WebKit Intelligent Tracking Prevention

temps de lecture ~5 min

En juin 2017, Webkit (l’éditeur du moteur de navigation utilisé entre autres par Apple sur sa gamme IOS et MacOS) annonçait que dans une prochaine version sera introduit un système de purge des cookies et de régulation de l’usage de ceux-ci entre les sites.

Pas mal d’articles sont sortis depuis mettant en lumière la confrontation possible sur ce sujet entre Google qui faisait une annonce autour du blocage de certains contenus publicitaire sur son moteur Chrome, mais ce qui m’intéresse est plus le fonctionnel et les impacts que nous pourrions avoir sur nos sites web lors du déploiement massif de la version intégrant cette fonctionnalité.

Dès lors que l’on touche au navigateur qui est assez proche du système d’exploitation les mises à jour seront liées avec une montée de version. Avec IOS sur les iPhone c’est évident, sur un MacOS cela pourrait être un peu différent, mais l’impact va être immédiat et il pourrait nous occasionner un peu de sueurs froides pour mettre à jour certains fonctionnements de nos sites.

Principe

Le système proposé, nommé Intelligent Tracking Prevention, va modifier la façon dont les cookies restent stockés dans nos navigateurs et même sur le fait qu’ils soient tout simplement pris en compte. Les cookies visés sont ceux provenant de sites différents de celui visité. En effet, Webkit part du principe que le web est une zone où doit régner la confiance et commence son annonce par :

The success of the web as a platform relies on user trust. Many users feel that trust is broken when they are being tracked and privacy-sensitive data about their web activity is acquired for purposes that they never agreed to.

Il n’est pas rare aujourd’hui d’avoir des dizaines de sites tiers utilisés en support de l’affichage d’une page sur le site que l’on souhaite effectivement consulter. Les usages sont multiples : publicité, analyse de site et statistiques de visites, média sociaux, commentaires, multimédia et chacun en profite pour collecter de la donnée sur l’utilisateur. Ceci est fait à son insu dans la plupart des cas malgré les bannières de recueil du consentement que peu lise (avez-vous lu la page ici sur la protection des données personnelles avant de valider l’usage des cookies 😃 ?).

L’idée de Webkit est de tenter de limiter voir supprimer les cookies en provenance de ces sites tiers (via le cross-site tracking et un peu de classification). En gros, si vous visitez régulièrement le site tiers, les cookies seront bien sûr activés, par exemple pour les authentifications centralisées (SSO), les sites sociaux, de nouvelles, etc. En revanche, le site de publicité ou de retargetting que vous n’avez jamais visité se verra interdit de poser des cookies sur votre navigateur.

Un système d’hystérésis est mis en place afin de prendre en compte les visites régulières aux sites tiers.

Et nous

Les impacts pour les concepteurs de site seront à analyser au cas par cas, pas de règle absolue. Certes il va y avoir un peu de travail chez les sites “tiers” qui seront directement impactés dans leur fonctionnement et vont donc avoir à gérer les offensives de toute part des grands éditeurs de navigateur.

Pour nous, surement un peu de réflexion à mener sur le SSO et l’organisation des échanges de jetons avec nos partenaires car les noms de domaines de l’écosystème ne partagent pas le même TLD+1. Ceci est aussi vrai pour d’autres : facebook.com et fbcdn.net, google.com et gstatic.com, mais ils vont s’adapter sans aucun doute. Pour le reste, difficile à dire pour l’instant, mais je ne sens pas très bien l’affaire, d’autant qu’il est complexe de réussir à capter les signaux faibles de dysfonctionnement de ce type, on n’est pas dans l’erreur franche.

Il est temps de se préparer, notamment en vérifiant que les trackers par navigateur et technologie sont bien en place et les statistiques remontent bien. C’est antinomique avec le souhait de Webkit de nous protéger (nous les buttineurs), mais c’est souvent un bon moyen de s’apercevoir de ce genre de problème.

Et pour se rassurer, n’oublions pas que le cookie n’est pas le seul moyen de suivre un utilisateur pendant sa navigation, il est possible de récupérer beaucoup d’autres informations qui se comportent comme une véritable signature (adresse IP, navigateur, compression, language, encodage, …).

A suivre donc.

Photo by Sergey Zolkin on Unsplash

Alexandre Chauvin Hameau

2017-08-23T21:47:11