Selon une nouvelle étude, les sites web et les applications du gouvernement utilisent les mêmes logiciels de suivi que les sites commerciaux.

Ce n’est un secret pour personne : les sites web commerciaux et les applications mobiles que nous utilisons tous les jours nous pistent. De grandes entreprises comme Facebook et Google en dépendent. Cependant, comme le montre un nouveau document rédigé par une équipe de chercheurs de Concordia, les entreprises ne sont pas les seules à recueillir nos données privées. Partout dans le monde, les gouvernements intègrent les mêmes outils de suivi et donnent aux grandes entreprises le pouvoir de suivre les utilisateurs des services gouvernementaux, même dans les pays où les législateurs adoptent des lois pour restreindre l’utilisation des traceurs commerciaux.

Les auteurs de l’article ont effectué des analyses de confidentialité et de sécurité sur plus de 150 000 sites Web gouvernementaux dans 206 pays et sur plus de 1 150 applications Android dans 71 pays. Ils ont constaté que 17 % des sites Web gouvernementaux et 37 % des applications Android gouvernementales hébergent des traceurs Google. Ils ont également constaté que plus d’un quart – 27 % – des applications Android font fuir des informations sensibles vers des tiers ou des attaquants potentiels du réseau. Enfin, ils ont identifié 304 sites et 40 applications signalés comme malveillants par VirusTotal, un site Web de sécurité Internet.

« Les résultats sont surprenants », déclare Mohammad Mannan, coauteur de l’article et professeur associé à l’Institut d’ingénierie des systèmes d’information de Concordia (CIISE) à la Gina Cody School for Engineering and Computer Science. « Les sites gouvernementaux sont financés par des fonds publics, ils n’ont donc pas besoin de vendre des informations à des tiers. Et certains pays, notamment dans l’Union européenne, tentent de limiter le suivi commercial. Alors pourquoi l’autorisent-ils sur leurs propres sites ? »

Non intentionnel mais invasif

Les chercheurs ont commencé leur analyse en établissant une liste de départ contenant des dizaines de milliers de sites Web gouvernementaux à l’aide de méthodes de recherche et d’exploration automatisées et d’autres méthodes entre juillet et octobre 2020. Ils ont ensuite effectué des crawls profonds pour récupérer les liens dans la source de la page HTML. L’équipe a utilisé les mesures de suivi instrumentées d’OpenWPM, un logiciel automatisé et open-source utilisé pour les mesures de confidentialité sur le Web, pour collecter des informations telles que les scripts et les cookies utilisés dans le code des sites Web, ainsi que des techniques d’empreinte digitale des appareils.

Ils ont suivi les applications Android en recherchant les URL de la boutique Google Play trouvées sur les sites gouvernementaux, puis en examinant les URL et les adresses électroniques des développeurs. Lorsque cela était possible, ils ont téléchargé les applications – dont beaucoup étaient géo-bloquées – et les ont analysées pour y trouver des kits de développement logiciel (SDK) de traçage intégrés.

Les analyses ont révélé que 30 % des sites Web gouvernementaux comportaient un ou plusieurs traceurs JavaScript sur leurs pages de renvoi. Les trackers les plus connus étaient tous détenus par Alphabet : YouTube (13 % des sites Web), doubleclick.net (13 %) et Google (près de 4 %). Ils ont trouvé quelque 1 647 SDK de suivi dans 1 166 applications Android gouvernementales. Plus d’un tiers – 37,1 % – provenaient de Google, les autres de Facebook (6,4 %), de Microsoft (2,1 %) et de OneSignal (2,9 %).

Mannan note que l’utilisation de traceurs n’est pas toujours intentionnelle. Les développeurs du gouvernement utilisent très probablement des suites logicielles existantes pour construire leurs sites et applications qui contiennent des scripts de suivi ou incluent des liens vers des sites de médias sociaux infusés de traceurs comme Facebook ou Twitter.

Pas d’autres options

Si l’utilisation des trackers est très répandue, M. Mannan est particulièrement critique à l’égard de juridictions telles que l’UE et la Californie qui prétendent avoir des lois strictes en matière de protection de la vie privée mais qui, dans la pratique, ne sont pas toujours très différentes des autres. Et comme les utilisateurs ne peuvent utiliser les portails gouvernementaux que pour des obligations personnelles importantes telles que le paiement des impôts ou la demande de soins médicaux, ils courent un risque supplémentaire.

« Les gouvernements sont de plus en plus conscients des menaces en ligne pour la vie privée, mais en même temps, ils permettent ces violations potentielles à travers leurs propres services », dit-il.

Mannan exhorte les gouvernements à analyser fréquemment et en profondeur leurs propres sites et applications pour garantir la sécurité de la vie privée et s’assurer qu’ils respectent leurs propres lois.

La recherche a été publiée dans le Actes de la conférence ACM Web 2022.