Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.
La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.
Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.
Détails et exemples
La menace posée par le RTB est très réelle, comme le démontrent les exemples suivants :
- Aux USA, un groupe conservateur catholique a utilisé des données RTB d’une application de rencontre pour révéler que des prêtres catholiques n’étaient pas célibataires, ce qui a conduit l’un d’eux à démissionner lorsque ses visites sur des applications et lieux gays ont été rendues publiques.
- Les données RTB peuvent indiquer une variété de problèmes de santé, tels que la dépression, les douleurs chroniques, la toxicomanie ou les troubles anxieux.
- Les acteurs malveillants peuvent utiliser les données RTB pour identifier les enfants, les collègues et les trajets quotidiens d’une cible.
- La situation financière d’une personne peut être exposée, et donc une vulnérabilité potentielle à la corruption.
- Les opinions politiques et les affiliations peuvent être déduites à partir des données RTB, ciblant potentiellement des individus pour de l’exploitation ou de la manipulation, comme on l’a vu avec le scandale « Facebook-Cambridge Analytica » il y a quelques années.
Solutions proposées
Face à ces menaces, nous recommandons les actions suivantes :
- La Commission européenne devrait solliciter le Conseil européen de la protection des données pour examiner la crise de sécurité du RTB. Les autorités de protection des données devraient appliquer le « principe de sécurité » du RGPD, en exigeant que IAB TechLab et Google, en tant que contrôleurs de données, modifient leurs normes RTB pour interdire l’inclusion de données personnelles. Toutes les données d’identification et de liaison doivent être supprimées.
- L’Agence européenne pour la cybersécurité (ENISA) devrait émettre une alerte aux États membres et aux institutions de l’Union, recommandant le blocage des publicités pour réduire la collecte de données par des tiers.
- Le Service européen pour l’action extérieure (SEAE), le groupe de coopération NIS et l’ENISA devraient évaluer conjointement l’impact du RTB sur la sécurité de l’Union européenne.
- Si nécessaire, la Commission européenne devrait envisager des mesures juridiques pour introduire une certitude et une harmonisation dans la gestion de cette menace pour la sécurité commune.
# Ça manque d'explications techniques
Posté par orfenor . Évalué à 10 (+15/-0). Dernière modification le 07 avril 2024 à 19:08.
Je m'intéresse aux RTB pour des raisons professionnelles et je ne parvient pas à vulgariser ce billet à mes proches. Ça manque d'explications techniques pour qu'on puisse faire comprendre le danger à des gens peu informés :
Les questions sont un peu naïves, mais je crois que la mobilisation est essentielle et pour ça il faut pouvoir bien comprendre pour vulgariser.
[^] # Re: Ça manque d'explications techniques
Posté par Stefane Fermigier (site web personnel) . Évalué à 10 (+8/-0).
Je ne suis pas un spécialiste du sujet, j'ai découvert qu'il était beaucoup plus préoccupant que ce que je pensais initialement en lisant le rapport (après que mon attention ait été attirée par un message de Gael Duval, le fondateur de /e/OS et Murena, qui s'intéresse de près à ces sujets).
Je conseille la lecture du rapport (PDF d'une vingtaine de pages, avec des illustrations et des exemples concrets qui aident à comprendre): https://www.iccl.ie/wp-content/uploads/2023/11/Europes-hidden-security-crisis.pdf
Outre le rapport, il y a une centaine de références qui peuvent donner plus de détails techniques.
Le rapport donne également quelques pistes pour diminuer l'impact sécuritaire du système (p. 18: "Neutralising RTB’s security threat"). Je ne suis pas sûr que ça suffise, mais c'est déjà un premier pas.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Ça manque d'explications techniques
Posté par arnaudus . Évalué à 3 (+1/-1).
"the RTB security threat can be easily neutralised by enforcing data protection law on the responsible standards setters."
On est vraiment dans l'idéologie technocratique Européenne: l'idée que ce genre de choses peut être réglé par la loi. Personnellement, je pense que c'est absurde. D'une part parce que c'est théoriquement très compliqué (parce qu'Internet est un réseau mondial et décentralisé), et qu'en pratique ça ne fonctionne pas (ça pourrit la vie des entreprises qui doivent suivre des milliers de pages de protocoles obscurs, ça pourrit la vie des utilisateurs qui doivent prendre des décisions incompréhensibles sur les cookies, et les acteurs du milieu trouvent des parades techniques qui rendent la protection inopérante).
Bien sûr, la loi doit exister pour pouvoir menacer les grands industriels du secteur de poursuites, mais toute parade efficace doit être technique: il faut "juste" mettre en place des moyens pour que ces données personnelles ne soient pas envoyées. C'est en grande partie au navigateur et/ou au système d'exploitation de le faire; pendant des dizaines d'années on s'est focalisé sur le respect des standards et des normes dans les navigateurs, sans même réaliser qu'en respectant les normes, les navigateurs obéissaient aveuglement au concepteur de la page web visitée, et plus du tout à l'utilisateur du navigateur. Aucun logiciel ne devrait permettre ça, et il n'y a d'ailleurs qu'avec les navigateurs que ça n'est pas considéré comme un bug. Il existe des extensions qui permettent de simuler ce qu'un navigateur devrait faire, mais c'est absurde que ça n'est pas depuis le début inclus dans le principe même du fonctionnement d'un navigateur.
# Remarque formelle
Posté par antistress (site web personnel) . Évalué à 6 (+3/-0). Dernière modification le 08 avril 2024 à 13:14.
Merci c'est intéressant.
Par contre je ne comprends pas, à la lecture, qui écrit : au début je pensais que c'était l'auteur, puis on finit par "nous" (Solutions proposées).
Est-ce une traduction etc ?
[^] # Re: Remarque formelle
Posté par Stefane Fermigier (site web personnel) . Évalué à 5 (+3/-0).
C'est un nous de modestie (https://fr.wiktionary.org/wiki/nous_de_modestie).
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Remarque formelle
Posté par antistress (site web personnel) . Évalué à 4 (+1/-0).
Je vous remercie :)
[^] # Re: Remarque formelle
Posté par Zorro (site web personnel) . Évalué à 1 (+1/-1).
Il voulait dire "Nous vous remercions", n'est-ce pas ? Ou "Il les remercie", éventuellement. (peut-être même "Iel les remercie")
[^] # Re: Remarque formelle
Posté par Stefane Fermigier (site web personnel) . Évalué à 5 (+3/-0).
Après, pour être complet, la dépêche est essentiellement une synthèse du rapport. Je ne prétends à aucune originalité.
"There's no such thing as can't. You always have a choice." - Ken Gor
# Efficacité des bloqueurs de pub ?
Posté par Christophe . Évalué à 7 (+5/-0).
Je me demande, en voyant cela, à quel point les envois de données vers les RTB sont réduits (ou non) par l'usage d'un bloqueur de pub style uBlock Origin. Est-ce que ça change sensiblement la donne ? Est-ce que ça arrive trop tard ou passe à côté ?
Pour moi, en tant qu'usager lambda d'internet, c'est un des rares leviers que je vois pour contrer cette effusion de données personnelles…
[^] # Re: Efficacité des bloqueurs de pub ?
Posté par audionuma (site web personnel) . Évalué à 3 (+2/-0).
et efficacité de Privacy Badger également ?
[^] # Re: Efficacité des bloqueurs de pub ?
Posté par antistress (site web personnel) . Évalué à 4 (+1/-0).
Et le mode renforcé de Firefox ?
[^] # Re: Efficacité des bloqueurs de pub ?
Posté par orfenor . Évalué à 9 (+7/-0).
Bloquer la pub n'a aucune efficacité sur les RTB, parce que les RTB ne sont pas la pub, mais le système de vente de pub qui permet de faire apparaître la pub qui t'es personnellement destinée. C'est l'empreinte digitale (!) qu'on laisse à chaque page web qui, comme dans un fichier de police, permet de relier ce que tu fais sur le web en retraçant toute ta vie.
Bloquer les traceurs avec uBlock Origin ou Privacy Badger diminue l'empreinte mais donne un paramètre : on bloque, ce qui est très bien détecté (au passage, notez qu'il ne faut pas utiliser Privacy Badger avec uBlock, cf le wiki de uBlock). L'extension Decentraleyes est intéressante aussi puisque son travail est presque invisible.
Bref, tout ça n'est pas suffisant.
Pour le mode renforcé de Firefox je ne sais pas.
[^] # Re: Efficacité des bloqueurs de pub ?
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 8 (+6/-0).
Et sinon, à défaut de savoir parer assez efficacement à la collecte de données, il est aussi possible de fausser complètement le profilage avec une extension comme AdNauseam.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: Efficacité des bloqueurs de pub ?
Posté par pif17 . Évalué à 4 (+3/-0).
Sur spyPhone robotisé, personalDNSFfilter peut-il aider ?
Je l'utilise personnellement, depuis son installation, j'ai moins (voire plus du tout) de pub dans mes apps, mais est-ce qu'il bloque seulement le retour des pubs et pas le départ des données ?
(Pour info, ça fait un mini VPN en local et insère un DNS menteur.)
[^] # Re: Efficacité des bloqueurs de pub ?
Posté par Astaoth . Évalué à 4 (+2/-0).
Donc en gros, dans le principe, pour lutter contre ce tracage, il faut lutter contre les générations de fingerprints de navigateurs webs ?
Emacs le fait depuis 30 ans.
# C'est quoi les RTB
Posté par eggus . Évalué à 10 (+17/-1).
Désolé je en comprend rien à ce billet, peut on m'expliquer ce qu'est un RTB ?
Ca parle d'enchères ( e-bay ?) puis dans les exemples il y a une appli de rencontre.
Je ne connais pas du tout ce terme, donc ce billet m'est complètement incompréhensible.
Si quelqu'un a la gentillesse de m'expliquer ?
[^] # Re: C'est quoi les RTB
Posté par orfenor . Évalué à -7 (+5/-14).
Les 3 premières lignes de la dépêche définissent les RTB. Faut arrêter de lire en diagonale…
La pub sur les moteurs de recherche est un exemple de RTB : les mots clés sont attribués aux enchères. Sauf que c'est fait en temps réel par un algo. L'acheteur fait une offre, l'enchère, pour faire apparaître son lien sur les résultats de recherche quand certains mots-clés sont tapés, un algo lui attribue des affichages en fonction du prix et de paramètres de ciblage. Or ces paramètres sont tellement précis qu'on arrive à remonter jusqu'à l'identité des personnes.
[^] # Re: C'est quoi les RTB
Posté par Rozé Étienne . Évalué à 10 (+14/-0).
J'étais un peu perdu mais je trouve la page wikipédia en français éclairante.
Les emplacements d'affichage de pub dans les pages web sont vendus en live (juste au moment où la page est affichée) au meilleur offrant en publiant une offre accompagnée de toutes sortes d'info sur le profil de l'utilisateur du navigateur. Cette offre est dispachée par des sociétés qui la relaie toujours instantanément à leurs clients qui choisissent de faire une proposition de prix en fonction des infos du profil. Et c'est celui qui fait la meilleure offre qui remporte l'emplacement d'affichage pour sa pub. Et donc le profil est lu (et pourquoi pas stockée, analysée, etc…) par un nombre invraisemblable d'acteurs du système.
[^] # Re: C'est quoi les RTB
Posté par arnaudus . Évalué à 3 (+0/-0). Dernière modification le 02 mai 2024 à 12:12.
Il y a toujours un truc qui m'a étonné : ce genre de mécanismes demande beaucoup de moyens hardware (bande passante, stockage), ce qui n'est pas gratuit. Si par exemple des dizaines de Go de données personnelles sont stockées chez des centaines d'opérateurs et d'agences de pub, ça représente plusieurs dollars par profil tous les ans. Ces "vrais" dollars doivent être récupérés par l'activité commerciale (en gros, chaque personne doit acheter assez d'objets dont une partie du prix va servir à rémunérer toute la chaine de publicitaires). Et j'ai du mal à comprendre comment le système peut boucler.
Par exemple, pour quelqu'un qui n'achèterait jamais rien en ligne, ça serait de la pure perte. Ces profils existent; ça peut être des gens qui ne le font pas par principe, d'autres parce qu'ils ne savent pas le faire (retraités, etc). Stocker, transmettre, analyser les données de ces profils représentent donc une perte sèche, et doit être compensée sur les autres.
Je ne sais pas quel est le panier moyen annuel des achats en ligne, mais ça doit tourner entre 1k€ et 10k€ (peut-être moins). Les objets + transport ont un vrai coût, il y a les marges des vendeurs, la TVA, bref, ce qui peut être consacré à la pub ne peut pas être plus d'une petite fraction de ça. Comment ça peut boucler? Comment une agence de pub US peut récupérer plusieurs dizaines de $ par an sur les achats d'un consommateur européen? Il n'y aurait pas un effet de bulle dans le secteur quand même, une valorisation des données personnelles qui serait supérieure à ce qu'elles peuvent générer en vrai argent?
[^] # Re: C'est quoi les RTB
Posté par arnaudus . Évalué à 5 (+2/-0).
Trouvé une partie des chiffres: c'est 4000€/français par an; le marché de la pub en ligne c'est 9 milliards par an, soit environ 150€/français. Ça semble cohérent avec le panier. Par contre, ça ne me semble pas cohérent avec le hardware nécessaire pour partager, analyser, et stocker les données personnelles dans toute la hiérarchie des acteurs du domaine. Ça n'exclut donc pas la possibilité d'une bulle (ou le fait que les acteurs du secteurs mentent sur la quantité et la fraicheur des données sur chaque profil: si 99% du flux part direct dans /dev/null, alors on peut en effet limiter la taille de l'infrastructure dédiée au traitement).
[^] # Re: C'est quoi les RTB
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 2 (+0/-0).
C. Doctorow dans ses billets sur le sujet fait la même analyse que vous : un bulle créée par la puissance de persuasion des géants de la tech sur les milieux financiers ; pouvoir en partie lié à des connaissances anémiques des réalités plébéiennes de ces derniers, en partie aussi lié à la crainte de rater le καιρός, et enfin également à un besoin éthologique « d'investir ».
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
[^] # Re: C'est quoi les RTB
Posté par arnaudus . Évalué à 4 (+1/-0). Dernière modification le 02 mai 2024 à 16:50.
Après, l'économie moderne est bizarre, et elle semble pourvoir tourner longtemps sans que les bulles n'éclatent. Il peut exister un énorme marché très dynamique de la vente, analyse, personnalisation des données entre un énorme écosystème de nouvelles entreprises pleines du cash des investisseurs.
Le plus inquiétant serait que la collecte, le stockage, et l'analyse des données soient financées par d'autres sources que la publicité (agences d'État, agences de renseignement privées, assurances?). C'est une hypothèse alternative à la bulle, non? Ou, de manière moins parano peut-être, on peut imaginer que c'est un pari sur l'avenir réalisé par les entreprises qui achètent les données au-dessus de leur rentabilité économique publicitaire.
[^] # Re: C'est quoi les RTB
Posté par toonix . Évalué à 6 (+6/-0).
il y a aussi le dossier de la cnil
https://linc.cnil.fr/les-encheres-en-temps-reel-rtb-un-systeme-complexe
je me souviens aussi d'une vidéo mais je n'ai plus le lien, c'était il y a quelques années, une conférence peut-être lors des jdll
[^] # Re: C'est quoi les RTB
Posté par toonix . Évalué à 2 (+2/-0).
j'ai retrouvé la vidéo dont je vous parlais
je ne sais pas si ça répondra à toutes vos questions
https://www.videos-libr.es/w/anC1v3uuPp3a1Wa3B5PqBT
# Comment se passe la diffusion de données sensibles utilisées pour les RTB ?
Posté par orfenor . Évalué à 10 (+8/-0). Dernière modification le 08 avril 2024 à 22:19.
C'est expliqué au début du rapport. Il y a un mécanisme en arborescence.
Comprenez d'abord que la pub sur internet repose sur un ciblage très très précis des personnes, via leur personnalité, leurs dépenses, leurs goûts, leur position géographique exacte, etc. (vous pouvez constater la précision du ciblage en jouant à tester l'achat de pub sur Google Ads). C'est plus que sensible, on peut facilement identifier des personnes. Cette précision pose problème, car le système des RTB diffuse les informations de ciblage auprès de multiples acteurs.
Quand on visite une page web ou qu'on ouvre une application sur un smartphone, la diffusion est pour ainsi dire instantanée, puisque la pub qui nous correspond s'affiche aussitôt.
Une plateforme de coordination (SSP) envoie les infos qui nous cible (voir mon premier paragraphe) à une ou deux plateformes d'échange publicitaire, lesquelles à leur tour diffuse toutes ces infos à des agence de pub (DSP), lesquelles gèrent les enchères pour leurs clients. Il y a quelques milliers de DSP.
Ces DSP posent problème : rien de plus facile que de se déclarer agence de pub et d'acheter les données RTB, pour les collecter et les agréger.
Notez que les premiers maillons de la chaîne appartiennent généralement aux GAFAM.
[^] # Re: Comment se passe la diffusion de données sensibles utilisées pour les RTB ?
Posté par orfenor . Évalué à 6 (+4/-0).
Citons le rapport :
Sans compter les données d'Amazon et Meta …
(c'est moi qui souligne). Et encore on n'intéresse personne, les anglais c'est 462 fois par jour.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.