Pourquoi avons-nous accepté la surveillance comme valeur par défaut

 (vivianvoss.net)
1 points par GN⁺ 9 일 전 | 1 commentaires | Partager sur WhatsApp
  • Le financement du web par la publicité et le ciblage fondé sur le suivi ont été liés dans une même chaîne logique, si bien que le suivi intersites s’est imposé non comme une option distincte, mais comme une hypothèse par défaut
  • DoubleClick DART et les third-party cookies ont permis de suivre un même utilisateur sur plusieurs sites web, et cette infrastructure a perduré par la suite
  • Les 10 000 plus grands sites chargent en moyenne 7 third-party trackers par page, 41,1 % du trafic s’accompagne de traceurs, et chaque traceur supplémentaire augmente le temps de chargement d’environ 2,5 %
  • L’industrie des bannières de cookies s’est elle aussi constituée en marché à part entière, et lorsque le bouton « Reject all » est dissimulé, jusqu’à 90 % des utilisateurs acceptent, dans une réaction qui relève davantage de la fatigue que du consentement
  • Apple ATT a fait chuter le taux d’opt-in à 15 à 25 % avec une simple demande d’autorisation au niveau du système d’exploitation, entraînant une perte estimée à environ 10 milliards de dollars pour le chiffre d’affaires 2022 de Meta, ce qui montre que le suivi activé par défaut n’était pas une fatalité technique, mais un choix

Axiome

  • La structure actuelle est justifiée par une chaîne logique selon laquelle la publicité finance le web, le suivi rend la publicité possible, donc le suivi est nécessaire
    • Les bannières de cookies sont traitées comme des reçus modernes, et cliquer sur « Accept » est assimilé à un consentement
    • Cette structure peut sembler d’une logique propre, mais ses prémisses méritent d’être examinées séparément
  • Personne n’a voté pour cette structure, et elle s’est pourtant installée telle quelle
    • Au moment où la FTC et l’UE terminaient leurs débats sur la concurrence de marché, l’architecture du web s’était discrètement transformée en système de surveillance

Origines

  • DoubleClick a été fondée à New York en 1996, et son produit DART reposait sur le principe de suivre les utilisateurs d’un site à l’autre pour leur afficher des publicités pertinentes
    • DART signifie Dynamic Advertising, Reporting, and Targeting
    • L’idée centrale était que les annonceurs devaient pouvoir suivre une même personne sur plusieurs sites web
  • L’innovation technique clé a été le third-party cookie, un petit fichier texte déposé par un serveur que l’utilisateur n’avait pas visité, puis utilisé pour suivre cette personne sur tous les sites web qui chargeaient ce pixel
    • Le mécanisme technique en lui-même était banal, mais ses conséquences structurelles ne l’étaient pas
    • À une époque où les bannières publicitaires existaient déjà, cela a posé les bases d’un suivi intersites allant au-delà de la simple exposition aléatoire
  • Après l’acquisition d’Abacus Direct en 1999, la fusion des deux bases de données a été proposée, ce qui a conduit la FTC américaine à ouvrir une enquête
    • DoubleClick a reculé, mais Google a fini par l’acquérir en 2007 pour 3,1 milliards de dollars
    • L’enquête appartient désormais au passé, mais l’infrastructure mise en place est restée
  • La trajectoire s’est poursuivie au-delà des fondateurs
    • Kevin O'Connor a quitté DoubleClick en 2001 et dirige ScOp Venture Capital, où il investit dans des entreprises technologiques de nouvelle génération
    • Dwight Merriman, après dix ans comme CTO de DoubleClick, a cofondé MongoDB en 2007 avec un autre ancien de DoubleClick, Eliot Horowitz
    • La même équipe qui a construit un pipeline de surveillance intersites a ainsi aussi bâti la base de données documentaire qui fait tourner une grande partie du web moderne
    • Le réseau des anciens de DoubleClick est décrit comme une diaspora de talents particulièrement importante dans l’industrie technologique contemporaine

Un schéma antérieur à DoubleClick

  • Prodigy était un service en ligne exploité de 1984 à 2001, qui avait déjà mis en œuvre une première version de la même logique
    • Pour réduire les coûts de réseau et de serveurs, le service avait adopté une méthode consistant à mettre en cache les données sur l’ordinateur personnel de l’utilisateur, ou à proximité
    • La justification était la réduction des coûts d’infrastructure, et l’effet secondaire fut l’accumulation massive de données comportementales
  • Ce schéma est plus ancien que le web, et même plus ancien que le third-party cookie
    • L’idée essentielle est que les données utilisateur collectées pour des raisons opérationnelles finissent par devenir un actif commercialement attractif
  • Les chemins de données conçus pour optimiser les coûts finissent par être réutilisés pour extraire de la valeur
    • La vraie question n’est donc pas de savoir quand cela a commencé, mais pourquoi aucune couche du protocole n’a empêché cela

Coûts

  • Un site web moyen charge aujourd’hui 7 third-party trackers par page, selon les 10 000 plus grands sites
    • Ces 10 000 plus grands sites sont pourtant considérés comme la partie relativement la plus respectable d’Internet
    • 41,1 % de leur trafic s’accompagne de traceurs
  • La procédure de consentement elle-même est devenue une industrie distincte
    • 67 % des bannières de cookies sont fournies par des Consent Management Platforms
    • Trois entreprises détiennent 37 % de ce marché
    • Seuls 15 % des sites web atteignent le niveau minimal de conformité au RGPD
  • Lorsque le bouton « Reject all » est caché derrière plusieurs clics, jusqu’à 90 % des utilisateurs acceptent
    • Cela relève non pas du consentement, mais de la fatigue
  • Les coûts matériels sont eux aussi bien réels
    • Chaque traceur supplémentaire augmente le temps de chargement de la page d’environ 2,5 %
    • Les sites fortement chargés en traceurs fonctionnent environ 10 fois plus lentement que lorsqu’on consulte la même page avec le suivi bloqué
  • Le real-time bidding traite environ 600 milliards de requêtes par jour, soit près de 6,9 millions par seconde
    • Chaque bannière, boîte de dialogue et requête en arrière-plan consomme de la bande passante, de la batterie et de l’électricité
    • Tout le monde paie la facture, mais elle n’apparaît en détail pour personne

Preuves

  • Le problème ne porte pas sur les deux fondateurs en tant qu’individus, mais sur une réponse logique à des pressions commerciales
    • Les réseaux publicitaires voulaient de la portée, les éditeurs voulaient des revenus, et le third-party cookie permettait de satisfaire ces deux besoins
    • Cela conduit moins à blâmer des personnes qu’à demander pourquoi les navigateurs ont facilité ce modèle
  • La question plus profonde porte sur le choix structurel
    • Les navigateurs ont été conçus pour charger du contenu, mais ils auraient aussi pu être conçus pour empêcher que les utilisateurs soient pistés
    • Ils auraient aussi pu protéger contre l’économie grise de la fraude qui s’est développée sur la même trajectoire
  • Apple ATT est présenté comme une démonstration concrète de cette possibilité de choix
    • Introduit en avril 2021 avec iOS 14.5
    • Une simple invite au niveau de l’OS demande si une app peut suivre l’utilisateur à travers d’autres apps et sites web
    • Lorsqu’on pose réellement la question, le taux d’opt-in reste à 15 à 25 %
    • Le CFO de Meta, David Wehner, a estimé la perte de chiffre d’affaires 2022 à environ 10 milliards de dollars
  • Le texte souligne que la technologie nécessaire existait depuis le départ, et que le suivi activé par défaut était un choix fait par les fournisseurs de navigateurs

Question

  • Le texte demande si le résultat aurait été différent si les navigateurs avaient traité les données personnelles comme les systèmes d’exploitation traitent les binaires non signés, en les bloquant jusqu’à autorisation explicite
    • Il pose la question de ce qui se serait passé si le protocole lui-même avait défendu les utilisateurs plutôt que les annonceurs
    • Il demande aussi ce qu’il serait advenu si les requêtes intersites avaient été traitées avec scepticisme, comme un colis qu’un inconnu vous demande de garder dans un train
  • Trente ans plus tard, cette question reste sans réponse
    • L’infrastructure perdure parce qu’une fois construite, elle continue d’exister, et parce qu’il est inconfortable pour les organisations qui l’ont créée de la remettre en cause
  • Le fait qu’une simple invite d’Apple ait déplacé 10 milliards de dollars en un an sert de point de référence
    • Que se serait-il déplacé s’il y avait eu douze invites de ce type ?
    • Et qu’est-ce qui aurait changé si les third-party cookies n’avaient jamais été lancés en 1996 ?
  • Au lieu d’une conclusion définitive, il ne reste qu’un constat : personne n’a été consulté

À lire aussi

1 commentaires

 
GN⁺ 9 일 전
Commentaires sur Hacker News

  • J’ai l’impression que la publicité personnalisée est plus illusoire qu’on ne le pense. Il y a bien des indices, comme l’impact d’Apple ATT sur les revenus de Meta, mais environ 30 % des pubs que je vois sur Facebook et YouTube ressemblent à de la pub frauduleuse flagrante qui pourrait être diffusée même sans profilage. Par exemple, j’ai vu toute une semaine une pub imitant une notification Facebook, et en cliquant on tombait sur une page qui essayait de faire peur en disant que l’on avait été piraté. Je l’ai même signalée, et pourtant elle est restée en ligne longtemps, ce qui m’a paru étrange. Quant aux pubs réellement adaptées à mon profil, il y en a presque aucune, et on me montre surtout en boucle du retargeting pour des produits que j’ai déjà achetés, au point que je me demande si je suis à ce point un utilisateur sans valeur marchande

    • Le fait que certaines personnes reçoivent des pubs absurdes ne prouve pas que le système de surveillance ne fonctionne pas. La vraie question, c’est combien d’argent se concentre sur les campagnes de ciblage fin. Les pubs elles-mêmes peuvent être relativement inoffensives, mais si les mêmes données tombent entre les mains d’acteurs étatiques, elles deviennent bien plus importantes comme outil de répression des citoyens. Elles peuvent servir à décider comment redécouper des circonscriptions, où installer des équipements indésirables ou des bibliothèques, qui repérer pour l’expulsion, ou comment influencer telle ou telle personne dans une campagne politique. Même avec une certaine marge d’erreur, c’est largement suffisant pour réduire énormément le tri manuel
    • Je comprends aussi que je bloque beaucoup de traqueurs web, donc qu’il est difficile pour les annonceurs de me cibler. Mais on dirait qu’ils n’exploitent même pas correctement les informations qu’ils devraient pourtant pouvoir utiliser. D’après mon expérience, les régies pub font un ciblage lamentable. Sur YouTube, je reçois en permanence des pubs en turc, vietnamien, arabe, japonais ou chinois, alors que je n’y comprends absolument rien. La langue de mon compte Google, de mon navigateur et de mes appareils est configurée, je n’utilise pas de VPN, donc Google devrait savoir quelle langue je parle et où je me trouve. Je ne comprends donc pas pourquoi ces pubs me sont servies. Avant, j’avais désactivé les pubs personnalisées sur YouTube, et à ce moment-là les pubs étaient presque à 100 % des arnaques, des deepfakes ou des produits illégaux, donc il y a quelques mois je les ai volontairement réactivées. Depuis, les pubs porno ou pour des drogues illégales ont diminué, mais la majorité reste frauduleuse et sans aucun rapport avec mon profil démographique. Les pubs politiques venues de centaines de kilomètres ou les pubs dans des langues que je ne connais pas sont si fréquentes que, quand je vois parfois une pub pour un restaurant local, je me demande presque si c’est du vrai ciblage ou juste un hasard. Je penche fortement pour la seconde hypothèse
    • Le fait d’être bombardé de pubs pour des produits déjà achetés est justement, à mon avis, l’exemple qui montre le mieux les failles de la publicité ciblée
    • Mon expérience limitée me pousse finalement à penser que le ciblage lui-même n’a pas tant d’importance. Facebook crée chez ses utilisateurs une forme d’addiction numérique, et les utilisateurs paient en retour avec leur attention. Cette attention est ensuite vendue au plus offrant. Le contenu exact de la pub importe peu ; j’ai plutôt l’impression que les données collectées servent avant tout à renforcer cette addiction
    • Avant, je signalais souvent les publicités frauduleuses sur Facebook, et la réponse était toujours en gros qu’il n’y avait aucun problème. Apparemment, selon les critères de Facebook, les fausses vidéos d’investissement en IA imitant des célébrités ou des responsables politiques sont acceptables, et ça me met vraiment en colère

  • J’avais vu il y a longtemps un reportage sur la fin du régime de Ceaușescu, et l’un des indicateurs du niveau de répression mentionnés était la présence de caméras vidéo fixées aux lampadaires

    • À mon avis, ce que tu as vu était probablement de la propagande. En 1989, il n’y avait pas ça en Roumanie. Le pays n’était pas assez riche pour installer ce genre de système sophistiqué, et je peux le dire en tant que personne qui a vécu cette époque
    • Je pense aussi que ce reportage relevait davantage de la propagande sans fondement. Il n’existe pas de preuve que le régime roumain des années 1980 ait installé des caméras vidéo sur les lampadaires. Et puis pourquoi auraient-ils dépensé de l’argent dans une technologie aussi coûteuse ? À l’époque, il y avait déjà largement assez de gens pour espionner les autres et les dénoncer

  • Ce texte m’a donné l’impression d’avoir été écrit par un LLM

  • En voyant militarisme, surveillance, propagande et nationalisme, ça me fait penser à quelque chose. J’en viens à me demander si, désormais, les méchants, c’est nous

    • Dans ce cas, j’ai envie de poser la question inverse. Selon mes critères, existe-t-il ne serait-ce qu’un seul État qui fonctionne correctement sans être du côté des méchants ?
    • À mon avis, ça a toujours été comme ça
    • J’ai souvent l’impression que certaines personnes n’en prennent jamais vraiment conscience
    • Ce genre de phrase ressemble à une flatterie pour récolter des upvotes que des gens de n’importe quel pays pourraient apprécier

  • Tant que la manière de gagner de l’argent sur le web restera la publicité, l’État de surveillance survivra

    • Je pense que la surveillance continuerait même avec des services payants. Pourquoi s’en priver ? Ce serait une source de revenus supplémentaire
    • Le problème est, à mon sens, encore plus pervers. Le pouvoir étatique désireux de surveiller et le secteur privé cherchant à maximiser les revenus publicitaires finissent par faire cause commune. Ensuite, les juristes risquent d’expliquer que, de toute façon, la vie privée ou la liberté n’ont jamais réellement existé
    • J’ai vu beaucoup de sites sans publicité intégrer malgré tout du suivi et du fingerprinting pour leur propre marketing ou pour des fonctions de sécurité
    • Cela dit, la publicité en elle-même n’exige pas forcément la surveillance
    • Au moins, la direction de la solution me paraît claire. Même si le chemin vers un web sans publicité n’est pas simple, cela reste manifestement une solution précieuse en tant que bien public

  • On dirait que le blog a probablement subi un hug of death. Je laisse donc un lien d’archive

  • À mon avis, ce genre de chose est impossible dans l’UE

  • Quand Apple a lancé App Tracking Transparency, je l’ai activé tout de suite pour bloquer les traqueurs, et c’était tellement simple et utile que je n’y ai plus repensé ensuite. Le contraste avec les sites web qui, aujourd’hui, exigent toutes sortes de acrobaties de clics pour désactiver un suivi similaire m’a beaucoup frappé

    • Ironiquement, Apple lui-même est aussi, à mon avis, l’une des immenses régies publicitaires qui prospèrent grâce aux données personnelles des utilisateurs. Mais en bloquant les autres régies tout en pointant le doigt vers l’extérieur, l’entreprise semble avoir gagné presque entièrement la confiance des utilisateurs. La plupart ne savent probablement même pas à quel point Apple tire des revenus publicitaires de leurs données. Article sur l’activité publicitaire de 4 milliards de dollars d’Apple
    • Il y a ici un malentendu fréquent. ATT ne bloque pas complètement les traqueurs. Si l’on utilise un bloqueur pub/suivi basé sur DNS et qu’on regarde les logs, beaucoup d’apps continuent à essayer de tracer les utilisateurs. D’après ce que j’ai compris, ATT se rapproche davantage d’un blocage du suivi croisé entre applications et entre sites web. L’idée est d’empêcher les apps d’accéder à l’IDFA afin qu’elles ne puissent pas utiliser un identifiant commun sur plusieurs applications. Au début, l’impact financier a été important, mais il est probable qu’aujourd’hui les entreprises de tracking aient développé pas mal d’autres techniques de corrélation. La vraie solution serait qu’Apple et Google proposent une option pour désactiver complètement les traqueurs intégrés aux apps, avec exclusion de l’App Store en cas de violation. Mais comme ils gagnent eux-mêmes beaucoup d’argent via leurs réseaux publicitaires, je ne pense pas qu’ils le feront. Au final, Apple et Google ne sont pas de notre côté sur ce sujet
    • Ironiquement, même si Google le voulait, il lui serait difficile de désactiver les third-party cookies. Cela pourrait être considéré comme une pratique anticoncurrentielle vis-à-vis des autres réseaux de tracking, et les tribunaux l’en empêchent
    • Pour ma part, je pense plutôt que cette procédure compliquée de clics nécessaire pour désactiver le suivi devrait être autorisée par la loi uniquement en opt-in. Le système actuel de consentement par défaut, enfoui dans des conditions que personne ne lit, doit changer
    • Chez moi, c’est l’inverse : avec la combinaison Firefox, arkenfox et uBlock Origin en mode avancé, ce sont plutôt les fonctions de suivi similaires qu’il faut activer au prix de toutes sortes d’acrobaties de clics

  • Ce blog est peut-être candidat au design le moins sérieux que j’aie vu cette année

    • Pour le design, je ne sais pas, mais il me semble qu’il y avait bien un article quelque part. Pour référence, j’ai environ 3000 points

  • Chaque fois que je lis les billets de cet auteur, je me laisse distraire par le Space Invaders sur le côté et je finis par jouer à ça. J’ai peut-être un petit côté TDAH, mais je doute d’être le seul

    • Moi aussi, j’ai joué quelques minutes et je n’ai pas réussi à finir l’article. J’ai moi aussi un TDAH, mais pour ma défense, le Space Invaders à la souris est plutôt amusant
    • Si l’auteur avait vraiment voulu faire passer un message important, une telle mise en page aurait au contraire affaibli son propre message
    • Moi, je pense qu’il suffit de jouer tout en lisant. C’était une combinaison plutôt sympa
    • Je parcourais juste les commentaires, et c’est seulement en lisant ça que j’ai décidé de ne plus remettre le clic à plus tard. J’ai l’impression que je vais passer l’heure qui vient sur Space Invaders
    • Attends, quel article déjà ?