GIF est l’acronyme pour Graphics Interchange Format, c’est un ensemble d’images assemblées de qualité moyenne à basse et qui constituent une mini vidéo tournant en boucle.
Les GIFS sont une façon humoristique d’exprimer des émotions sur son application de messagerie préférée. D’ailleurs nous sommes des centaines de millions à utiliser ces petites photos animées pour rendre nos discussions plus vivantes.
Mais, saviez-vous qu’ils peuvent aussi être un risque pour votre vie privée et votre sécurité? Le tracking est partout, au sein même de nos discussions. Même quand vous envoyez un message innocent à votre meilleur ami, si vous utilisez un GIF, vous utilisez un code qui peut vous suivre à la trace.
Ce n’est pas pour rien que les principaux acteurs de ce marché du GIF que sont Giphy et Tenor sont tombés dans l’escarcelle de Facebook et Google. Giphy a été racheté par Facebook en mai 2020 pour 400 millions de $ et Tenor par Google en 2018 pour 100 millions $. Autant vous dire que si ces deux mastodontes de la tech particulièrement connus pour leur exploitation des données personnelles ont racheté ces deux boîtes, ce n’est pas pour le plaisir d’animer vos conversations privées. Et oui, Facebook et Google ne sont pas des associations caritatives…
Alors comment fonctionne le tracking via un GIF?
En rachetant ces sociétés, Facebook et Google s’intéressent une fois de plus à nos recherches puisque, lors de nos recherches de GIFs, nous effectuons une recherche sur leur plateforme. C’est la première source de tracking: nos goûts, nos envies. Mais les GIF ont aussi la capacité de révéler des informations dès lors qu’on les utilise: adresse IP de l’émetteur, du receveur, l’identifiant de l’appareil, les informations contenues dans les cookies.
Chez Giphy (Facebook) : (traduction Deepl)
Nous recevons et enregistrons automatiquement des informations provenant de votre navigateur Web ou de votre appareil lorsque vous interagissez avec les Services, notamment lorsque vous recherchez, sélectionnez, visualisez ou recevez un GIF, telles que votre adresse IP, l’identifiant de votre appareil, les informations relatives à la requête de l’utilisateur et les informations relatives aux cookies.
On lit:
Bien que nous recueillions et stockions les adresses IP et les informations d’identification des appareils, ces informations ne sont pas rendues publiques. Toutefois, nous partageons parfois ces informations avec nos fournisseurs de services et comme indiqué dans la présente politique de confidentialité.
Chez Tenor (Google), on retombe sur la politique de confidentialité de Google tout simplement.
Le tracking partout
Comme d’habitude pour ces groupes, on apprend grosso modo qu’ils collectent beaucoup de données précises et les partagent avec des tiers pour lesquels ils n’assument pas leur façon de gérer vos données. On apprend aussi que le suivi peut se faire en dehors de la plateforme en tant que tel. Par exemple, si vous utilisez un GIF de Giphy, et vous vous rendez ensuite sur Facebook ou un site qui contient des boutons Facebook, le pistage en ligne continue…
Ce tracking permanent n’est pas prêt de s’arrêter puisqu’on trouve les GIFS à peu près partout, y compris sur nos claviers de smartphone. Comme l’explique cet article, le clavier de Google Gboard ou Twitter mettent à disposition leurs GIFS, ils auraient tort de s’en priver. Le fonctionnement des GIFS est parfaitement résumé: le GIF inclut du code en Javascript qui permet à Giphy de suivre le cheminement de l’image à travers le web et:
Les développeurs qui installent les outils Giphy dans leurs applications doivent donner au service l’accès à l’identifiant de suivi de l’appareil. Cet accès permet à Giphy (et maintenant à Facebook) de mieux faire correspondre l’identité d’un utilisateur avec les applications qu’il utilise sur son téléphone
Et la sécurité?
En matière de sécurité, cela peut poser d’autres problèmes. Whatsapp en a déjà fait les frais.
Des hackers ont ainsi envoyé de faux GIF sur Whatsapp, une fois qu’ils étaient activés dans la galerie de l’application, les hackers pouvaient accéder aux images, photos et messages de la victime. Cette sale affaire doit donc nous rappeler que, derrière ces photos animés drôles, se cachent un peu de code ( en javascript) qui peut dans certains cas contenir une partie intrusive voire malveillante.
Les GIFs et la messagerie Signal
Mais qu’en est-il de la messagerie Signal qui met à disposition les Gifs de Giphy ? On peut légitimement s’interroger sur la cohérence de ce partenariat alors que l’application revendique sa capacité à protéger vos données personnelles. Y a-t-il un problème ?
La réponse est donnée sur le site de la fondation Signal :
Le service Signal agit essentiellement comme un VPN pour le trafic GIPHY : le service Signal sait qui vous êtes, mais pas ce que vous recherchez ou sélectionnez. Le service API GIPHY voit le terme recherché, mais pas qui vous êtes ». Si l’on suit le raisonnement de Signal, ils pseudonymisent la requête que vous faites sur Giphy via Signal puisque c’est bien ce que fait un serveur VPN, vous agissez sur internet avec l’identité du VPN et non la vôtre, en votre nom propre.
Bon et alors maintenant on fait quoi? On n’utilise plus jamais de GIFS?
Soit on est coincé entre deux mastodontes des GAFAM soit on utilise des GIFs venus de nul part qui risquent peut-être de compromettre notre sécurité.
Découvrez Heypster GIF
Heureusement il y a une solution, grâce à Heypster GIF, une start-up française qui vient de se lancer et qui propose des GIFS de qualité 3 fois supérieure et garantis sans tracker ! Heypster ne garde aucune trace de vos historiques de recherche et ne demande aucune information personnelle pour utiliser son application. Leurs serveurs sont en France.
L’appli est déjà disponible sur les magasins d’applications habituels (Google Play Store/Appstore) ou Aurora Store pour les initiés, on y reviendra dans une prochaine vidéo. Alors comment se rémunèrent-ils? D’après le fondateur grâce à des GIFs sponsorisés, mais une publicité non ciblée, en fait c’était la façon dont fonctionnait Giphy à ses débuts, avant son rachat par Facebook …
