Je ne suis qu’assez peu la presse sur les réseaux sociaux, car il s’agit bien souvent de messages automatisés partageant les articles publiés par le média. Cependant, j’ai tout de même remarqué des liens étranges dans les messages publiés par de grands médias français depuis quelques semaines. Par exemple, France Inter partage ses articles avec des liens « l.franceinter.fr ». J’ai découvert que ces liens raccourcis embarquent des technologies de tracking intrusives mais qu’on peut refuser. Je vous explique.
Jeu de piste
France Inter, BFMTV, Le Praisien, ou encore La Provence, tous ces médias ont un point commun, ils ne partagent plus sur les réseaux sociaux leur articles avec le lien de l’article mais avec un lien raccourci composé de leur adresse de site précédé de la seule lettre « l » : « l.franceinter.fr », « l.bfmtv.com », « l.leparisien.fr », « l.laprovence.com », « l.francebleu.fr »… Tous utilise le même service de liens raccourcis nommé : Nonli.
J’ai eu un peu de mal pour trouvé quel était le sous-traitant qui se chargeait des liens raccourcis. Au départ, ces liens m’avaient surpris car leur suffixe (l’identifiant unique après le nom de domaine) était très court : deux, trois voir même un seul caractère ! J’ai utilisé différents outils pour essayer de découvrir quel service était utilisé. L’IP des liens renvoyait vers Google. J’ai alors d’abord cherché de ce côté. Celui-ci propose bien un service nommé Firebase Dynamic Links mais le suffixe des liens doit être de minimum quatre caractères. C’est d’ailleurs ce qui m’étonnait dans les liens que je voyais sur les réseaux sociaux, ils étaient tellement court que ça les rendaient devinables alors que c’est une base de la sécurité d’avoir des identifiants non-devinables. Avec un suffixe que quatre caractères et une dose d’aléatoire, il est très difficile de deviner des liens. Ici, les liens des médias que je voyais étaient attribués dans l’ordre : au départ qu’un seul caractère qui allait de « a » en minuscule à « Z » en majuscule en passant par les chiffres, puis pareil pour deux caractères, puis trois, etc..
C’est un peu par hasard que j’ai trouvé le service qui permet aux médias de créer ces liens raccourcis. Lorsqu’on affiche les tweets comportant ces liens, l’application utilisée pour les poster est affiché en dessous du tweet. « Nonli » est-t-il écrit pour « Not Only Link ». Il s’agit du service disponible à l’adresse « nonli.com ».
Pas seulement un lien
Lorsqu’on clique sur un lien sur Twitter, on est déjà traqué par Twitter avec les liens « t.co » mais on est maintenant doublement traqué avec Nonli. En utilisant ces liens, ceux-ci vous redirige vers l’article du média mais en déposant un cookie au passage et sans demander votre consentement. C’est censé être légal car tout est fait de façon anonyme et sous le nom de domaine du média. En revanche, on ne vous informe pas assez du fait que vous pouvez refuser d’être traqué. Il suffit de visiter la page « /cookie/consent » pour chaque média. Voici la liste :
- l.franceinter.fr/cookie/consent
- l.bfmtv.com/cookie/consent
- l.leparisien.fr/cookie/consent
- l.laprovence.com/cookie/consent
- l.francebleu.fr/cookie/consent
Le code source de Nonli n’étant pas disponible, il est impossible de savoir exactement comment sont utilisés les cookies déposés par ce service. Ce qui est d’autant plus inquiétant est l’utilisation monopolistique de ce service par les médias français d’autant plus qu’il est hébergé par Google via le service Google Cloud Platform… A fuir !
Une réponse à “Presse et réseaux sociaux : cliquez, vous êtes traqués”
C’est malin d’utiliser le l. , c’est ce qu’il y a de plus concis visuellement.