DuckDuckGo, la soi-disant « société de confidentialité sur Internet » – qui, pendant des années, a construit une marque autour d’une revendication de recherche sur le Web sans suivi et, plus récemment, a lancé son propre navigateur « privé » avec blocage de tracker intégré – a s’est retrouvé dans l’eau chaude après qu’un chercheur ait trouvé des limites cachées sur sa protection contre le suivi qui créent une exclusion pour certaines demandes de données publicitaires par son partenaire de syndication de recherche, Microsoft.
Tard hier, le chercheur en question, Zach Edwards, tweeté les conclusions de son audit – affirmant qu’il avait découvert que les navigateurs mobiles de DDG ne bloquaient pas les demandes de publicité effectuées par des scripts Microsoft sur des propriétés Web non Microsoft. (NB : Il s’agit d’une question distincte de ce qui se passe si vous cliquez réellement sur une publicité lorsque vous utilisez DDG – car sa politique de confidentialité indique clairement que tous les paris sur la confidentialité sont désactivés à ce stade.)
Edwards a testé les flux de données du navigateur sur un site appartenant à Facebook, Workplace.com, et a constaté que si DDG informait les utilisateurs qu’il avait bloqué les trackers Google et Facebook, cela n’empêchait pas Microsoft de recevoir des flux de données liés à leur navigation sur le site Web non Microsoft. .
Edwards a eu des allers-retours sur Twitter avec le fondateur et PDG de DDG, Gabe Weinberg, qui semblait initialement être essayer de minimiser le constat en mettant l’accent sur tout ce qu’il a dit sur le navigateur de DDG Est-ce que bloquer (par exemple, les cookies de suivi tiers, y compris ceux de Microsoft).
Weinberg tenait également particulièrement à préciser que le problème des flux de données n’est pas lié à la recherche DuckDuckGo.
Cependant, la limitation du blocage des trackers du navigateur de DDG équivaut à une exemption de protection contre certains transferts de données publicitaires vers des filiales de Microsoft (Bing, LinkedIn) — qui pourraient être utilisées pour le suivi intersite des internautes à des fins de ciblage publicitaire. Ou, en d’autres termes, pour porter atteinte à la vie privée des utilisateurs du navigateur DDG.
Dans les allers-retours sur Twitter, Weinberg a confirmé que l’audit d’Edwards était correct – « en admettant un accord de contact qui, selon lui, limitait la capacité de DDG à bloquer les trackers dans ce scénario en écrivant que » l’accord de syndication de recherche « de DDG avec Microsoft, qui possède et exploite le Le moteur de recherche et l’index Bing nous empêchent d’empêcher le chargement des scripts appartenant à Microsoft. »
Il a ajouté que DDG « travaillait pour changer cela ».
Interrogé via Twitter pour savoir si le contrat de DDG incluait une clause l’empêchant de se plaindre publiquement des limitations imposées par Microsoft, un géant de la technologie avec une activité adtech en pleine croissance, Weinberg dis-nous: « Notre contrat de syndication comporte de larges exigences de confidentialité, et les documents d’exigences spécifiques eux-mêmes sont en outre explicitement marqués comme confidentiels. »
Discutant de ses conclusions et de la réponse de DDG avec TechCrunch, Edwards s’est décrit comme « assez choqué » par la réponse publique de Weinberg à son audit – et pour avoir ce qu’il a résumé comme « aucune solution publique aux problèmes créés par le partenariat secret entre DuckDuckgo et Microsoft ». ”
« J’ai de sérieuses inquiétudes… concernant les revendications publiques de DDG, en particulier celles qu’ils font sur leurs sites Web d’installation d’applications iOS/Android, promettant des protections de suivi », a ajouté Edwards. « Si vous comparez la langue dans les détails de l’application aux informations partagées par le PDG de DuckDuckGo hier, vous ne pouvez pas vous empêcher de vous demander pourquoi ils mentent si ouvertement à un endroit d’Internet et non dans une autre zone d’Internet. , et tentant apparemment de jeter leur principal partenaire publicitaire Microsoft sous une sorte de bus – essentiellement le PDG de DDG a fait de nombreux commentaires sur la façon dont il essayait et espérait sortir de leur contrat actuel avec Microsoft – c’était un aveu choquant à voir publiquement et quelque chose que j’espère que les régulateurs examineront sérieusement.
Le problème a explosé sur Hacker News au cours de la journée – où Weinberg (alias yegg) a fait plus de lutte contre les incendies dans les commentaires, réitérant que les mains de DDG sont liées par son contrat avec Microsoft et affirmant en outre qu’il a continué à faire pression pour que des changements soient apportés à » cette restriction limitée.
« Il s’agit à peu près de sites non-DuckDuckGo et non-Microsoft dans nos navigateurs, où notre accord de syndication de recherche nous empêche actuellement d’empêcher le chargement des scripts appartenant à Microsoft, bien que nous puissions toujours appliquer les protections de notre navigateur après le chargement (comme les cookies tiers blocage et autres mentionnés ci-dessus, et faire). Nous avons également travaillé sans relâche dans les coulisses pour modifier cette restriction limitée », a écrit Weinberg sur le site.
« Je comprends également que cela prête à confusion car il s’agit d’un contrat de syndication de recherche qui nous empêche de faire quelque chose qui ne concerne pas la recherche. En effet, notre produit est un ensemble de multiples protections de la vie privée, et il s’agit d’une exigence de distribution qui nous est imposée dans le cadre de l’accord de syndication de recherche. Notre accord de syndication contient également de larges dispositions de confidentialité et les documents d’exigence eux-mêmes sont explicitement marqués comme confidentiels », a-t-il ajouté.
Bien que le navigateur de DDG ne bloque clairement pas tous les scripts – et qu’aucun bloqueur de suivi ne soit efficace à 100 % car les techniques de suivi évoluent constamment – cette exclusion pour les scripts Microsoft semble différente du fait qu’il s’agit d’une exemption spécifique attachée à un accord contractuel cela est lié à un accord commercial qui permet à DDG d’utiliser l’index de recherche de Microsoft dans son produit principal – dont aucun n’était (apparemment) connu du public avant l’audit d’Edwards.
Dans d’autres remarques publiques sur la question, Weinberg a laissé entendre que DDG essayait d’équilibrer un objectif consistant à offrir aux utilisateurs de navigateurs une expérience de blocage de suivi très facile (c’est-à-dire pour maximiser l’accessibilité), avec des protections renforcées qui pourraient encore améliorer la confidentialité des utilisateurs, mais avec un potentiel le coût de l’expérience (par exemple, des pages Web cassées).
Cependant, l’absence de divulgation par DDG aux utilisateurs de navigateurs de la restriction liée à Microsoft à ses protections est particulièrement préoccupante – en particulier à la lumière du contraste frappant avec son marketing axé sur la confidentialité qui indique aux utilisateurs qu’ils « échapperont au suivi du site Web » (qui clairement ne se produit pas dans les instances spécifiques liées à Microsoft identifiées par Edwards). DDG risque donc d’induire les utilisateurs en erreur et de saper sa propre réputation en tant qu’entreprise pro-vie privée.
Dans une réponse plus récente publiée en réponse aux commentaires de Hacker News, Weinberg semble avoir accepté la nécessité pour DDG de faire une divulgation plus complète, écrivant: «Nous travaillerons avec diligence aujourd’hui pour trouver un moyen de dire quelque chose dans les descriptions de notre boutique d’applications en termes de meilleure divulgation – nous aurons probablement quelque chose d’ici la fin de la journée.
« Je comprends la préoccupation que nous essayons de résoudre de différentes manières, mais pour être clair, aucune application ne fournira une protection à 100 % pour diverses raisons, et les scripts en question ici bénéficient actuellement d’une protection importante dans notre navigateur. , » il ajouta.
Nous avons contacté Weinberg avec des questions. Il nous a envoyé cette déclaration :
Nous avons toujours été extrêmement attentifs à ne jamais promettre l’anonymat lors de la navigation, car ce n’est franchement pas possible compte tenu de la rapidité avec laquelle les trackers modifient leur fonctionnement pour échapper aux protections et aux outils que nous proposons actuellement. Lorsque la plupart des autres navigateurs sur le marché parlent de protection contre le suivi, ils font généralement référence à la protection des cookies tiers et à la protection des empreintes digitales, et nos navigateurs pour iOS, Android et notre nouvelle version bêta de Mac imposent ces restrictions aux scripts de suivi tiers, y compris ceux de Microsoft. Nous parlons ici d’une protection supérieure que la plupart des navigateurs n’essayent même pas de faire, c’est-à-dire de bloquer les scripts de suivi tiers avant même qu’ils ne se chargent sur des sites Web tiers. Étant donné que cela peut entraîner la panne de sites Web, nous ne pouvons en aucun cas le faire autant que nous le souhaitons. Notre objectif, cependant, a toujours été de fournir le plus de confidentialité possible en un seul téléchargement, par défaut sans aucun paramètre compliqué, nous l’avons donc pris en charge.
Nous avons également posé des questions à Microsoft sur la limitation qu’il impose aux partenaires de syndication de recherche, mais au moment de la rédaction de cet article, le géant de la technologie n’avait pas répondu.
Les compromis en matière de confidentialité ne sont jamais importants, mais une conclusion semble incontournable ici : les régulateurs antitrust doivent examiner de près le marché de la syndication de recherche – étant donné qu’il est essentiellement composé de deux géants de la technologie publicitaire, Google et Microsoft, qui sont pleinement habilités à appliquer des conditions (injustes) sur toute autre personne souhaitant proposer un produit de recherche concurrentiel, voire, dans certains cas, un navigateur Web alternatif.
Les régulateurs européens ont récemment convenu d’un nouveau régime de concurrence ex ante qui vise les plates-formes d’intermédiation les plus puissantes – que la loi sur les marchés numériques appelle les «gardiens» d’Internet. La DMA s’applique clairement aux moteurs de recherche, mais il reste à voir si la Commission saisira l’opportunité d’utiliser le règlement entrant pour ouvrir le marché de la recherche en appliquant des conditions d’utilisation équitables autour de la syndication de recherche sur les deux seuls index qui comptent.