Quand Google nous piste par les fontes !

Si les pages des sites Web se sont considérablement alourdies, c’est aussi en partie à cause des fichiers WOFF et WOFF2, souvent associés aux CSS (voir en annexe à l’article ci-dessous) afin de personnaliser l’aspect des sites. Ces fichiers sont en réalité des polices de caractères téléchargées et interprétées par le navigateur.

Créés en 2009, les fichiers WOFF utilisent la compression gzip et proposent une taille 40% inférieure à celle des fichiers TTF. En 2012, Google propose une évolution du format au W3C en passant à la compression LZMA. Citius, altius, fortius.

En proposant d’utiliser des feuilles de style CSS ou des fontes hébergées sur les domaines fonts.googleapis.com ou fonts.gstatic.com, Google permet de collecter nos données personnelles issues de notre navigation sur Internet, assez facilement grâce aux cookies associés à ces différents domaines du fait de la généralisation de leur utilisation. Vous pouvez  visualiser le tracking perpétré grâce à Lightbeam de la fondation Mozilla dans Firefox.

Quand Google nous piste par les fontes !

Parades

Les parades existent. La plus radicale est de bloquer le téléchargement des fichiers de polices de caractères dans votre navigateur… Firefox bien sûr. Dans ce cas, vous devez passer l’option gfx.downloadable_fonts.enabled à false à partir du configurateur about:config. Radical. Sauf que l’affichage de certains sites risquent d’en être fort altéré. Je pense à Twitter et aussi à l’interface d’administration de WordPress. Mauvaise pioche.

abou-config-gfx-downloadable-fonts-enabled-false

L’autre solution consiste à passer par AdBlock Edge – un fork de AdBlock Plus – et d’ajouter à vos filtres les deux règles de filtrage suivantes :

||fonts.googleapis.com^
||fonts.gstatic.com^

Cette méthode ne vous protège toutefois pas d’autres APIs proposées par Google et qui jonchent les sites visités.

 Bloquer le tracking par les fontes effectué par Google

Une autre solution consiste, dans Firefox, à bloquer les cookies provenant de ces deux domaines, en allant dans Options -> Vie privée -> Exceptions. Vous devez alors ajouter les deux domaines googleapis.com et gstatic.com et choisir de les bloquer. Vous pouvez aussi d’ajouter le domaine apis.google.com à cette liste ! Cette méthode est bien plus puissante que la précédente et ne perturbe en rien l’affichage des sites. A la condition de ne pas effacer les préférences de sites dans votre historique : dans Options -> Vie privée ->Vider l’historique lors de la fermeture de Firefox -> Paramètres, décochez Préférences de sites dans les Données.

firefox-options-vie-privee-options-exceptions

Annexe : le contenu d’un fichier CSS du domaine fonts.googleapis.com

Le fichier CSS indique au navigateur le téléchargement d’un fichier WOFF à partir du domaine fonts.gstatic.com. CQFD.

@font-face {
  font-family: 'Inconsolata';
  font-style: normal;
  font-weight: 400;
  src: local('Inconsolata'), url(http://fonts.gstatic.com/s/inconsolata/v11/BjAYBlHtW3CJxDcjzrnZCI4P5ICox8Kq3LLUNMylGO4.woff2) format('woff2'), url(http://fonts.gstatic.com/s/inconsolata/v11/BjAYBlHtW3CJxDcjzrnZCIbN6UDyHWBl620a-IRfuBk.woff) format('woff');
}

Tracking  / Confidentialité des données Données personnelles Tracking 

Commentaires

A noter que WordPress utilise par défaut les Google fonts.
https://tuxicoman.jesuislibre.net/2014/02/wordpress-sans-google-fonts.html

@Tuxicoman

Installé à l’instant même. Merci.

Bonjour.
Une autre solution me parait pertinente et simple si on utilise Firefox (10% de la population). Dans les options, section « vie privée et sécurité », on peut dans la ligne « accepter les cookies tiers et les données de sites tiers », choisir « jamais ». Ainsi, vous profitez des services de Google et autres, sans que leur cookies vous espionne.
Évidemment, cette option est absente du navigateur préféré, et de loin, des français.

@Dominique

Google n’utilise pas que les cookies. Les urls utilisées par les fontes transmettent des paramètres en mode GET.

« Google n’utilise pas que les cookies »

Faut-il en conclure que mon conseil est nul (et les développeurs de firefox qui ont conçu cette fonctionnalité aussi) ?

@Dominique

Il utilise aussi les cookies ainsi que le CANVAS Fingerprinting, ses DNS, ses API, etc.

Laisser un commentaire

(requis)

(requis)