie de la sécurité construite dans le navigateur Tor et accéder aux informations d’autres sites Web.”

“Cette vulnérabilité sera corrigée dans Tails 5.1 (31 mai), mais notre équipe n’est pas en mesure de publier une version d’urgence au préalable.”

Leave a Comment