"Bien informés, les hommes sont des citoyens; mal informés ils deviennent des sujets" (Alfred Sauvy)

Google limite l’activité des cookies tiers

Dans une tentative de transparence, Google a annoncé le lancement de deux évolutions de sécurité majeures sur son navigateur Chrome : la fonctionnalité « SameSite » et une mesure contre la pratique du « fingerprinting ».

 

La lutte contre les cookies d’un site tiers : SameSite

Les cookies sont les principaux visés par les efforts en matière de confidentialité sur le web, mais tous les cookies n’ont pas d’objectifs marchands. Certains sont utiles par exemple pour maintenir votre connexion à un compte, ou conserver l’adresse de livraison déjà renseignée afin de faciliter votre navigation.

Google a donc choisi de distinguer deux catégories de cookies : les cookies venant du site visité et ceux issus d’autres sites, les fameux cookies de tracking.

Ces deux types de cookies ne seront plus gérés de la même manière par Chrome. Pour se débarrasser des cookies de tracking, il ne sera plus nécessaire d’opter pour la seule option jusque-là disponible : effacer l’historique de navigation.

Google n’a fourni aucune date précise mais dans quelques mois, Chrome exigera des développeurs d’appliquer des changements afin, à terme, d’offrir à l’utilisateur la possibilité de limiter l’action des cookies tiers et conserver les autres, pour une navigation optimisée, mieux informée et sécurisée.

D’un point de vue développement, la mise à jour reposera sur un nouvel attribut des cookies : « SameSite » (traduire « Même site »). Lors de la création du cookie, en fonction de sa nature, il sera possible de définir, en même temps par exemple qu’une date d’expiration, si le cookie peut fonctionner uniquement sur le site natif du cookie et comment : de façon stricte SameSite=Strict ou étendue SameSite=Lax ou si il s’applique à d’autres sites : SameSite=None.

Chrome 76 devrait donc introduire un traitement par défaut des cookies en cookies SameSite=Lax. Si votre site nécessite des cookies utilisables sur d’autres sites, il faudra l’indiquer dans leur attribut en SameSite=None. Voir la procédure ici.

Google espère ainsi encourager les propriétaires des sites à utiliser des cookies valides seulement sur leur site en les protégeant des actions malveillantes qui se servent principalement des cookies tiers.

Google a aussi annoncé vouloir limiter l’activité des cookies tiers à des connexions HTTPS pour plus de sécurité.

Action contre le fingerprinting

Le « fingerprinting » est également la cible de Google. Ces méthodes qui collectent des informations sur votre appareil grâce au navigateur. La firme a annoncé l’arrivée prochaine d’une fonctionnalité permettant de bloquer ces méthodes abusives qui peuvent par exemple mesurer la taille de votre écran ou analyser les extensions installées. Google est resté assez évasif sur les moyens mis en oeuvre pour mettre fin à ces pratiques, mais la détection du fingerprinting  sera beaucoup plus efficace.

Globalement, Google suit le même chemin que les autres acteurs mondial du web : une volonté de façade de protéger la vie privée des utilisateurs. Une communication assez étonnante quand on sait que Google capte justement les budgets des annonceurs grâce à son exploitation des données personnelles, et des données de navigation des utilisateurs de l’écosystème Google.