Web: quand la pub débloque, je bloque

par Pascal Waeber, publication web, Ci-UNIL

L’essor des bloqueurs de publicité pour navigateurs web : voyage au cœur d’un univers où vos clics et vos données valent de l’or.

fond : JuralMin, Pixabay, licence CC0 – logo : Antü Plasma Suite, Wikimedia Commons, licence CC

De l’annonce papier au big data : le saut quantique des technologies publicitaires

C’est en 1993, un an avant la naissance du premier site web de l’UNIL, que la première annonce publicitaire cliquable a fait son apparition en ligne. À cette époque lointaine, vous pouviez lire un journal dans lequel les publicités ne clignotaient pas. Les télévisions n’avaient encore pas de fonction replay, mais si vous regardiez un match de foot, vous pouviez choisir d’aller aux toilettes pendant la coupure publicitaire de la mi-temps. Il était donc à peu près possible de ne pas se sentir trop envahi (et en aucun cas espionné) par les annonces, que l’on percevait simplement comme une source de financement nécessaire à la production de contenus informatifs ou culturels.

Sautons d’un coup en 2017, dans un monde un peu plus orwellien, où la publicité d’un site de vente en ligne peut étrangement vous suivre de votre laptop à votre smartphone, et où les enquêtes sur l’influence des fermes à trolls dans la politique occidentale font la une des actualités. Comment le monde de la publicité a-t-il mué pendant ces 24 ans, passant des bonnes vieilles annonces papier au ciblage par le big data ?

Et vous-même, où en êtes-vous ?

  • Avez-vous déjà installé un bloqueur de publicité dans votre navigateur web ? et si oui, avez-vous la certitude qu’il protège vraiment votre vie privée ?
  • Avez-vous vu entendu parler récemment des inquiétudes de nombreux sites de presse pour leur survie économique, alors même que paradoxalement vous voyez leurs pages web constellées de bannières publicitaires ?

Pour alimenter vos réflexions sur ce thème, voici quelques explications sur le fonctionnement de la publicité en ligne, un univers de faux semblants et de vrais bénéfices, alimentés en grande partie par vos données personnelles.

La publicité en ligne, un énorme gâteau aux multiples recettes (financières)

Au fil des années, les budgets publicitaires de nombreux annonceurs ont largement migré des médias classiques vers le digital. Côté presse écrite, l’hécatombe a été massive pour de nombreux journaux et magazines, et parmi les survivants, plusieurs sont encore à la lutte pour tenter de pérenniser leur nouvelle dualité web et papier. Côté TV, c’est en 2017 que le volume publicitaire mondial a été dépassé par celui de la publicité en ligne. Cette dernière représente actuellement un marché d’environ 200 milliards de dollars par an, appelé à croître encore, qui profite essentiellement aux deux régies publicitaires leaders de ce marché, celle de Google qui en capte 38%, et celle de Facebook qui suit avec 17%, selon la RTS. La diffusion de publicité en ligne représenterait aujourd’hui environ 90% des revenus de Google et 95% de ceux de Facebook. Tentons de mieux cerner ce phénomène sous la forme de quelques questions-réponses.

Avec un gâteau publicitaire aussi énorme, comment se fait-il que tant de quotidiens et magazines de la presse traditionnelle n’arrivent que difficilement à tirer leur épingle du jeu avec leur version en ligne ?
Parce qu’ils ont maintenant à partager ce gâteau avec une concurrence nouvelle, due au faible coût d’une présence sur le web par rapport à une impression papier :

  • les pure players (sites d’information existant uniquement en ligne, comme Slate, Huffington Post etc.)
  • les réseaux sociaux, qui se sont parfois auto-intronisés « médias d’information » sans toujours en assumer les responsabilités
  • les sites de fake news créés par des opportunistes avides d’argent facile grâce aux revenus de la publicité en ligne, sites qui prolifèrent d’autant plus aisément que le public des réseaux sociaux qui les relaient manque souvent d’esprit critique, notamment parmi les plus jeunes
    (et jusqu’à l’élection de Trump, de nombreuses régies publicitaires en ligne ne s’étaient jamais préoccupées du sérieux des sites qui hébergeaient leurs annonces, l’essentiel étant juste de « faire du clic » en grande quantité par tous les moyens, un phénomène connu sous le nom de putaclic).

On comprend certes bien que beaucoup de contenus autrefois consommés sur papier ou à la télévision le sont maintenant en ligne, d’où cette migration des budgets publicitaires. Mais au-delà de ce phénomène, comment expliquer un tel engouement de nombreux annonceurs pour le digital ?
Par deux différences fondamentales qui constituent les « armes fatales » des publicités sur le web :

  • elles sont interactives, et vont permettre une interaction directe au client potentiel dont elles captent l’attention ; d’ailleurs les tarifs pour les annonceurs sont souvent fixés selon un barème progressif correspondant aux objectifs visés :
    – coût pour afficher une publicité
    – coût lorsqu’un visiteur clique sur une publicité
    – coût lorsqu’un visiteur s’inscrit sur un site où il est arrivé après avoir cliqué sur une publicité
    – coût lorsqu’un visiteur fait un achat sur un site où il est arrivé après avoir cliqué sur une publicité (source : Wikipédia)
  • elles peuvent être affichées de manière personnalisée, grâce aux possibilités de ciblage et de suivi comportemental (behavioral advertising), activées sur la plupart des sites affichant des annonces.

La gêne visuelle occasionnée par des publicités trop voyantes n’est donc que la partie visible de l’iceberg, le traçage sophistiqué des visiteurs des sites en constitue la partie invisible et largement insoupçonnée. Le fait de pouvoir s’adresser directement à un public potentiellement intéressé et de pouvoir ensuite suivre ses clics sur les annonces représente le Graal pour les annonceurs, qui sont prêts à y mettre le prix.

Cela signifie donc que les régies publicitaires web collectent des données sur les visiteurs des sites ?
Elles le font parfois elles-mêmes, mais le plus souvent ces données sont collectées, triées, échangées et revendues par des entreprises spécialisées dont vous ignorez certainement l’existence (voir image), mais qui savent une foule de choses sur vous. Ce sont des « agences de suivi en ligne », ou tracking companies, même si elles préfèrent souvent des appellations plus discrètes comme data management companies. Certaines appartiennent d’ailleurs à des régies publicitaires.

Vos données personnelles collectées et revendues

Au fur et à mesure des développements du web et des réseaux sociaux, les méthodes de traçage et de collecte de données personnelles utilisées pour la publicité en ligne se sont sophistiquées, et dans la course entre les entreprises qui gagnent leur vie avec cette industrie et les défenseurs de la vie privée, les armes sont souvent inégales.

Pour pouvoir vous profiler lorsque vous visitez un site, les agences de suivi en ligne disposent de plusieurs méthodes : non seulement les bons vieux cookies, mais également le fingerprinting, qui ne laisse pas de trace sur votre appareil, puisqu’il va se baser sur les détails de votre configuration, qui forment une combinaison souvent unique (testez votre configuration avec l’outil Panopticlick). Et entre deux séances d’effacement de cookies, vous aurez peut-être la joie de faire l’objet d’un retargeting ou reciblage publicitaire, défini par Wikipedia comme une opération qui « consiste à afficher des messages publicitaires […] sur des sites internet après qu’un internaute a fait preuve d’un intérêt particulier pour un produit sur un autre site ».

Si le paramètre « ne pas me suivre » de votre navigateur n’est pas activé, une simple visite sur la page d’accueil de 4 quotidiens notifie 120 autres sites de votre passage.

Afin de mesurer l’ampleur du phénomène de ciblage dont vous êtes souvent l’objet sans le savoir, l’extension Lightbeam pour Firefox permet de visualiser tous les sites tiers qui sont informés de votre visite lorsque vous passez sur un site qui affiche de la publicité.

Quant aux réseaux sociaux, ils n’ont fait qu’amplifier le phénomène en permettant aux tracking companies le recoupement de vos données personnelles laissées sur les réseaux sociaux avec les données parfois anonymes qu’elles possédaient déjà. Ceci permet aux agences publicitaires de vendre aux annonceurs des emplacements auprès de clients potentiels très finement ciblés, comme dans cet exemple inquiétant.

Est-ce à dire qu’il faut capituler face à tant de sophistication et renoncer à défendre nos données ? La protection de notre vie privée sur Internet est certes extrêmement compliquée, comme l’explique très bien François Charlet. Mais par contre il est possible d’arrêter de continuer à donner plus de données à plus d’entreprises, alors faisons-le ! Nous verrons plus loin comment ne pas pénaliser les quelques régies publicitaires respectueuses de nos données (il en existe) et encourager leurs consœurs moins vertueuses à les imiter.

Je bloque, moi non plus

Une majorité des internautes n’est pas opposée par principe à la publicité, et est réaliste quant au fait qu’elle permet de contribuer à financer des sites. Mais l’avidité toujours croissante des régies publicitaires et agences de suivi en ligne a pour conséquence un ras-le-bol bien compréhensible qui pousse toujours plus de personnes à s’équiper de bloqueurs de pub.

2 approches différentes du côté des médias en ligne : imposer à leurs lecteurs des publicités ou un paiement, ou au contraire simplement leur suggérer une contribution.

Au début 2017, déjà 615 millions d’appareils à travers le monde étaient équipés d’un bloqueur de publicité (60% étaient des smartphones et 40% des ordinateurs), un chiffre en augmentation de 30% en une année. Ces chiffres impressionnants ne représentent cependant que 11% du total des internautes, avec de fortes disparités selon les régions (source : enquête PageFair 2017).

Sur le sujet spécifique de la publicité sur mobiles, une enquête réalisée par le New York Times en 2015 était riche d’enseignements : parmi les sites d’actualités les plus consultés aux USA, la publicité pouvait parfois représenter plus de 50% du volume de données d’une page, avec ce que cela implique non seulement en temps de chargement, mais encore en coûts pour l’utilisateur s’il ne dispose pas d’un abonnement avec des données illimitées (30 cents pour une seule page dans le pire des cas analysés).

Cette croissance de l’utilisation des bloqueurs de publicité est suffisamment élevée pour susciter de l’inquiétude dans le monde de la publicité en ligne. On assiste ainsi depuis quelques années à un étrange manège où plusieurs acteurs jouent un double jeu assez obscur, entre un célèbre bloqueur de pub qui laisse passer certaines publicités contre paiement par les annonceurs, et une industrie de la publicité en ligne qui tente de s’autoréguler avec plus ou moins de réussite.

Historiquement, les premiers bloqueurs de publicité sont apparus dans le monde du logiciel libre, où l’idée d’opposition au « web capitaliste » semblait toute naturelle. Les premières extensions antipubs pour Firefox, Chrome et consorts étaient donc assez intransigeantes, et filtraient sans trop de modération. Ensuite, certains développeurs ont commencé à produire des forks basées sur les extensions originales, comme Adblock Plus dès 2006, qui se sont progressivement éloignés de la philosophie d’origine, en introduisant notamment des filtres qui imposent aux annonceurs des formats de publicités visuellement moins intrusifs, ainsi que parfois une participation financière, en échange d’un « droit à ne plus être bloqué ».

C’est ainsi que la société allemande Eyeo, éditrice d’Adblock Plus, a lancé en 2011 son initiative Acceptable Ads. Depuis 2013, il est possible pour des régies publicitaires d’acheter leur place dans la liste blanche de ce programme, ce qui a déclenché l’ire et les ripostes juridiques de plusieurs groupes de presse et de publicité en ligne. Les tribunaux allemands saisis de cette affaire ont pour le moment globalement donné raison à Eyeo. Hors des tribunaux, la querelle vire parfois à la bataille technologique rangée, notamment entre Facebook et Adblock Plus, dans laquelle le premier nommé tente régulièrement de faire passer ses publicités à travers les mailles du filet du second, qui finit tout aussi régulièrement par réussir à les intercepter.

Vers une tentative d’autorégulation des publicitaires… pour sauver la pub ?

Il est intéressant de constater que même si les milieux de la presse et de la publicité qui vivent bien du modèle actuel ont été fâchés par l’initiative d’Eyeo, ils ont malgré tout compris que la popularité croissante des bloqueurs de pub se construisait sur l’agacement des visiteurs, et ils ont d’ailleurs entrepris une tentative d’autorégulation basée sur un modèle un peu semblable, avec leur propre initiative Coalition for Better Ads, dans laquelle on retrouve entre autres… Google et Facebook !

Ceci n’est pas un hasard, car la popularité des extensions de blocage de publicité a suggéré à certains éditeurs de navigateurs web qu’ils auraient tout intérêt à intégrer eux-mêmes nativement cette fonction. Pour Google, leader du marché avec Chrome, qui a annoncé son propre bloqueur de publicité pour 2018, c’est clairement une tentative de sauver ce qui peut encore l’être, en tentant de couper l’herbe sous les pieds des extensions comme Adblock Plus.

Et vos données personnelles, dans tout ça ?

Au milieu de ce festival d’apparentes réjouissances collectives autour de la généralisation à venir de bloqueurs de publicités paramétrables et d’annonces moins envahissantes, il faut relever que certains acteurs de premier plan (navigateurs, bloqueurs) restent étrangement vagues au sujet du ciblage et du suivi des utilisateurs. Ces coalitions et initiatives « pour une publicité moins invasive » concentrent leur discours avant tout sur la gêne visuelle et les risques sécuritaires (malvertising) des annonces qu’ils bloquent. Or une simple et discrète publicité sous forme de texte, même si elle peut sembler moins agressive, peut transmettre aux agences de suivi en ligne tout autant d’informations sur vous qu’une bannière publicitaire tapageuse.

C’est donc du côté des spécialistes purs et durs de la protection de la vie privée qu’il faut aller s’informer pour en savoir plus : l’Electronic Frontier Foundation (EFF) donne par exemple sur son site des explications fort utiles sur des catégories d’outils distincts :

  • extensions de blocage de la publicité
  • extensions de protection des données personnelles
  • navigateurs conçus pour filtrer la publicité et protéger les données personnelles.

L’EFF explique dans un article au titre très clair How to Debug Your Content Blocker for Privacy Protection comment configurer correctement les plus répandus de ces outils. On y apprend par exemple que la configuration par défaut d’Adblock et Adblock Plus peut laisser fuiter une partie de vos données, ce qui n’est qu’à moitié réjouissant.

Nos recommandations

En préambule aux quelques conseils qui vont suivre, il faut savoir qu’en matière d’outils de blocage de la publicité et de protection de vos données personnelles, il n’existe pas de solution 100% idéale, qui fonctionnera de manière absolue, sur tous les sites, pour tout le monde, et dans la durée. Il est surtout important de comprendre les principaux mécanismes de fonctionnement des navigateurs. Plusieurs solutions peuvent être efficaces pour bloquer la publicité et protéger vos données, l’essentiel est de configurer ces outils correctement.

Il vaut la peine d’investir un peu de temps pour tester et comparer différents outils parmi ceux décrits ci-après. Par exemple, certains sites web demandent aux visiteurs de désactiver Adblock ou Adblock Plus, mais ne sont actuellement pas capables de détecter uBlock Origin ou Brave.

Gardez également à l’esprit que ces outils de blocage devront parfois être désactivés sur certains sites ou applications pour leur permettre de fonctionner correctement. Notre help desk nous signale notamment qu’avec la plupart des bloqueurs de publicité, il faut ajouter notre outil de messagerie OWA en liste blanche, sans quoi les messages envoyés sont surchargés de code inutile et risquent à tort d’être considérés comme des spams par les destinataires.

Suivez la recommandation de notre help desk, en désactivant votre bloqueur de pub pour OWA (l’interface web de la messagerie UNIL).

1. Les navigateurs web

Avant même de parler d’outils de blocage, commençons par la mesure la plus simple : le choix et la configuration de votre navigateur web. Car les éditeurs de ces navigateurs n’ont pas tous les mêmes intérêts à l’esprit, et par conséquent les possibilités proposées nativement pour préserver notre vie privée seront différentes selon que vous utilisez l’un ou l’autre.

Quel que soit le navigateur, éviter de garder plusieurs onglets ouverts simultanément sur des services connectés. Utilisez plutôt des navigateurs ou des sessions séparés, avec des fenêtres de navigation privées.

Mentionnons les meilleurs élèves :

Firefox et Safari pour la catégorie des navigateurs les plus répandus, car ceux qui les conçoivent ont un réel intérêt pour la protection de la vie privée.

Brave, Opera et Epic Browser, chacun avec leurs points forts, pour les personnes qui n’ont pas peur de sortir des sentiers battus.

Un exemple des possibilités du navigateur Brave

2. Les extensions de blocage de la publicité

Si vous utilisez Adblock ou Adblock Plus, rappelons les instructions de l’EFF pour les configurer correctement.

Comme alternative à Adblock et Adblock Plus, l’EFF mentionne uBlock Origin (à ne pas confondre avec uBlock). Cet outil n’a aucun accord de type « laisser-passer » avec les acteurs du monde de la publicité. De ce fait, il n’a pas besoin de consulter une longue liste de « donateurs » pour savoir qui bloquer, et ralentit ainsi moins le navigateur. Cette extension n’a pas de site web dédié (hormis le très sobre compte GitHub de son incorruptible développeur), il faut donc la chercher dans les extensions proposées pour votre navigateur.

Mentionnons également AdGuard, un outil décliné en différentes versions (extension ou application complète, gratuite ou premium), qui protège à la fois de la publicité et du pistage de vos données personnelles. Comme uBblock Origin, il n’a aucun accord commercial avec des régies publicitaires.

3. Les extensions de protection des données personnelles

Si vous utilisez Ghostery ou Disconnect, rappelons les instructions de l’EFF pour les configurer correctement.

Comme alternative, l’EFF mentionne sa propre extension Privacy Badger , disponible pour Chrome, Firefox et Opera. Juste après son installation, elle ne bloque rien, mais s’instruit au fil du temps par auto-apprentissage. Son idée est de laisser passer les publicités acceptables qui ne vous traquent pas. Cette extension ne bloque donc pas forcément la publicité, mais fait barrage à tous les scripts dont le comportement est suspect, avec une détection algorithmique. Elle peut être installée en remplacement ou en complément à un bloqueur de publicité, et sa foire aux questions nous apprend quantité de choses instructives.

Privacy Badger sait par exemple détecter un bouton de partage qui vous espionne et le remplacer par une version inoffensive.

Les bloqueurs de publicité sont-ils l’avenir ?

Ce domaine évolue vite. On ne peut pas dire aujourd’hui si les bloqueurs de publicité seront l’avenir, mais ils sont en tout cas le présent, du moins pour les personnes soucieuses de naviguer en étant le moins possible dérangées par les publicités.

Quant à l’avenir, il dépendra en large partie du développement par les sites d’autres sources de financement que la publicité en ligne traditionnelle et invasive. Plusieurs tentatives existent déjà, telles que le remplacement des publicités classiques par des articles sponsorisés fondus dans le contenu du site (c’est le native advertising), des possibilités de micropaiements telles que le projet Flattr, des formules d’abonnement à divers prix et niveaux de prestation, etc.

Plus d’informations :