Detection and measurement of web tracking
Détection et mesure des techniques avancées du suivi dans le web
Résumé
In this thesis, we detected and measured web tracking technologies. We further audited the legal compliance of websites within the EU data Protection legal framework by assessing their compliance with the General Data Protection Regulation (GDPR) and the ePrivacy Directive. First, we proposed a fine-grained behavioral classification of tracking based on the analysis of invisible pixels. We demonstrated that popular methods to detect tracking, based on EasyList&EasyPrivacy and on Disconnect lists respectively miss 25.22% and 30.34% of the trackers that we detect. As a follow up of this first work, we made a qualitative study, and reported on the analysis on 176 websites of medical doctors and hospitals. We found that 76% of these websites fail to comply with the GDPR requirements on a valid explicit consent. Second, we studied the combination of both stateful and stateless web tracking techniques. To the best of our knowledge, our study is the first to detect and measure cookie respawning via browser and machine fingerprint. We found out that this technique can be used to track users across websites even when third-party cookies are deprecated. Finally, we investigate the legal compliance of purposes for 20,218 third-party cookies. We found that purposes declared in cookie policies do not comply with the purpose specification principle in 95% of cases in our automatized audit. Furthermore, we analyzed the authentication practices implemented in third-party tracking services to exercise the access right.
Dans cette thèse, nous avons détecté et mesuré les technologies de suivi web. Nous avons également vérifié la conformité juridique des sites web dans le cadre juridique de la protection des données de l’UE en évaluant leur conformité avec le règlement général sur la protection des données (RGPD) et la directive ePrivacy. Tout d’abord, nous avons proposé une classification comportementale du suivi basée sur l’analyse des pixels invisibles. Nous avons démontré que les méthodes populaires pour détecter le suivi, basées sur EasyList&EasyPrivacy et sur Disconnect respectivement échouent à détecter 25,22% et 30,34% des traqueurs que nous détectons. Suite à ce premier travail, nous avons réalisé une étude sur 176 sites web de médecins et d’hôpitaux. Nous avons constaté que 76% de ces sites web ne respectent pas les exigences du RGPD sur le consentement explicite valide. Deuxièmement, nous avons étudié la combinaison des techniques de suivi web sans état et avec état. Au meilleur de notre connaissance, notre étude est la première à détecter et à mesurer la recréation de cookie via les empreintes digitales de la machine et du navigateur. Nous avons découvert que cette technique peut être utilisée pour suivre les utilisateurs à travers les sites web même lorsque les cookies tiers seront obsolètes. Enfin, nous avons évalué la conformité juridique des finalités pour 20,218 cookies tiers. Nous avons constaté que les finalités déclarées dans les politiques de cookie ne sont pas conformes au principe de spécification de finalité dans 95% des cas dans notre audit automatisé. En outre, nous avons analysé les recommandations des services tiers mises en œuvre pour exercer le droit d’accès.
Origine : Version validée par le jury (STAR)