Des chercheurs alertent sur le très faible niveau de sécurité des sites pornographiques : les données personnelles seraient récupérées par d’autres entreprises sur 93 % d’entre eux, sans compter les risques importants de piratage. Un problème majeur étant donnée le nombre massif d’internautes fréquentant ces sites pornos et le caractère extrêmement sensible des informations sur la sexualité des individus, cibles potentielles de harcèlement et de discrimination.

Les données personnelles de nature pornographique des internautes sont particulièrement sensibles. Et elles sont particulièrement peu sécurisées. C’est la double conclusion alarmante que tirent trois chercheurs, de Microsoft Research, de l’université Carnegie-Mellon, aux États-Unis et de l’université de Pennsylvanie, dans une étude pré-publiée le 15 juillet sur le site arXiv. Après avoir analysé les caractéristiques de 22 484 sites pornographiques, ils ont conclu que 93 % de ces sites permettaient à des parties tierces de récupérer les données de leurs utilisateurs.

En tout, quelques 230 entreprises récupèrent des données des utilisateurs de ces sites pornographiques. Des entreprises pour la plupart non spécialisées dans la pornographie et parmi lesquelles on trouve les inévitables géants du web : Google traquerait les données des internautes sur 74 % des sites porno étudiés, Oracle, un « data broker » spécialisé dans la collecte et la revente de données, sur 24 % des sites et Facebook sur 10 % d’entre eux.

Diagramme du flux de données allant des principaux sites pornographiques vers les principales entreprises tierces réceptrices. (©Elena Maris, Timothy Libert et Jennifer Henrichsen)

Les données sont la plupart du temps récupérées via l’utilisation de cookies, qui permettent aux sites de recueillir des informations, par exemple sur leur trafic, en échange de leur partage avec les entreprises qui développent ces cookies. Ainsi, Google ou Facebook peuvent-ils recevoir ces informations sans les avoir recherchées activement. Les deux compagnies ont nié utiliser des données issues de sites pornographiques pour affiner les profils des internautes en vue de ciblages marketing, rapporte le New York Times.

Minorités sexuelles menacées

Mais Oracle, qui n’a pas souhaité réagir aux résultats des chercheurs, et d’autres entreprises concernées n’ont pas forcément les mêmes pudeurs dans leur ciblage marketing. Savoir précisément qui récolte et que deviennent ces données est particulièrement compliqué pour les internautes : les chercheurs n’ont réussi à récupérer les règles de confidentialité que sur 17 % des sites porno étudiés. Et encore celles-ci seraient largement incompréhensibles à la lecture : « Ceux qui n’ont pas un niveau scolaire équivalent à deux années d’études supérieures (et sûrement beaucoup de ceux qui l’ont) peuvent être incapables de donner leur consentement éclairé », écrivent-ils.

Surtout, les données personnelles sur ces sites seraient également particulièrement exposées à des actes de piratage. Seuls 17 % des sites sont chiffrés, facilitant l’interception de mots de passe et de comptes d’utilisateurs, notent les chercheurs. Entre 2012 et 2018, au moins 12 sites pornos ont d’ailleurs été hackés. Le piratage en 2015 du site de rencontres extra-conjugales Ashley Madison avait exposé le nom, numéro de carte de crédit, adresse et / ou pratiques sexuelles de 32 millions d’utilisateurs. Une intrusion brutale dans la vie privée de ces internautes qui avait notamment abouti à plusieurs suicides.

Capture d'écran du site Ashley Madison.

Et c’est l’autre dimension sur laquelle insistent les chercheurs : si l’on sait que nos données personnelles n’ont de façon générale plus grand-chose de personnel en ligne, elles sont particulièrement mal protégées et particulièrement sensibles sur ces sites porno. La révélation des orientations et pratiques sexuelles des personnes, notamment au sein de minorités sexuelles, « représente une menace particulière pour la sécurité et l’autonomie de ces personnes, dans toute société ou le genre et la sexualité sont encadrés », soulignent les auteurs.

L’inutile « navigation privée »

La surveillance des activités en ligne est en outre parfois dramatiquement simple, notent les chercheurs. L’URL des pages consultées suffit souvent à renseigner sur son contenu, le type de vidéos et donc les préférences sexuelles des utilisateurs. La méconnaissance des règles de cybersécurité confère également aux internautes un sentiment trompeur de sécurité. Alors que ceux-ci utilisent plus souvent leur navigateur en mode « navigation privée » pour consulter des sites porno, ils ont tendance à surestimer ses effets protecteurs. Si ce mode permet d’éviter le stockage de l’historique de navigation sur son propre ordinateur, il n’empêche en rien la collecte d’information sur l’activité en ligne et – notamment – la récolte d’information par les entreprises tierces sur les préférences sexuelles via le nom des URL consultées.

« J’aimerais que le public réalise plus clairement à quel point leurs activités sont tracées en ligne et les implications que cela comporte pour leur sécurité et leur vie privée », conclut auprès du New Scientist Jennifer Henrichsen, de l’université de Pennsylvanie et co-auteure de l’étude. Plus efficace que la « navigation privée », les chercheurs recommandent l’utilisation de plugins anti-traceurs pour limiter la fuite de données personnelles.

L’autre préalable étant de ne consulter de sites pornographiques qu’en ayant conscience du risque de fuites sur votre vie privée que cela comporte. Un conseil valable pour une large part des internautes : les sites pornos auraient reçu en 2017 plus de visiteurs mensuels que Netflix, Amazon et Twitter réunis, soulignent les chercheurs. 30 % de l’ensemble des données transitant sur Internet seraient du porno. En 2018, l’une des principales plateformes du secteur, PornHub, revendiquait 33 milliards de visites annuelles.

SUR LE MÊME SUJET :

> Deux tiers des Français préoccupés par la protection de leurs données personnelles

> Nous sommes tous cyberfragiles

> L'affaire Cambridge Analytica, symptôme du « capitalisme de surveillance »

> Facebook a autorisé « au moins 60 entreprises » à accéder aux données de ses utilisateurs

> Data brokers : du marketing à la surveillance de masse

> « Regarder des vidéos en ligne émet autant de CO 2 que l'Espagne »

Image à la une : capture d'écran de la page d'accueil du site porno PornHub