Le serveur Web Apache est actuellement sous le feu des projecteurs, si tenté qu’il en ait besoin, à la suite de la publication d’un patch qui indique que le serveur Web le plus populaire est capable d’ignorer le paramètre de confidentialité Do Not Track, activé par défaut au sein d’Internet Explorer 10.
Le Do Not Track, initialement proposé en 2009, est simplement un projet de champ d’entête HTTP qui permet de signaler aux applications Web que l’utilisateur ne veut pas être “suivi”. Ce dernier est actuellement en cours de standardisation par le W3C, et en cours de développement par le Tracking Protection Working Group. Comme indiqué précédemment, elle définit un entête envoyé avec chaque requête par un navigateur qui autorise ou refuse le suivi par les réseaux publicitaires. Pour ce faire, trois valeurs sont mentionnées dans l’entête : 1 si l’utilisateur ne souhaite pas être suivi, 0u si l’utilisateur le souhaite, ou nul (aucun entête envoyé) si l’utilisateur n’a pas exprimé de préférence.
Roy T. Fielding, membre fondateur de la Fondation Apache, chercheur chez Adobe et l’un des développeurs travaillant justement sur le standard DNT au sein du W3C, a présenté un patch plus qu’intéressant la semaine dernière qui indique à Apache de ne pas tenir compte du DNT sur IE 10, qui sera livré avec le futur OS de Microsoft, Windows 8.
Sachez qu’Apache est tout de même le serveur Web le plus largement déployé avec 59,4% de part de marché selon Netcraft.
Fielding souligne que d’activer le DNT par défaut est contraire à la spécification et représente le choix d’une machine par rapport à celui d’un utilisateur.
“La seule raison pour laquelle DNT existe, consiste à exprimer une option qui n’est pas activée par défaut. C’est tout ce qu’il fait”, a écrit Fielding sur Github. Il poursuit en précisant qu’en aucun cas il ne protège pas la vie privée de quiconque à moins que les destinataires ne croient qu’elle a été activée par un être humain, avec une réelle préférence pour la vie privée au détriment de la personnalisation.
La question est devenue un sujet de discorde parce que le correctif de Fielding aurait un impact sur les utilisateurs qui ont choisi délibérément de permettre le DNT lors d’une installation personnalisée, par exemple, ignorant ainsi les paramètres.
Cependant, Microsoft rétorque que l’utilisateur a la possibilité de choisir de couper l’option DNT depuis les paramètres de configuration de Windows 8 en mode “Express”, qui est le choix recommandé pour les utilisateurs. Lors de l’installation, les utilisateurs vont également avoir la possibilité d’activer ou non l’option DNT. Brendon Lynch, responsable de la vie privée chez Microsoft, a écrit sur un billet de blog il y a un mois que les utilisateurs ont confirmé que l’option serait bien activée par défaut, et que le consommateur pourra s’y rendre s’il souhaite la désactiver afin que son historique de navigation lui permette d’obtenir des publicités davantage ciblées.
“En offrant une expérience simple qui permet aux clients de définir leurs préférences, nous avons cherché à concilier facilité d’utilisation sur le choix et le contrôle”, écrit Lynch. Les paramètres recommandés par le mode Express sont conçus pour accélérer et simplifier l’ensemble du processus de configuration, et, si le DNT est sélectionné, il améliore généralement la vie privée du client, de la sécurité, et l’expérience globale du dispositif.
Mais, Fielding a déclaré que Microsoft viole délibérément la norme et que les préférences de la machine doivent être ignorées. “La décision d’activer le DNT par défaut dans IE10 n’a rien à voir avec le respect de la vie privée de l’utilisateur. Microsoft sait très bien que le faux signal sera ignoré, ce qui empêchera ainsi leurs propres utilisateurs d’avoir une option efficace pour le DNT, et ce même si les utilisateurs le souhaitent”, écrit Fielding avant de finir par une petite bombe : “Vous pouvez comprendre pourquoi ils le veulent. Si vous avez un problème avec cela, choisissez un meilleur navigateur” !
Le navigateur de Mozilla, Firefox, est un autre choix tandis que Google Chrome ne supporte pas le DNT. En revanche, une extension Google sera proposée permettant de prendre en charge la fonctionnalité.
Libre à vous de faire votre choix dans ce vaste sujet qu’est la vie privée ! N’hésitez pas à apporter votre point de vue…
