Le coin des débutants

Dans la même rubrique

Le coin des débutants

8 novembre 2002

Comment monter un réseau de p2p ?

21 octobre 2002

Les logiciels libres grand public pour windows

7 juillet 2002

Les virus

18 avril 2002

Un leecher sachant leecher

5 avril 2002

Du multimedia comme s’il en pleuvait

28 mars 2002

Cinema, cinema !

11 mars 2002

Et si je le veux dynamique mon site ?

20 février 2002

Serveur web mon ami

13 septembre 2001

Qu’est-ce que le PHP ?

30 août 2001

Qu’est-ce qu’un troll ?

2 mai 2001

Les cookies (leur vie, leurs moeurs)

29 avril 2001

Les cookies (leur vie, leurs moeurs)

15 septembre 2000

Cékoidonc, Internet ?

11 septembre 2000

Éléoù, l’information ?

Cyber-économie mon amour

Internet & Journalisme

Pressions & répression

dimanche 28 octobre 2001

Web bugs et traçage par les certificateurs d’audience

par Patrice

Outils de suivi statistique mis en place sur les sites Web, ces systèmes
n’en constituent pas moins une atteinte potentielle à la vie privée. Même
si les informations collectées restent la plupart du temps « anonymes »,
nous sommes de fait en situation de « croire sur parole » les
éditeurs / fournisseurs de ces systèmes de comptage quant à la nature
des informations qu’ils collectent et à l’exploitation qui en est faite.

Comment ça marche ?

Le principe général est de placer un marqueur sur une ou plusieurs
pages Web d’un site. A chaque fois que la page sera appelée par un
internaute, le compteur sera incrémenté chez le certificateur d’audience
permettant ainsi au webmaster du site de suivre son audience. Il faut
noter que selon les systèmes, des informations plus ou moins précises
sont véhiculées vers le certificateur : site et page appelés bien sûr,
mais aussi le navigateur utilisé, la version, le système d’exploitation de
l’internaute...

Le marqueur peut prendre plusieurs formes

un logo bien visible pour les systèmes de certification comme
Weborama, Xiti, eStats, etc. - du moins dans leur version gratuite ;

une image « invisible », ce qu’on appelle un « web bug » pour d’autres
systèmes comme eXtreme, Nedstat, etc.

De plus, le système de comptage peut être complété par un cookie,
non pas envoyé par le site, mais par le certificateur d’audience externe
qui peut aussi être une régie publicitaire (exemple Double-Click).
Dans ce cas, le cookie va permettre de suivre l’internaute sur la toile -
pas seulement sur un site mais sur des milliers de sites - et de constituer
un profil à partir duquel on pourra le « cibler » avec la publicité.
Données « anonymes » direz-vous ? mais que se passe-t-il lorsque vous
répondez à une enquête sur un site, lorsque vous remplissez un formulaire...
êtes-vous sûr que certaines de ces données ne sont pas transmises au
certificateur d’audience ? Parce que dans ce cas, il serait en mesure de
constituer un profil non plus « anonyme » mais nominatif !
Oui bien sûr, ce sont des gens sérieux qui ne se permettraient jamais
de faire des choses pareilles... Ils gagnent leur vie avec la revente de
ce type d’informations, mais on peut leur faire confiance ? Moi, pas.

Un usage généralisé

La plupart des sites marchands utilisent des systèmes de ce type :
c’est même pour certains, le « coeur » de leur métier... et de leur chiffre
d’affaires.

Je suis par contre surpris de voir ces systèmes assez largement utilisés
sur des sites persos, associatifs, indépendants, non marchands...

Puisque cet article est destiné à être publié sur Uzine, j’ai testé la
cinquantaine de sites réalisés avec SPIP mentionnés sur le site
d’Uzine ; voici les résultats de ce sondage rapide.

Parmi cet échantillon, 3 sites utilisent Xiti. Ce système - du moins la
version gratuite - étant visible par l’internaute (logo jaune souvent en
haut ou bas de page) et surtout ne mettant pas de cookie en oeuvre peut
être considéré comme le plus anodin ; outre les hits sur les pages marquées
il récupère cependant diverses données sur l’environnement de l’internaute :
date et heure du passage, informations sur le navigateur, résolution d’écran...
Les 3 sites n’utilisent que Xiti mais attention, Xiti est parfois combiné avec
des services de régies publicitaires qui elles émettent des cookies.

Trois autres sites utilisent des web bugs ne mettant pas en oeuvre de cookies ;
ces systèmes ont sensiblement les mêmes caractéristiques que Xiti,
mentionnées plus haut : par contre, ils ne sont pas immédiatement
repérables par l’internaute (c’est tout l’intérêt d’un web bug, être invisible...).
Les systèmes mis en oeuvre sont : eXtreme, Nedstat et Witbe.

Enfin 8 autres sites utilisent des systèmes de comptage mettant
en oeuvre des cookies envoyés par les tiers certificateurs, soit sur la base
d’un marqueur visible, soit sur la base d’un web bug ; les systèmes utilisés
sont : Weborama, Ousurfer, Efiliation, Swisstools et Cybermonitor.
On pourra de plus mentionner que 5 autres sites perso hébergés chez
Free sont monitorés par Estats (cookie).

Pas de volonté polémique ici ; je ne mets absolument pas en cause
la bonne foi des webmasters de ces sites : il doit simplement s’agir d’une
méconnaissance de ce que visent ces outils, d’une négligence ou cela
vient tout simplement du fait que les webmasters ne considèrent pas
qu’il y a là un problème.

Avec les systèmes sans cookies, rien de dramatique en effet : chacun
de nos hits ne fait qu’envoyer une information anonyme... mais cela
me met toujours mal à l’aise de savoir que ces systèmes sont mis en
oeuvre sans en informer les utilisateurs ; pourquoi ne pas être explicite ?
Et pour quelles raisons sur un site associatif ou non-marchand, promouvoir
de fait l’utilisation de ces systèmes qui finalement banalisent le fait qu’on
soit analysé, statistisé, comptabilisé, le tout à notre insu ? Comme l’a
très bien exprimé récemment le participant d’un forum sur ce thème :
« Chaque nouveau compteur est un coup de canif des marchands dans
le Web indépendant » (Walk Wallkatol).

Avec les systèmes utilisant des cookies, c’est une autre histoire : la
méfiance légitime qu’on peut avoir envers des entreprises dont le
métier est de vendre des données marketing et qui par le passé,
n’ont accepté de donner un peu de transparence à leurs activités
que sous la pression des associations de défense de la vie privée,
devrait selon moi conduire les webmasters indépendants à un refus
pur et simple de ces systèmes.

Comment les utilisateurs peuvent-ils se protéger ?

Installer IDecide ;
ce petit logiciel qui s’installe dans le navigateur bloquera sélectivement
les cookies envoyés par les tracking networks (certificateurs d’audience
et régies publicitaires).

Installer Bugnosis de la Privacy
Foundation (IE5+) ; il vous indiquera les web bugs présents dans
les pages que vous visitez.

Ne jamais donner ses coordonnées réelles sur les formulaires.

Vider le cache et détruire les cookies à chaque fin de session.

Quelles « bonnes pratiques » pour les Webmasters

Limiter l’usage des cookies au strict minimum (des cookies de
session non enregistrés sur les disques des internautes sont généralement
suffisants pour la plupart des usages) ;

Éviter de recourir aux web bugs et aux services des certificateurs
d’audience mettant en oeuvre des cookies ;

Publier sur le site une « privacy policy », une charte, indiquant la
nature exacte des moyens mis en oeuvre pour collecter de l’information
sur vos visiteurs ainsi que les autres recommandations données par la CNIL.
Je sais que pour certains sites cette pratique peut être hypocrite et
n’être là que comme caution - les certificateurs d’audience sont du reste
très forts dans cet exercice - mais l’hypocrisie n’est pas obligatoire !

Patrice

format impression

Patrice

Webmaster

EcoParis

Les Visiteurs & Neten’Track

21 avril 2003, message de Stéphane Blain

Pour le suivi d’audience j’utilise l’application PHP Les Visiteurs (cf le site www.phpinfo.net pour récupérer le code source), et je l’ai un peu déroutée pour faire du suivi de pages et pas que les visiteurs uniques.

Pour le suivi de bugs, j’utilise Neten’Track pour remontée les anomalies et demandes d’évolutions sur mes projets informatiques (recette externe et maintenance). Cf http://www.netency.com/netentrack notamment la solution gratuite.

bien à vous !

en ligne : pour mon suivi gratuit des bugs : Neten’Trackp

Ne pas confondre Stats et Logs

20 décembre 2001, message de Leon Trotsky

Salut les amis,

Un service de stats bien nommé n’a pas besoin de stocker d’informations individuelles, comme les IP.
Peut-être les sites marchands en veulent-ils beaucoup... dans ce cas on doit parler de "logs" où l’on peut tirer des stats précises, afin de rendre lisible ces logs.
Une page perso, ou non-commercial, quant à elle, n’a certainement pas besoin de services de stats usant de cookies, logs d’IP et autres, mais juste d’un fichier de stats de moins d’ 1 ko !
C’est ainsi qu’au moins 1 service de stats - francophone en passant - existe et n’utilise aucun pistage des visiteurs, autre que l’IP pendant 1 jour maxi : moostik.net
Celui à qui ces stats ne suffisent pas doit bien avoir un commerce à se reprocher ;-p
Il a failli aller sans dire que c’est un service non commercial, donc sans pub et casi independant du grand capital (car on ne l’est jamais tout à fait)

en ligne : Moostik

> Web bugs et traçage par les certificateurs d’audie

10 novembre 2001, message de jean etienne

POur sen proteger deux méthodes (desolé c sous windoze)
la premiere telecharger le filtre anti pub Webwasher qui filtre les images les pop-up et bien sur les WEB BUG !!! sur www.webwasher.com
c gratuit pour une utilisation non commerciale ...
deuxieme remplacer le fichier dans c :\windows\host par celui que vous trouverez sur www.smartin-designs.com/hosts_info.htm

cela empeche les sites de pub de s’afficher en indiquant dans le fichier Host que ad.doubleclick.net correspond à 127.0.0.1 tres pratique !!

esperant avoir apporté une solution

sincerement

en ligne : webwasher

c’est vraiment insensé !

1er novembre 2001

Highlighted images may be Web bugs. Highlighted images are suspicious.
Properties Contact Image URL
Tiny, Once, Protocols, Domain http://www.alibaweb.net/cgi-bin/services/livecounter.pl?compte=632&image=0&ref=http://www.insenses.org/&1004572083690
Tiny, Once, Domain http://rezo.net/syndic/rien.gif
Once, Protocols, Domain http://gold.weborama.fr/fcgi-bin/comptage.fcgi?ID=14856&ZONE=1&PAGE=1&ver=2&da2=1004575683&ta=1024x768&co=24&ref=http%3A//www.insenses.org/
Once, Protocols, Domain http://www.alibaweb.net/cgi-bin/services/livecounter.pl?compte=632&image=1&ref=http://www.insenses.org/&1004572083690

tout ceci se trouve sur cette page qui crânement nous annonce :
"Comptons-nous : si vous faites défiler cette page, vous verrez en bas un compteur qui indique le nombre de visiteurs "simultanés" passant par Insenses.org. Ca fait du monde, parfois...

Isolés, les indés ? Jetez donc un oeil à cette page, afin d’avoir du répondant pour la prochaine fois que vous aurez à défendre le web indépendant, c’est à dire celui qui mise sur la gratuité, le bénévolat, l’échange, la citoyenneté, la liberté d’expression... Vous constaterez ainsi que insenses.org (dont les stats sont accessibles à tous, cherchez bien) fait aussi bien que pas mal de sites soutenus par la pub et le business plan.
"

Grâce à Weborama nous pouvons voir que ce qui fait l’audience de ce site c’est le porno.

Merci qui ? Merci weborama.

en ligne : Y’a des coups de boost au cul qui se perdent ?

Mon IP n’est pas ma carte d’identité.

1er novembre 2001, message de oim

Les outils d’analyse de stats installés sur le serveur sont, à mon humble avis, bien plus dangereux que ces services là. Un numéro IP ce n’est ni ta photo ni ton numéro de sécurité sociale. Pas de quoi flipouiller ainsi. Le marketing est partout, les socio-styles ont toujours existé, pourquoi s’étonner de le voir aussi exister sur le web ?

La stat pro vendue aux tarifs actuels est trop onéreuse pour un site perso qui fait un peu d’audience (au dela de 1’000 pages par jour).

Des outils comme weborama, bien utilisés par un webmaster, peuvent l’aider à améliorer son site. Et Weborama ne fournit pas les IP.

Le service informatique de ta boite a tes logs, il sait où tu as surfé, quand et ça c’est bien plus ennuyeux.

Sachons ne pas banaliser ce qui ne devrait pas l’être et ne pas dramatiser un fait de société qui existe depuis que la pub est omniprésente dans nos vies.

oim

>Le marketing est partout où on le laisse entrer, Patrice, 1er novembre 2001

>Les outils d’analyse de stats installés sur le serveur sont, à mon humble avis, bien plus dangereux que ces services là...
Non je ne pense pas. Ce qui est selon moi préoccupant c’est qu’un tiers puisse suive ton parcours sur de multiples sites et compiler un profil qui englobe tous les aspects de la vie privée. Les systèmes installés sur un serveur limitent de fait leurs observations à ce serveur.
Pour prendre une analogie : cela ne me gène pas que le libraire de mon quartier connaisse mes goûts... cela me gènerait beaucoup plus si tous les commerçants du quartier, le curé, le médecin, les associations, etc. faisaient une réunion de temps en temps pour mettre en commun tout ce qu’ils savent sur moi !

>Pas de quoi flipouiller ainsi. Le marketing est partout, les socio-styles ont toujours existé, pourquoi s’étonner de le voir aussi exister sur le web ?
On ne s’étonne pas ... mais faut-il pour autant participer volontairement à ces systèmes d’encartage marketing ? la raison, "parce qu’ils ont toujours existé", me semble manquer un tant soi peu de responsabilité... sur ce motif, on peut laisser tomber toute action visant à modifier le cours des choses

>Sachons ne pas banaliser ce qui ne devrait pas l’être et ne pas dramatiser un fait de société qui existe depuis que la pub est omniprésente dans nos vies.
Je crois malheureusement que ces systèmes sont déjà banalisés... on n’a visiblement pas su réagir - certainement parce que "cela a toujours existé"...
Il ne s’agit pas de dramatiser... mais simplement d’être conscient de ce à quoi on souhaite participer ou pas quand on est webmaster d’un site indépendant ou associatif. Les choix individuels pérennisent un système ou contribuent à le changer

en ligne : EcoParis

ça c’est dangereux. L’ossature des serveurs à poil sur internet..., 1er novembre 2001

Non je ne pense pas. Ce qui est selon moi préoccupant c’est qu’un tiers puisse suive ton parcours sur de multiples sites et compiler un profil qui englobe tous les aspects de la vie privée. Les systèmes installés sur un serveur limitent de fait leurs observations à ce serveur.
Pour prendre une analogie : cela ne me gène pas que le libraire de mon quartier connaisse mes goûts... cela me gènerait beaucoup plus si tous les commerçants du quartier, le curé, le médecin, les associations, etc. faisaient une réunion de temps en temps pour mettre en commun tout ce qu’ils savent sur moi !

si si

exemple de ce que j’avance, au hasard.

Ce qui serait dangereux serait de trouver ces stats -ci de weborama ou xiti ?

en ligne : statisticatons ...

> >Le marketing est partout où on le laisse entrer, 1er novembre 2001

"la raison, "parce qu’ils ont toujours existé", me semble manquer un tant soi peu de responsabilité... sur ce motif, on peut laisser tomber toute action visant à modifier le cours des choses"

Il est des combats plus importants que ceux-ci, me semble t’il.

>Il est des combats plus importants que ceux-ci, me semble t’il. , Patrice, 1er novembre 2001

Qui a dit le contraire ?

en ligne : EcoParis

marketing et manipulation mentale existencielle, Walk, 1er novembre 2001

Eh ben, si tous les "combats plus importants" arrêtent tous les "combats moins importants" yaura plus grand chose à combattre ... Sa propre mort ptet ?

Tiens, la peine de mort a toujours existé dans la plus grrrrrand pays du monde, pourquoi on s’embêterait à l’abolir en France ?

Après tout les indiens et les noirs en ont fait leur deuil hein ?

Et puis c’est dans le fumier que poussent les plus belles roses.

Vive le fumier marketing !

en ligne : Cerveau marketing

pas une remarque sur le problème de fond ?, oim, 1er novembre 2001

Répondez moi plutôt sur le fait que de laisser ses stats à poil sur internet, stats logées sur le serveur, est plus dangereux que l’éventualité de voir nos données perso (IP- navigateur - OS - résolution écran) devenir la proie du web marchand.

Ceci est un combat plus important, non ?
Or, ton article va dans le sens de la promotion de ces outils là.

Top 20 sites
This is based on the numbers of documents accessed by users calling from each IP address
Overall top 20 sites
Accesses IP address DNS name
======== ========== ========
124 206.171.21.42
121 148.114.40.28 ddean.ssc.nasa.gov
89 131.182.119.128
76 128.102.92.12 naic2.arc.nasa.gov
73 148.114.17.28 taz.ssc.nasa.gov
50 131.182.119.105 gather.it.hq.nasa.gov
50 148.114.40.43 kduke2.ssc.nasa.gov
47 204.162.96.42 bull-bbn.infoseek.com
41 152.163.233.29
39 192.149.138.36 slip1.tsei.k12.ms.us
36 152.163.233.5
33 206.64.113.2
33 152.163.233.13
24 152.163.231.131
23 194.22.130.9 alpha.freeside.net
22 152.163.231.179
22 152.163.231.161
22 152.163.231.175
22 152.163.231.141 www-r1.proxy.aol.com
20 152.163.231.151

Top 20 SSC sites
Accesses IP address DNS name
======== ========== ========
121 148.114.40.28 ddean.ssc.nasa.gov
73 148.114.17.28 taz.ssc.nasa.gov
50 148.114.40.43 kduke2.ssc.nasa.gov
10 148.114.16.50 ebrichar.ssc.nasa.gov
9 148.114.201.35 trend1.ssc.nasa.gov
7 148.114.64.3 meltom.ssc.nasa.gov
6 148.114.120.3 nsulliva.ssc.nasa.gov
5 148.114.120.240
5 148.114.9.46 ssc1325335.ssc.nasa.gov
4 148.114.4.1 kioski.ssc.nasa.gov
3 148.114.71.137 ssc1325027.ssc.nasa.gov
3 148.114.17.5 jaustill.ssc.nasa.gov
3 148.114.201.37 trend7.ssc.nasa.gov
2 148.114.40.134 ssc1540281.ssc.nasa.gov
2 148.114.41.5 famato.ssc.nasa.gov
2 148.114.40.73 lwilson.ssc.nasa.gov
2 148.114.9.56 erusso.ssc.nasa.gov
2 148.114.64.118
2 148.114.71.10
2 148.114.9.67 ssc1540758.ssc.nasa.gov

Top 20 outside sites
Accesses IP address DNS name
======== ========== ========
124 206.171.21.42
89 131.182.119.128
76 128.102.92.12 naic2.arc.nasa.gov
50 131.182.119.105 gather.it.hq.nasa.gov
47 204.162.96.42 bull-bbn.infoseek.com
41 152.163.233.29
39 192.149.138.36 slip1.tsei.k12.ms.us
36 152.163.233.5
33 152.163.233.13
33 206.64.113.2
24 152.163.231.131
23 194.22.130.9 alpha.freeside.net
22 152.163.231.161
22 152.163.231.175
22 152.163.231.179
22 152.163.231.141 www-r1.proxy.aol.com
20 152.163.231.151
16 132.170.207.79 cc2-106-cf082737.ir.ucf.edu
14 206.81.60.10
13 198.48.94.68 wolfman.cs.washington.edu

Top 20 domains
This is based on the numbers of documents accessed by users calling from each domain
Accesses Domain Country
======== ====== =======
1126
378 com US Commercial*
359 edu US Educational*
333 ssc.nasa.gov (SSC)
309 net US Network*
171 gov US Government*
72 us USA
35 org US Non-Commercial*
25 ca Canada
13 uk United Kingdom
9 mil US Military*
7 au Australia
7 jp Japan
5 fi Finland
4 arpa US Arpanet*
3 nl Netherlands
3 fr France
2 de Germany
2 za South Africa
2 se Sweden

(* = mainly US based)

en ligne : statisticaton - 2 - nasa_96_stats

> pas une remarque sur le problème de fond ?, Walk, 1er novembre 2001

j’ai pas révé, j’ai bien lu :

ne pas dramatiser un fait de société qui existe depuis que la pub est omniprésente dans nos vies.

et puis aussi :

stats à poil sur internet (...) dangereux (...) proie du web marchand.

euh plus dangeureux que nos données perso, touche pas à mon IP quand même hein !

Les intéressés vont certainement te répondre, mais je maintiens qu’un combat ne doit pas en tuer un autre très voisin.

Désolé si tu bosses dans la pub, tu n’as ptet pas eu le choix, mais moi la secte subliminale à grande échelle non merci.

> > pas une remarque sur le problème de fond ?, 1er novembre 2001

Qui a dit que je bossais dans la pub ?

Ce n’est pas moi car je ne bosse pas dans la pub et qu’il faudrait me payer trés trés trés cher pour que je le fasse. Et je ne bosse pas non plus dans la Stat

Ce que moi je dis, c’est que depuis que le web est web les fichiers logs d’un serveurs font le bonheur des curieux et des hackers.

Je ne vois pas où se trouve le danger dans une ligne log de ce genre :

DATE/HEURE/IP/HOSTNAME/NAVIGATEUR/OS/REFERER

Ce sont les données que collectent les sites comme Weborama, xiti & Cie

Dans les stats serveurs mal sécurisées,du danger j’en vois autant que je vois d’url indiscrètes...

exemple (au hasard aussi) de stats qui traînent sur le web et qui sont trés dangereuses, à mon avis.

Les données perso, il suffit de ne pas les donner. Mentir sur un questionnaire, c’est le B-A BA de la sécurité. Vos mamans ne vous ont pas appris à ne pas raconter votre vie aux gens que vous ne connaissez pas et qui veulent vous donner des bonbons ?

Un petit firewall perso interdisant la diffusion de données perso sur des sites non-sécurisés feront que nos données perso seront aussi bien préservées que lorsque nous payons un repas au restaurant avec une carte de crédit. Ni plus, ni moins.

Il est des combats plus importants, je le maintiens. Par exemple, on peut expliquer à certains comment sécuriser leur site et mettre leurs répertoires locaux ailleurs qu’en vitrine.

en ligne : Il y a Danger et Danger, Stats et Stats

> Remarque sur le problème de fond, Patrice, 1er novembre 2001

>Répondez moi plutôt sur le fait que de laisser ses stats à poil sur internet, stats logées sur le serveur, est plus dangereux que l’éventualité de voir nos données perso (IP- navigateur - OS - résolution écran) devenir la proie du web marchand.

Je ne sais pas si c’est plus ou moins important ou dangereux... je ne cherchais pas en publiant cet article à mettre en évidence LE problème le plus important en matière de sécurité sur Internet ou de protection de la vie privée... juste un problème parmi d’autres

Ceci mis à part, le fait qu’un site publie ses stats détaillées avec les adresses IP des utilisateurs pourrait effectivement poser un pbm de sécurité et de confidentialité...
Dans le cas que tu mentionnes (Nasa), il ne s’agit cependant pas d’une faille de sécurité sur le serveur mais d’un choix volontaire du site de publier ses stats.
Pour finir avec la publication des adresses IP, la plupart des internautes (du moins le grand public) utilisant une adresse dynamique sont cependant assez peu concernés en terme d’atteintes à la vie privée ou de risques d’intrusion sur leur machine.

Pour revenir aux certificateurs d’audience, 2 aspects soulevés dans l’article me semblent vraiment préoccupants :

Quand tu dis que la seule exploitation qui est faite c’est la collecte d’informations pour les besoins de comptage : navigateur, OS, résolution, referrer, etc., c’est certain pour des systèmes qui n’utilisent pas de cookie (exemple Xiti en version gratuite).
Par contre les autres systèmes utilisant des cookies (comme Weborama, Estats, etc.) offrent aux webmasters un service de comptage mais mettent en oeuvre également les techniques de "profiling".
Quant aux informations qu’ils collectent ou pas, les croisements qu’ils font ou pas dans leurs fichiers : la seule source d’information c’est les certificateurs d’audience eux-mêmes... il faut leur faire confiance et l’histoire nous apprend qu’il faut mieux garder un peu de recul par rapport à ces gens qui veulent nous offrir un Internet "mieux personnalisé", voir : le système mis en place par Real Audio, les différentes tentatives de Microsoft (install Win 95, Passport, tags), l’identifiant unique d’Intel, l’identifiant des fichiers Office, les spywares Aureate et compagnie, etc.

Par ailleurs, en dehors du comptage lui-même, il n’est pas exclu que l’exploitation des cookies puisse être liée à la récupération auprès de sites "amis" de données plus nominatives, ce qui permettrait de constituer un fichier "qualifié" et nominatif à haute valeur ajoutée... voir sur le site de la Privacy Foundation les exploitations possibles des web bugs.

En conclusion :

c’est bien comme tu le suggères d’apprendre aux internautes et aux webmasters à protéger leur machine ;

cela me semble bien également que les internautes soient conscients des outils qui sont mis en oeuvre la plupart du temps à leur insu

enfin, et c’était l’objectif initial de cet article, c’est bien que les webmasters indépendants soient conscients des systèmes et des philosophies sous-jacentes de ces systèmes, avant de poser les marqueurs sur leurs pages.

en ligne : EcoParis

> > Remarque sur le problème de fond, 2 novembre 2001

Dans le cas que tu mentionnes (Nasa), il ne s’agit cependant pas d’une faille de sécurité sur le serveur mais d’un choix volontaire du site de publier ses stats.<(i>

Bien entendu. Je ne vais évidement pas mettre ici des liens vers des stats involontairement mises en ligne. Ce serait nuire au site concerné. J’affirme que c’est trés dangereux, surtout quand le site concerné ignore que ses stats détaillées sont disponibles pour tous sur internet. Statisticator n’a fait qu’effleurer le sommet de l’iceberg.

les bugs
Google aussi exploite ces bugs. Il faudrait aussi que les internautes le sachent.

Le profiling.
Il suffit de dire et redire aux gens de ne pas donner leurs données personnelles réelles sur le web. S’ils persistent à vouloir les donner, c’est leur problème. point-barre.

Microsoft va probablement faire plus fort en ce qui concerne nos données personnelles. Sous pretexte de sécuriser les achats en ligne de ses clients. à suivre

Je n’ai jamais banalisé le cookie. Il m’a toujours semblé évident que c’est potentiellement dangereux. Le meilleur moyen de s’en protéger est de mettre les fichiers en lecture seule. Mais c’est se fermer l’accés à la moitié du web.

Le "gratuit" sur internet c’est la "carte de fidélité" que les magasins offrent à leurs clients. C’est bien de le dire aux gens. Une fois avisés de la chose, pour ceux qui pensaient vraiment que c’était un cadeau gratuit, ils restent libres d’utiliser ou non ces services de stats.

Les sites qui refusent ces systèmes seraient bien avisés de ne pas laisser leurs stats-serveur à poil sur internet. C’est infiniment plus dangereux car il n’y a pas que des commerçants qui peuvent y avoir accés.

salut.

> > Remarque sur le problème de fond, 3 novembre 2001

Dans le cas que tu mentionnes (Nasa), il ne s’agit cependant pas d’une faille de sécurité sur le serveur mais d’un choix volontaire du site de publier ses stats.

plus depuis aujourd’hui.
erreur 401 sur le lien...

> >Le marketing est partout où on le laisse entrer, Rod, 2 novembre 2001

Ton analogie est sympathique mais malheureusement fausse : Weborama connait effectivement ton parcours sur son réseau de sites mais Weborama ne sait pas que c’est toi précisément. Cela peut paraitre incohérent mais nous [Weborama] nous interdisons de lier les informations comportementales que nous récoltons sur notre réseau à des informations nominatives que nous pourrions récupérer séparément. Je précise "Interdisons" car les webmestres qui utilisent nos services sont connus (nous avons leur email et leur nom) mais il n’y a aucune correspondance. D’ailleurs, vous pourrez constater qu’au moment ou vous validez votre inscription, aucun cookie "Profilé" n’est déposé sur votre ordinateur.

Pourquoi ? Nous avons beau faire du Business, comme vous dites, il existe néanmoins en France des organisations dédiées aux droits des consommateurs qui vérifient les démarches des entreprises qui font du profiling. Je n’apprécierai pas de voir demain dans la presse Weborama sait tout sur vous et le vend à qui veut l’entendre. C’est arrivé à Double Click et cela ne lui a pas fait bonne publicité.

Pourquoi utilisons nous les cookies et quelles sont les informations stockées sur ces cookies (ces informations sont d’ailleurs données sur le site www.weborama.fr au moment de l’inscription ou dans la FAQ) :

1- Tous les certificateurs sont OBLIGES (par diffusion controle) d’utiliser des cookies pour dénombrer le nombre de visite différentes sur un site. Pourquoi ? parce que c’est la seule méthode efficace. Il s’agit d’un cookie sur lequel est stocké un identifiant unique. Xiti, comme les autres, utilise cette méthode dés lors qu’il s’agit d’un site qui souhaite être certifié. D’ailleurs à ce sujet, Weborama a été le premier et reste quasiment le seul à être compatible P3P (et donc à founir un détail des raison qui nous pousse à utiliser des cookies).

2- C’est l’unique methode pour calculer une audience cumulée, c’est à dire le nombre de visiteurs (points de consultation) différents passés sur un même site sur un mois.

3- C’est le moyen le plus sur pour eviter que des gens trichent dans les sites de classements (et Statisticator à montrer comment faire :o). Pour Weborama dont l’activité B2C est un annuaire de classements, c’est fondamentale.

4- Weborama est le seul mesureur d’audience qui vous donne le profil en termes d’âge, de sexe et de catégorie socioprofessionnelles. Vous pensez peut être que nous les inventons ? Si vous utiliser un peu nos services, vous verrez que lorsque nous récupérons ces informations, que nous stockons sur un cookie, nous vous avertissons et il n’y a aucune donnée nominative demandée. Quoi qu’il en soit, nos webmestres apprécient ces informations.

5- Les cookies permettent aussi d’éviter qu’une même personne répondent n fois au même sondage.

6- Le système le plus efficace de gestion d’un espace d’abonnés (sécurité) se fait par des cookies.

7- etc.

> Quelles granties à long terme, Patrice, 3 novembre 2001

>Ton analogie est sympathique mais malheureusement fausse : Weborama connait effectivement ton parcours sur son réseau de sites mais Weborama ne sait pas que c’est toi précisément. Cela peut paraitre incohérent mais nous [Weborama] nous interdisons de lier les informations comportementales que nous récoltons sur notre réseau à des informations nominatives que nous pourrions récupérer séparément.

Ok, ok, disons que dans l’état, le libraire, le boucher, le curé, etc. font une petite réunion et mettent en commun les données sur "X" et que pour le moment... ils s’interdisent de donner un "nom" à ce "X". Bon allez fin de l’analogie, cela pourrait être tiré par les cheveux à la fin.

Plus sérieusement : d’une part vous collectez et compilez des informations comportementales, démographiques, socioprofessionnelles et d’autre part, vous pouvez être amenés à collecter des informations nominatives. Vous affirmez ne pas pratiquer de croisements entre ces types d’informations... très bien, chacun peut en prendre acte.

Il n’en reste pas moins que l’on peut être préoccupé par la constitution de telles bases d’informations : et si la loi évoluait demain vers plus de souplesse dans ce domaine, que deviendrait ces anciens fichiers... ? et si Weborama était racheté demain par une entreprise d’un pays où les lois ne sont peut-être pas aussi claires en matière de protection des données personnelles ? et si votre système informatique était hacké (en mars dernier, un cheval de troie a été débusqué sur une machine de Double-Click 2 ans après son implantation) ? Que se passerait-il avec tous ces fichiers non croisés ? Quelles garanties à long terme pour les citoyens ? si la garantie est le seul accord "safe harbor", on a vraiment du souci à se faire (on en a la démonstration avec Microsoft en ce moment : XP, Passport...)

>Nous avons beau faire du Business, comme vous dites, il existe néanmoins en France des organisations dédiées aux droits des consommateurs qui vérifient les démarches des entreprises qui font du profiling.

A part les associations et syndicats professionnels, quelles sont ces organisations indépendantes qui vérifient sur le terrain les pratiques des certificateurs d’audience et des régies publicitaires ; qui prennent en compte la dimension internationale de certaines de ces entreprises ; qui analysent leurs systèmes de bases de données, leurs applications ? qui vont contrôler ce que deviennent les fichiers en cas de fusion avec une autre entreprise, en cas de faillite, en cas de déménagement des serveurs ?

>Je n’apprécierai pas de voir demain dans la presse Weborama sait tout sur vous et le vend à qui veut l’entendre. C’est arrivé à Double Click et cela ne lui a pas fait bonne publicité.

Vous prendriez effectivement de bien gros risques... mais c’est bien cela qui peut rendre méfiant, ces "vilaines" pratiques ont bien existé, elles ne relèvent pas de la paranoia Big brother... Double-Click a considéré à un moment qu’ils pouvaient prendre un tel risque de mauvaise pub (et pourtant aux Etats-Unis, les associations de défense de la vie privée sont certainement parmi les plus "affutées") ; en affaires, l’espoir de gain peut toujours apparaître à un moment donné, dans un certain contexte, plus fort que la peur des sanctions (économiques ou autres)... c’est ce qu’on appelle du "réalisme" et on le constate dans de multiples domaines (le sang contaminé, l’ESB, la pollution environnementale, etc.)

>Tous les certificateurs sont OBLIGES (par diffusion controle) d’utiliser des cookies pour dénombrer le nombre de visite différentes sur un site. [...] Xiti, comme les autres, utilise cette méthode dés lors qu’il s’agit d’un site qui souhaite être certifié.

Je mentionnais Xiti comme l’un des systèmes les plus anodins car n’utilisant pas de cookie dans sa version gratuite mais effectivement, il ne s’agit pas là de "certification" d’audience (d’un simple comptage : hits, referrals, etc.).

>Weborama est le seul mesureur d’audience qui vous donne le profil en termes d’âge, de sexe et de catégorie socioprofessionnelles. Vous pensez peut être que nous les inventons ?

Je n’ai jamais pensé que vous puissiez inventé ces données... Une des questions principales posées par l’article était : les webmasters des sites indépendants, persos, associatifs, etc. doivent-ils alimenter ces systèmes de collecte d’informations privées, même lorsqu’elles sont réputées "non nominatives" ? Chacun de ces webmasters est placé devant ses responsabilités et je pense que l’article et les diverses réactions suscitées vont permettre d’un peu d’éclairer certains d’entre eux et leur permettre de pouvoir mieux choisir en connaissance de cause.

En tous cas, merci pour votre intervention dans le forum.

Cordialement

en ligne : EcoParis

> > Quelles granties à long terme, Rod, 3 novembre 2001

>Ok, ok, disons que dans l’état, le libraire, le boucher, le curé, etc. font une petite réunion et mettent en commun les données sur "X" et que pour le moment... ils s’interdisent de donner un "nom" à ce "X". Bon allez fin de l’analogie, cela pourrait être tiré par les cheveux à la fin.

Cela va plus loin que ça. Il ne s’agit pas d’un X mais d’un X, X’, X’’, etc.. Chacun, le curé, le libraire, etc. reçoivent des informations socio-démo sur la même personne mais ils sont dans l’incapacité de savoir que c’est la même personne. Ils ne pourraient donc même pas en parler. C’est en ce sens que ces données sont anonymes. Elles le sont non seulement lorsque nous récupérons l’informations mais aussi lorsque nous la renvoyons. Et des hommes de 18 ans étudiants qui aime le foot, y’en a un paquet :o)

>Plus sérieusement : d’une part vous collectez et compilez des informations comportementales, démographiques, socioprofessionnelles et d’autre part, vous pouvez être amenés à collecter des informations nominatives. Vous affirmez ne pas pratiquer de croisements entre ces types d’informations... très bien, chacun peut en prendre acte.

Pour vous donner un exemple, nous avons des données comportementales sur environ 5 million d’internautes et des données nominative (nom et email) sur un peu près 20 000 d’entre eux ! Nous n’allons pas aller bien loin :o)

D’autre part, en réponse à un paragraphe d’un autre article de ce forum, il est très difficile de coupler des informations que nous aurions sur un internautes anonymes (de notre coté) à des informations nominatives récupérées sur un autre site que weborama. Les cookies ont eu la bonne idée de n’être consultable que sur un seule domaine. Seul Weborama peut lire les cookies Weborama. Un site ami ne peut donc pas coupler l’information récupérée par un formulaire au cookie comportementale Weborama (et vice versa). De plus, il faut savoir que dés lors qu’une méthode POST est utilisée pour la soumission de formulaire, l’information n’apparait pas dans les URLs.

>A part les associations et syndicats professionnels, quelles sont ces organisations indépendantes qui vérifient sur le terrain les pratiques des certificateurs d’audience et des régies publicitaires ; qui prennent en compte la dimension internationale de certaines de ces entreprises ; qui analysent leurs systèmes de bases de données, leurs applications ? qui vont contrôler ce que deviennent les fichiers en cas de fusion avec une autre entreprise, en cas de faillite, en cas de déménagement des serveurs ?

Weborama s’engage effectivement sur l’Honneur à répondre à une certaine éthique et personne ne vient vérifier. Maintenant, n’importe qui peut demander une audite des systèmes de Weborama pour vérifier que tout est conforme à l’état de l’Art. Si la presse venait à nous accuser d’abus vis à vis de la vie privée, c’est probablement ce que nous ferions de nous même, par un tiers indépendant, pour nous disculper.

Je crois qu’il y a deux métiers différents : CRM et le profiling.

Le CRM est restreint à un univers défini. Généralement un site marchand. Il étudit précisément la base de données clients et utilise toutes les informations à sa disponibilité. Là, nous sommes clairement identifiés dans nos habitudes de consomations, nos revenus, nos centres d’intérêt, etc.
Il s’agit d’outil de fidelisation du client.

Le profiling est beaucoup plus large. Il s’intéresse à des réseaux de sites. Pour pouvoir exister, il doit obligatoirement restreindre les informations qu’il utilise sur les internautes. La meilleur façon de de le faire est de ne pas collecter d’informations nominatives. Et c’est fondamentales si cette activité professionnelle veut survivre. Et pour Weborama, c’est la base de notre Business. Il s’agit d’outil d’acquisation client.

a quoi bon

30 octobre 2001, message de aser

non mais on se demande vraiment....

je suis webmaster et j’ai réalisé un site non marchand, non commercial bref rien du tout. Pourquoi diable irais-je mettre un compteur (laid en plus) ou un systeme de comptage sophistiqué (genre webtrends qui te ponds un rapport de 150 pages incomprehensible).

je ne sais pas qui voit mon site, combien de temps ils reste, quelle version de navigateur il utilise ... et surtout, surtout je m’en fout.

pourquoi ? tout simplement parce que mon site ne vends rien, ne cherche pas a fideliser ou a avoir une large visibilité. non. tout simplement il est là c’est tout.

Un Livre d’Or à la rigueur..., Schmorgluck, 31 octobre 2001

Si c’est juste pour savoir s’il arrive que quelqu’un regarde la page, mais surtout s’y intéresse, un Livre d’Or ou un simple encouragement à écrire suffit effectivement amplement. Pour quelqu’un qui n’a rien a vendre, mais qui souhaite quand-même savoir si quelqu’un le lit, savoir combien de personnes ont ouvert une de ses pages, y compris par erreur ou juste en passant, n’a aucun intérêt, mais on peut apprécier de recevoir des encouragements et des critiques constructives (ou destructives, c’est un plaisir d’être conchié par les cuistres).

> Web bugs et traçage par les certificateurs d’audie

30 octobre 2001, message de blah

Utilisez IE6, il bloque les cookies qui n’appartiennent pas au domaine visité.

A part ça, je n’ai jamais vraiment compris la parano entourant les stats & cookies & les maichants. Que je me fasse tracer sur le net, je m’en tape royalement. Que je me fasse tracer quand j’achète des dvds en ligne et qu’on m’en propose d’autres, j’aime.

Ah, un vrai problème : j’aimerais franchement ne plus recevoir 3kg de pub papier par mois dans ma boîte aux lettres, 3 kg qui partent directement à la poubelle.

> > Web bugs et traçage par les certificateurs d’aud, 30 octobre 2001

Utilisez IE6, il bloque les cookies qui n’appartiennent pas au domaine visité.

Justement, ça ne bloque rien du tout dans les cas énoncés dans l’article : le compteur (généralement une image) se trouve bien sur le site du système de comptage, la notion de « domaine visité » ne veut donc rien dire (puisqu’alors l’image du compteur fait bien partie d’un « domaine visité », même si c’est à ton insue).

> > > Web bugs et traçage par les certificateurs d’a, blah, 30 octobre 2001

Je me suis mal exprimé, désolé.

Par exemple, quand je visite www.hardware.fr, il me bloque les cookies vers
...comclick.com/...
ds.ad2-one.com/....

Voilà voilà. Quand je disais ’domaine visité’, je parlais de l’adresse dans la barre d’adresse. Tout cookie provenant d’un fichier qui ne fait pas partie d’un sous-répertoire de l’adresse en question est bloqué.

> > Web bugs et traçage par les certificateurs d’aud, serged, 31 octobre 2001

IE6 bloque ces webbug... Et je l’utilise avec bonheur.

Mais... Je me demande si Billou ne veux pas avec ça, introduire une nouvelle forme d’outils statistiques, bien entendu agréé (et vendu...) par lui.
Billou ne veut-il pas mettre la main sur les régies de pub ?

P3P : Privacy Policy, Rod, 2 novembre 2001

IE6 bloque tous les cookies qui n’appartiennent pas au domaine du site visité dés lorsque que ceux ci n’ont pas mis en place une politique de gestion de la vie privée

> P3P : Privacy Policy, Patrice, 3 novembre 2001

C’est effectivement une nuance importante ; IE6 est P3P "compliant".

Le logiciel IDecide mentionné dans l’article bloque les cookies externes sans "faire de détails" et constitue une barrière nettement plus satisfaisante.

en ligne : EcoParis

> Web bugs et traçage par les certificateurs d’audie

29 octobre 2001, message de Mikeul

Le service gratuit de Weborama en profiterait donc pour mettre en place ce type de cookie ?

Parce que’à mon avis, les sites persos qui utilisent ce service le font dans le but de disposer d’un outil de stats...

Et Weborama est considéré comme un "compteur" de visites plutôt fiable, au contraire de bcp de services qui oublient de faire le ménage parmi les tricheurs (voir comparatif chez statisticator)

> > Web bugs et traçage par les certificateurs d’aud, Mikeul, 29 octobre 2001

Il manque une phrase dans mon commentaire.
Je voulais exprimer la chose suivate : si Weborama utilise ce genre de procédé, c’est à son initiative et non pas à celle des webmasters amateurs (une majorité en tout cas) qui utilisent ses services de stats.

> > > bugs du cervelet, Tiresias, 29 octobre 2001

Oui, nous sommes d’accord, ce n’est pas weborama qui est con, fait son boulot, ce sont les webmasters qui sont ringards. Parce que si c’est pour avoir des nombres sur un compteur, c’est un peu bête, et si c’est pour connaître des IP, y a d’autres manières. Enfin, une fois qu’on a fait son site, faut bien en faire quelque chose, pourquoi pas un outil à additionner les hits, on pourrait même calculer la dépense energétique de la pression du doigt sue la touche enter...

> > > > bugs du cervelet, Blimp, 30 octobre 2001

Bah, n’importe quel webmaster a envie de connaître les stats de son
site et je ne vois vraiment pas en quoi cela est méprisable.

Ca peut être parce qu’il veut frimer devant ses potes avec une
fréquentation digne d’un site de cul ou tout simplement parce que les
chiffres de fréquentation constituent un "retour", certes assez frustre,
de ses visiteurs. Comment sinon savoir que d’autres que lui viennent
voir son site ?

Chez bien des hébergeurs, tu ne disposes de quasiment rien, au plus un
compteur. Si tu veux avoir quelque chose de plus précis t’es obligé
de passer par des services tels que Nedstat qui te fourniront des
statistiques plus détaillées.

> Bah..., Patrice, 30 octobre 2001

>Bah, n’importe quel webmaster a envie de connaître les stats de son site et je ne vois vraiment pas en quoi cela est méprisable.

Bien entendu que ce n’est pas "méprisable" ; le point c’est de savoir si les sites "indépendants" doivent ou pas cautionner ces systèmes... Certains des sites listés sur Uzine ont visiblement une philosophie différente que celle de la marchandisation du Net : alors avant de "changer le monde", peut être pourraient-ils commencer par "balayer" devant leur propre porte et refuser d’entrer dans le jeu... ce n’est qu’un petit geste, soit, mais immédiatement dans la responsabilité de chacun

>Si tu veux avoir quelque chose de plus précis t’es obligé de passer par des services tels que Nedstat qui te fourniront des statistiques plus détaillées.

Sur le plan technique peut-être mais sur le fond, non, t’es pas obligé, c’est un choix que tu fais... Des stats mêmes rudimentaires fournis par l’hébergeur permettent de savoir à peu près le niveau d’audience de ton site... Pour ma part, je juge que c’est suffisant et je n’ai pas envie de participer au "profilage" généralisé des internautes... mais il s’agit effectivement d’un choix personnel

Cordialement

en ligne : EcoParis

Weborama for ever, toujours Roq, 2 novembre 2001

Allez consulter la FAQ de Weborama et vous saurez tout sur les cookies que Weborama place sur vos ordinateurs...

Vous avez même un cookie qui vous permet de plus avoir de cookie Weborama !!

lol

> > > > bugs du cervelet, Mikeul, 31 octobre 2001

Non, c’est bien le contraire ce que je voulais dire. Weborama est un service de stats simple à mettre en oeuvre pour les webmasters. Tout le monde n’a pas la possibilité de monter son propre système.

Et comme le dit Blimp juste après, je ne vois pas pourquoi suivre les stats d’un site serait "mal", ne serait-ce que pour connaître les référants, les requêtes dans les moteurs de recherche, etc. Il ne s’agit pas de jouer au scrutateur d’audience, ramenons les choses à leur juste niveau.

en ligne : Bernie Mag

> > > > bugs du cervelet, Chris, 23 janvier 2002

Plus je lis ce fil, plus je constate que le sujet est sensible...
Puisque je suis le "webmaster ringard", je tiens simplement à dire que les tats m’intéressent, les adresses IP n’ont guère de valeur et si vous vener voir du "porno" depuis votre lieu de travail (ip fixe...), tant pis pour vous, ce n’est en général pas autorisé par votre patron.
Si vous passez à la télé en direct à une heure où vosu devrier être au boulot c’est pareil.
Ce qui m’amuse c’est qu’il faudrait faire n’importe quoi sans se faire repérer.
Si j’apprends que weborama ou d’autres ne repectent pas la vie privée au sens où je l’entends, je retirerai les balises.
Vous remarquerez que ces balises sont tout à fait visisbles et que j’ai eu l’honnèteté de laisser les résultats accessibles.
Notez que les données personnelles (CSP, âge...) ne sont collectées par weborama que si l’internaute fait lui-même la démarche de délivrer ces informations.
Et encore faut-il qu’il n’ait pas écrit des bobards...

Chris, qui signe toujours une adresse en zob.com quand c’est "obligatoire" -

en ligne : Insenses.org

audience assourdissante

28 octobre 2001, message de Walk

Chaque semaine ad-aware (choisir en français) débusque sur mon disque au moins dix cookies de Doubleclick ou autres. La première fois que je l’ai utilisé il en a trouvé 500 !

Les compteurs ? Truquables très facilement ils n’ont aucun sens pour les visiteurs, et ils symbolisent la soumission au marché, pourquoi les afficher ?

Les webmasters de sites persos devraient stimuler et mesurer la contribution écrite des visiteurs plutôt que mesurer leur nombre qui ne révèle rien sur la qualité de leurs sites.

J’ai fait des essais des systèmes dont tu parles pour essayer de comprendre ce que çà apporte. Je suis en train de les retirer tous, car çà rend fou ... Et con. Et quand on voit de quoi on se rend complice, non merci !

Je partage ton point de vue sur les usages occultes plus que probables. L’obsession du fric mène au pire.

> audience pipeau !, Walk, 29 octobre 2001

Ca vous monte un score de 3000 visiteurs en moins d’une heure, ça Madame !

en ligne : performances de tricheurs