Sans prévenir, WordPress impose Google Fonts… Sur des millions de sites !

Grâce à l’extension pour Firefox RequestPolicy, je me suis récemment rendu compte que mon blog faisait appel aux Google Fonts, ce qui n’était pourtant pas le cas il y a encore quelques semaines.

Les Google Fonts sur Ohax.fr

Les Google Fonts sur Ohax.fr

N’étant pas très actif ici en ce moment et n’ayant pourtant pas fait de modifications majeures, j’ai vite compris qu’il s’agissait d’une mise à jour des thèmes fournis par défaut dans l’installation (Twenty Twelve, Twenty Thirteen et Twenty Fourteen). N’oublions pas que cela impacte également les thèmes enfants de ceux-ci.

Après quelques recherches j’ai découvert que le blogueur Milan Ivanović a développé l’extension « Disable Google Fonts » pour permettre aux Webmasters de pallier rapidement à ce problème. Attention, cette modification ne fonctionne qu’avec les thèmes « Twenty » incriminés dans cet article, pour les autres il faudra très probablement mettre les mains dans le code, sinon créer un thème enfant débarrassé du code tiers.

Démonstration une fois l’extension activée :

Bye Bye Google Fonts sur Ohax.fr

Bye Bye Google Fonts sur Ohax.fr

Bien qu’il soit facile de pallier rapidement à ce problème, cela pose un problème majeur de sécurité et de vie privée.

Sans prévenir, par une simple mise à jour, WordPress insère du code tiers. Au-delà des problèmes de performances, Google sait quelles pages vos visiteurs visitent, plus d’informations ici (en anglais) : Google Webfonts, The Spy Inside ?

Ce qui me surprend le plus ?
Ce genre de chose passe toujours presque inaperçu, la plupart des webmasters et blogueurs se moquent complètement de la confidentialité et de la vie privée de leurs visiteurs. C’est inadmissible !

Le plugin cité ici est bien peu populaire, c’est pourtant le seul disponible pour cette modification, sans avoir à faire des modifications dans le code de WordPress.

Les utilisateurs qui dénoncent ce problème sont bien rares, en atteste encore ce sujet bien vide à destination des développeurs de WordPress…

J’avais déjà relevé ce laxisme quasi généralisé dans mon article où je proposais un script pour ajouter les boutons de partage des réseaux sociaux sans le tracking des visiteurs.

Les blogueurs qui se disent pour le respect de la vie privée sur internet et qui collent une vingtaine de traqueurs javascript sur leur siteAutre exemple encore plus récent, j’ai profité de la mise à jour de thème de Numérama pour proposer plus de cohérence entre les écrits et les actes, sans réponse pour le moment.

gchampeau numerama boutons réseaux sociaux trackingSur son propre article du 20 août 2011, Numérama dénonçait le tracking avancé généré par le bouton « J’aime » de Facebook. Bientôt 2 ans après, Numérama utilise toujours ce bouton, ainsi que son équivalent pour les autres réseaux.

Il est probable qu’un système plus respectueux de la vie privée comme celui que je propose ai un impact légèrement négatif sur le nombre de partages, mais pour que les discours soient écoutés il faut aussi que vos actes soient cohérents !

J’insiste, le but n’est pas de basher qui que ce soit, Guillaume Champeau que je cite régulièrement ici fait beaucoup pour relayer un discours pro-respect de la vie privée.

Mise à jour : Je découvre que le blog Révolte Numerique en avait parlé il y a 2 semaines, avec finalement peu de succès. Je ne connaissait pas, j’ajoute à mon lecteur de flux RSS… :-)

Partager :

Flattr !

10 réflexions au sujet de « Sans prévenir, WordPress impose Google Fonts… Sur des millions de sites ! »

  1. Le souci, c’est que tous les webmasters ne sont pas forcément des flèches, je me compte parmi ces derniers ^^’

    Si j’ai bien compris, ce problème ne concerne que les thèmes que tu cites ou c’est indépendant ?

    • Ce problème concerne dans un premier temps les thèmes « officiels » ce qui est un problème majeur selon moi. On ne livre pas un logiciel « libre » avec des liens pour charger du code tiers, surtout chez Google.

      Pour les thèmes tiers, tout dépend du développeur. C’est à son choix ou non. Par contre il faut faire attention pour les thèmes enfants basés sur des thèmes officiels.

  2. Surpris par cette nouvelle intrusion, en fait, non, pas tant surpris que ça, devoir mettre un nouveau plugin pour toutes nouvelles choses de ce genre me gave à vrai dire.

    Du coup, j’ai bloqué le referrer dans mon navigateur de tout ce qui provient de *.google.com., ce qui, il me semble devrait au moins permettre de rendre caduc son tracking de mes navigations.

    À chaud, sans avoir fait 100% le tour des failles possibles, ça me semble être une solution de salubrité à priori.

    • Je prévois d’ici quelques jours un billet sur les extensions Firefox pour aider à protéger sa vie privée. Ma configuration est plutôt extrême, mais je pense qu’il y a moyen d’y trouver pas mal d’idées… :-)

    • Une alternative sympa aux thèmes Twenty de WordPress, merci.

      Concernant le site que tu as renseigné sur ton pseudo, c’est une erreur ou un lien incorrect volontaire ? :-/

  3. J’avais eu ce même problème en choisissant un CMS pour mon blog, il y a quelques mois. Heureusement, contrairement à WordPress, le code était petit et clair et les retirer fut simple et indolore.

  4. guys, que faire contre ce qui en ont rien a faire?

    Je me suis fait traiter de maniaque pour dire d’arreter les google fonts, ou de les mettre en local au moins(c t avant le delire dt tu parles, juste sans wordpress le createur de web page il utilise gl00gl font, alors que si tu reflechis juste une seconde, mm sans les delires evil de g00gl$oft, ssa va prendre obligatoirement plus de temps pour loader ta page si tu vas chercher des fonts qq part -et chui pas un pcman de la premiere heure), et pour refuser (autre probleme ms bon mm delire qq part) d’acheter un certificate verisign pour le mail server(les clients y se plaignent car ils veulent pas configurer IE et au premier abord IE leur dit que le certif il est pas credible)…

    J’hesite a tout arreter(je fais juste du hosting) et leur dire d’aller se faire voir avec leur server hosting pas cher ou tu as tout en http et du mail server en pop 110.

    Honnetement que faire? J’ai beau essayer d’expliquer que meme si t’aimes pas la ceinture de securite ou le permis de conduire, c necessaire de nos jours pour la bonne marche de la societe(et pour ta vie aussi).

    Mais non, ils veulent simple et tant pis si ils sont pris pour de la viande hachee.

    La confusion totale…
    Le pire c que je les vois venir. Apres qqs annees de recherches google et toutes les pubs possibles sur le seul mot que tas mis ds la search bar, ils vont se plaindre c sur.

    Ecrire cette reponse m’a donne une idee
    Je vais juste dire « oui oui je suis desole cela ne se repoduira pas »
    Et derriere juste mettre les fonts google sanitiser en local et gerer le code wordpress pour quil utiise les fonts google sanitisees.

    C grave on est ds un delire entre Rhinoceros de Ionesco et la video I-stupid0 sur les iphonn.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *