Decryptage Interview News

Qwant : vraiment respectueux de la vie privée ?

qwant
Depuis quelques semaines, Qwant fait parler de lui. Le navigateur français respectueux de la vie privée serait copain comme cochon avec Microsoft. Il enverrait même des informations sur les utilisateurs à l’américain… Un comble, non ? Démêlons le vrai du faux.

Sur Tweeter ou dans la presse spécialisée, on entend beaucoup parler de Qwant en ce moment. On soupçonne le moteur de recherche français de copinage avec Microsoft et même de lui envoyer des informations. Rappelons pour ceux qui ne connaissent pas, que Qwant se limite au minimum en ce qui concerne les incursions dans votre vie privée puisque la seule chose que le moteur de recherche laisse sur votre ordinateur c’est un cookie qui sera effacé à la fin de votre session. Pourtant, on parle aussi de user agent string* et d’IP partiellement envoyée à la régie pub du géant américain.

nitotPour y voir plus clair, nous avons demandé à un responsable de Qwant de bien vouloir répondre à nos questions et c’est Tristan Nitot qui s’y est collé. On aurait pu tomber plus mal… Vice-président de Qwant, Tristant Nitot a rejoint Qwant l’année dernière, mais avant cela, il a passé 17 ans à la fondation Mozilla. Il est aussi écrivain et membre du comité de prospective de la CNIL.

Entrons dans le vif du sujet, qu’est-ce qui est sous-traité par Microsoft dans les recherches de Qwant exactement ?
Dans cette histoire beaucoup crient au loup, mais la vérité c’est que Microsoft est un partenaire historique de Qwant. Depuis des années nous utilisons la régie publicitaire de Microsoft et nous ne nous en cachons pas puisque sur les encarts, c’est explicitement mentionné : «publicité fournie par Microsoft». Après nous avons notre propre régie et nous espérons la voir prospérer à l’avenir.

Mais pour comprendre nos liens avec Microsoft, il faut savoir qu’un moteur de recherche c’est 4 sous-systèmes. On a d’abord le «crawler».

qwant
Qwant dispose d’une application mobile très bien foutue, mais il est bien sûr possible paramétrer le moteur de recherche français par défaut. Il faut aller dans le menu avec les trois petits points puis regarder dans les paramètres. Dans la section Recherche, choisissez Qwant à la place du géant américain qui se nourrit de vos données personnelles.
C’est un robot qui parcoure de Web et copie des pages en local. On a ensuite la création de l’index qui est similaire à ce qu’on peut trouver à la fin d’un livre (tel mot se rapporte à telle page). Cet index va scanner des dizaines de milliards de pages et des centaines de milliards de liens. Pour ce faire, il faut une grosse capacité de calcul et donc, une grosse infrastructure. Vient ensuite le ranking qui va établir une pertinence entre les pages. Si vous tapez «soupe à la tomate», vous ne voulez pas savoir comment cultiver la tomate ou les pays producteurs de tomates, vous voulez sans doute une recette de soupe à la tomate. Cette étape est encore très coûteuse en puissance de calcul.

Dans ces 3 premiers éléments (crawler, index et ranking), tout est public. Par contre le 4ème est plus sensible puisqu’il s’agit de la partie «front end» où Qwant dispose en clair de l’IP de la personne qui tape «soupe à la tomate». Cette information n’est pas publique, mais comme Qwant est respectueux de la vie privée, cette adresse IP est utilisée pour délivrer les résultats, mais elle est ensuite hashée et salée avant d’être stockée pour éviter toute récupération.

En ce moment, toutes ces étapes sont gérées par Qwant, mais dans quelques semaines, sans doute à la rentrée, nous allons louer à Microsoft des serveurs situés en UE pour augmenter notre puissance de calcul, indexer plus de pages et augmenter la pertinence du ranking. L’étape 4 s’effectuera toujours sur nos serveurs.

Le but d’une location de serveur c’est d’éviter de devoir les acheter et de potentiellement être condamné à ne les faire tourner que quelques heures par jour. Lorsque vous êtes un étudiant sans argent, vous allez en premier lieu louer un appartement plutôt que d’acheter, non ?

Selon le Virus Informatique (dans son n°40), quand on clique sur une publicité, Qwant fournit à Microsoft l’IP4/24 [une IP amputée des 3 derniers chiffres] plus l’user agent de l’utilisateur. Il s’agit apparemment d’une mesure permettant d’éviter les fraudes aux clics. Selon eux, il est possible en recoupant ces deux informations de localiser une personne, même s’il s’agit de cas rares [Notons au passage que Microsoft n’a contractuellement pas le droit de le faire, NDLR]. Dans son article, le journaliste prend l’exemple hypothétique d’un utilisateur de Qwant dans un petit village qui utiliserait un Atari ST pour se connecter…

Ils ont raison. Si toutes les planètes sont alignées, dans un cas extrême, c’est potentiellement possible. Comme il s’agit d’une IP4/24, il y a une chance sur 256 de trouver son emplacement. Tout ça à condition que tout ce petit monde dispose d’une IP fixe et que le user agent string soit suffisamment exotique. Nous sommes en train de corriger cela. Nous souhaitons faire en sorte de remplacer le user agent string des utilisateurs par une chaîne de caractères générique : Chrome/Windows par exemple, même si l’utilisateur utilise iOS. C’est prévu, car nous souhaitons être parfaits.

Le but ultime de Qwant est-il de devenir indépendant à l’avenir ?

Bien sûr nous avons pour vocation de devenir complètement indépendants.

Pour mettre les choses en perspective, pouvez-vous nous dire d’où Qwant tire son argent ?

Qwant est en pleine croissance, les chiffres sont phénoménaux et nous avons besoin de grossir constamment. Il s’agit même d’un miracle de faire de tels résultats avec le peu d’argent que nous avons à disposition. Car outre les salaires, nous investissons énormément. Qwant propose des publicités contextuelles. À ne pas confondre avec les publicités ciblées de Google. Avec votre mobile Android, votre compte Gmail, Google Maps, Chrome, Calendar, YouTube, Waze et toutes ces applications, Google a une vision bien claire de qui vous êtes, ce que vous voulez, ce que vous allez faire, etc. Chez nous, si vous tapez «soupe à la tomate» [C’est une fixation, NDLR], on vous proposera par exemple une publicité pour un mixeur ou des boîtes de gaspacho, mais rien n’est enregistré et on ne sait rien du background de la personne. Nous avons aussi Qwant Shopping qui va vous proposer un produit en fonction de votre recherche. Si vous tapez «télévision 4K», on pourra vous en recommander quelques-unes et Qwant prendra une commission en cas d’achat. Nous pouvons aussi compter sur des investisseurs privés. En ce moment Qwant pourrait être profitable, mais nous préférons miser sur la recherche et le développement pour proposer de nouvelles fonctionnalités. Par exemple nous travaillons en ce moment sur Qwant Maps en collaboration avec Open Street Map et sur Masq qui permet de chiffrer des données en local (favoris, itinéraires, etc.) avec synchronisation, sans passer par un serveur.

qwant map
Qwant investit énormément dans de nouvelles fonctionnalités. Qwant Maps, en collaboration avec Open Street Map, et Masq sont les derniers rejetons du moteur de recherche français.

Ça ne doit pas être facile de convaincre des investisseurs avec le géant Google face à vous et cette politique d’investissement intensive…

Pas forcément, car l’argent n’est pas la première motivation pour tous. La Caisses des Dépôts et Consignations [qui a investi 15 millions d’euros en 2017] a par exemple pour but de redonner un peu de souveraineté à la recherche en ligne. Pareil pour Axel Springer qui a d’autres motivations [Ce groupe de presse allemand n’est pas vraiment fan de Google qu’il accuse de voler le contenu de ses articles, NDLR].


*User Agent String : Il s’agit d’une chaîne de caractères envoyée dans les communications HTTP pour identifier le système et le navigateur d’un utilisateur. Cela permet d’optimiser l’affichage du contenu Web (qui peut prendre différentes formes selon que vous vous connectez depuis Firefox, Windows ou sous Chrome avec un appareil Android). Or, ce User Agent peut être utilisé pour réaliser « l’empreinte » d’un individu.

**Hachage/salage : Une fonction de hachage (hash function) va transformer une donnée en clair vers une suite alphanumérique qui sera très difficile à inverser. Le salage va ajouter une fonction aléatoire au hachage pour rendre impossible toute récupération de l’information initiale.

Article publié dans le magazine Pirate Informatique n°42 : encore en kiosques !

Qwant en images