Mozilla supprime le code de suivi des annonces de Firefox. Qu'est-ce que ça change ?
Sören Hentzschel, observateur de Mozilla, a repéré un changement étrange dans les versions Android et iOS des navigateurs Firefox et Firefox Focus. Il s'avère que le SDK de Adjust, qui était utilisé pour suivre l'efficacité des campagnes publicitaires, a été supprimé des dernières versions de ces navigateurs.
Une capture d'écran du dépôt Mercurial de Mozilla pour la branche release du navigateur Firefox montrant qu'un service métrique et un interrupteur à bascule associé ont été supprimés. Le lien est fourni par Sören Hentzschel. Source : Dépôt Mercurial de Mozilla
Si vous n'avez pas suivi Firefox de très près, vous pouvez vous poser des questions : Pourquoi y a-t-il eu un SDK de suivi publicitaire en premier lieu ? Après tout, Mozilla s'est toujours positionné comme un grand défenseur de la vie privée. Alors, quel est le problème avec les traceurs tiers dans leur navigateur ?
Un secret de polichinelle
Cela pourrait en choquer certains, mais Mozilla utilise discrètement le SDK Adjust depuis des années. En 2020, un curieux Redditor sur le subreddit Firefox a exigé des réponses sur ce partenariat de télémétrie - demandant quelles données étaient envoyées, comment elles étaient utilisées, et comment cela cadrait avec l'image de Mozilla qui privilégie la protection de la vie privée.
- "En règle générale, je suppose qu'une entreprise qui vend des services de protection de la vie privée n'aurait pas de partenariat de ce type ? N'y a-t-il vraiment pas de conflit d'intérêts ?", a demandé le Redditor. Cette question a probablement été posée à de nombreux utilisateurs.
La réponse de Mozilla à l'époque était qu'elle préférait utiliser des SDK open-source dans la mesure du possible et qu'elle s'appuyait généralement sur son propre SDK de télémétrie Glean pour la collecte des données. Cependant, ils ont fait valoir qu'ils avaient besoin d'une solution plus robuste pour gérer et évaluer les campagnes de marketing dans un large éventail de pays et de devises. À cette fin, ils ont choisi Adjust, car il s'agissait, selon eux, du "seul produit à code source ouvert qui répondait aux exigences" pour gérer les besoins marketing complexes de leur base d'utilisateurs mondiale.
Qu'est-ce que Adjust au juste ?
Ce n'est pas la première fois que nous parlons de cette société de télémétrie. Il y a exactement deux ans, nous l'avons présentée comme l'un des traqueurs intégrés dans plusieurs serveurs VPN populaires. Les traqueurs et les VPN ? Malheureusement, ils vont parfois de pair.
C'est donc ce que nous avons découvert à propos d'Adjust à l'époque :
Adjust est une société d'attribution et d'analyse mobile détenue et exploitée par adjust GmbH. "Illimité et non plafonné sont des mots que nous utilisons souvent lorsque nous décrivons notre accès aux données", se vante le service. Adjust indique que ses SDK et API peuvent traiter des données telles que les adresses IP hachées, les identifiants mobiles, les actions in-app, y compris les achats et l'enregistrement, les informations concernant les interactions des utilisateurs avec les publicités, les données des capteurs tactiles, l'accéléromètre, le gyroscope, la batterie, le capteur de lumière, les spécifications matérielles de l'appareil et la version du système d'exploitation. L'entreprise affirme qu'elle n'enrichit pas ces données pour identifier les utilisateurs individuels et qu'elle ne les partage ni ne les divulgue "à personne d'autre que nos fournisseurs de services et en réponse aux demandes légales des autorités publiques". Les données sont stockées aussi longtemps que les développeurs utilisent le SDK, à moins qu'Adjust ne soit spécifiquement invité à faire autrement.
À quelles fins Mozilla utilisait-elle Adjust : selon ses propres termes
Mozilla indique que Firefox pour Android utilise le SDK Adjust pour suivre et analyser l'origine des installations d'applications, en particulier pour déterminer si un utilisateur a installé le navigateur en réponse à une campagne de marketing spécifique.
Ainsi, lorsqu'une nouvelle session démarre, Firefox envoie un "message de session" aux serveurs d'Adjust contenant des détails tels que la version de l'application, les informations sur l'appareil, la langue, le pays et le nombre de sessions.
Voici une analyse plus détaillée :
Informations générales sur l'application:
- ID de l'application (bundle_id)
- Version de l'app
- Nome et type de dispositif
- Version du SO
Information sur l'utilisateur :
- Langue
- Pays
- Identifiants spécifiques au dispositif (e.g., idfv)
Détails de la session :
- Compte des sessions
- Paramètres de suivi (si le suivi est activé)
Informations additionnelles :
- Les horodatages (par exemple, quand la session a commencé et quand le message a été envoyé)
- Le statut de la mise en mémoire tampon des événements (activée ou pas)
Adjust traite ensuite ces informations et, si l'installation peut être attribuée à une campagne particulière, renvoie les détails d'attribution. Cette réponse comprend les identifiants de la campagne et les informations concernant le traqueur, mais Firefox affirme qu'ils n'utilisent pas et ne stockent pas ces détails d'attribution. Toutes les transmissions de données sont sécurisées via HTTPS, ce qui signifie que les données sont cryptées pendant la transmission, les protégeant ainsi de toute interception ou falsification.
Pourquoi supprimer maintenant ?
Mozilla n'a pas reconnu la suppression apparente du SDK Adjust. Si vous utilisez Firefox sur Android, vous pouvez probablement encore voir l'information sur le fait que Firefox partage des « données d'utilisation de base » avec Adjust dans vos paramètres si la version de votre navigateur est antérieure à 129.0.2 (Firefox) ou 130.0 (Firefox Focus). Pour vérifier par vous-même, vous pouvez aller dans Paramètres → Collecte de données → Données marketing.
Prise d'écran des paramètres Firefox sur Android
D'une part, Mozilla a déjà défendu l'utilisation du SDK, alors qu'est-ce qui a changé exactement ? D'autre part, elle a également reçu des réactions négatives à ce sujet.
Il s'agit peut-être d'une question épineuse sur laquelle l'organisation à but non lucratif ne souhaite pas s'exprimer pour l'instant, en particulier à la lumière de sa récente adhésion à la publicité avec une nouvelle fonction de collecte de données conçue pour aider les annonceurs à suivre les performances de leurs publicités. Cette fonction s'appelle Privacy-Preserving Attribution (PPA) et est activée par défaut dans la dernière version du navigateur.
Quoi qu'il en soit, Mozilla a préféré garder le silence sur les changements apparents jusqu'à présent.
Une étape bienvenue, mais est-ce suffisant ?
La décision de Mozilla de supprimer le SDK Adjust a suscité des réactions mitigées de la part des utilisateurs, dont certains considèrent qu'il s'agit d'une mesure tardive et réactionnaire plutôt que d'un pas en avant vers une véritable amélioration de la protection de la vie privée.
Source: Reddit
Les motivations de ce changement restent floues. Comme l'a supposé un utilisateur, cela pourrait faire partie d'une stratégie plus large de Mozilla visant à déplacer la collecte de données vers ses propres serveurs, en accord avec son identité émergente en tant qu'entreprise de technologie publicitaire. L'éternelle question de savoir s'il est vraiment possible d'être à la fois un grand acteur de l'adtech et un véritable défenseur de la vie privée sera certainement posée à Mozilla plus souvent maintenant, nous le prévoyons.
Il y a aussi l'éléphant dans la pièce qui annule en partie le bien que Mozzila est censé faire en supprimant le SDK de suivi des publicités par des tiers - l'éléphant est la fonction PPA, qui continue à soulever des inquiétudes quant à l'étendue de la collecte de données sous le couvert de la protection de la vie privée.
La part de marché de Mozilla continue de diminuer - elle a chuté en dessous de 3 % au cours des 12 derniers mois. Il est peu probable que cet ajustement rétablisse la confiance des utilisateurs dans l'entreprise, si tel était l'objectif, dans le contexte d'une controverse croissante sur ses pratiques en matière de collecte de données. Mais ce serait peut-être plus prudent d'attendre et de voir.
