Google reprend ses travaux sur la réduction de la granularité des informations présentées dans les chaînes d’agent utilisateur sur son navigateur Chrome, il dit aujourd’hui – reprenant un effort qu’il a mis en pause l’année dernière, au début de la pandémie de COVID-19, lorsqu’il a déclaré qu’il voulait éviter d’empiler un fardeau migratoire supplémentaire sur l’écosystème Web au milieu d’une urgence de santé publique.

La reprise du mouvement a des implications pour les développeurs Web, car les modifications apportées aux chaînes d’agent utilisateur pourraient endommager certaines infrastructures existantes sans mises à jour du code. Bien que Google ait présenté une chronologie assez généreuse des tests d’origine – et son article de blog souligne que “aucune modification de chaîne User-Agent ne sera apportée au canal stable de Chrome en 2021“. Les changements ne seront donc certainement pas disponibles avant 2022.

La décision, via le développement de son moteur Chromium, de réduire les chaînes d’agent utilisateur afin de réduire leur capacité à être utilisées pour suivre les utilisateurs est liée au plan global Privacy Sandbox de Google, c’est-à-dire la pile de propositions qu’il contient. annoncé en 2019 – quand il a dit qu’il voulait faire évoluer l’architecture Web en développant un ensemble de normes ouvertes pour « améliorer fondamentalement » la confidentialité du Web.

Une partie de cette évolution vers une valeur par défaut plus privée pour Chromium est la dépréciation de la prise en charge des cookies de suivi tiers. Une autre partie est l’alternative technologique proposée par Google pour le ciblage publicitaire sur l’appareil de cohortes d’utilisateurs (alias FLoC).

Le nettoyage des zones de surface exploitables telles que les chaînes d’agent utilisateur pouvant être saisies par empreinte digitale est un autre élément – et doit être compris dans le cadre de l’« hygiène » plus large nécessaire pour atteindre les objectifs de Privacy Sandbox.

Ce dernier reste cependant un effort massif pour le virage des pétroliers.

Et bien qu’il y ait eu des suggestions, Google pourrait être prêt à expédier Privacy Sandbox au début de 2022, étant donné les délais qu’il autorise pour les tests d’origine des modifications apportées aux chaînes d’agent utilisateur – un déploiement en sept phases, avec deux essais d’origine d’une durée d’au moins six mois. chacun – cela semble peu probable. (Du moins pas pour toutes les parties constitutives du bac à sable à expédier.)

En effet, en 2019, Google était clair sur le fait que les changements qu’il avait en tête ne se produiraient pas du jour au lendemain, déclarant alors : « Ça va être un voyage de plusieurs années ». Bien qu’en Janvier 2020 il semblait composer au moins une partie du calendrier, affirmant qu’il souhaitait supprimer progressivement la prise en charge des cookies tiers d’ici deux ans.

Pourtant, Google ne peut pas déprécier de manière réaliste les cookies de suivi sans également apporter des modifications aux normes de navigateur qui sont nécessaires pour fournir aux éditeurs et aux annonceurs d’autres moyens de cibler, de mesurer et de prévenir la fraude. Ainsi, tout retard des éléments de Privacy Sandbox pourrait avoir un impact sur son calendrier de « deux ans » pour mettre fin à la prise en charge des cookies tiers. (Et 2022 pourrait bien être la toute première période où le changement pourrait se produire.)

Il y a du push and pull ici, car les efforts de Google pour réorganiser l’infrastructure Web – et, plus précisément, pour changer la façon dont les utilisateurs Web et l’activité peuvent et ne peuvent pas être suivis – ont des implications massives pour de nombreux autres utilisateurs Web; plus particulièrement les acteurs et éditeurs adtech dont les activités sont profondément ancrées dans ce web de suivi.

Sans surprise, il a fait face à beaucoup de recul de la part de ces secteurs.

Son plan visant à mettre fin à la prise en charge des cookies de suivi tiers est également sous contrôle réglementaire en Europe — où les annonceurs se sont plaints qu’il s’agit d’un mouvement de pouvoir anticoncurrentiel consistant à bloquer l’accès des tiers aux données des utilisateurs tout en continuant à s’aider de masses de données d’utilisateurs de première partie (compte tenu de sa domination des services Internet clés). Ainsi, selon la façon dont les régulateurs répondent aux préoccupations de l’écosystème, Google peut ne pas être en mesure de garder le contrôle total de la chronologie non plus.

Néanmoins, du point de vue de la confidentialité, la réduction des chaînes d’agent utilisateur par Chrome est une décision bienvenue, si elle est en retard.

En effet, le billet de blog de Google note qu’il s’agit d’efforts à la traîne par rapport aux efforts similaires déjà entrepris par les moteurs Web sous-jacents au navigateur Safari d’Apple et à Firefox de Mozilla.

« Comme indiqué dans le Explicateur des astuces client de l’agent utilisateur, la chaîne User Agent présente des défis pour deux raisons. Premièrement, il expose passivement beaucoup d’informations sur le navigateur pour chaque requête HTTP qui peut être utilisé pour la prise d’empreintes digitales“, écrit Google, étoffant son rationnel pour le changement. « Deuxièmement, il a augmenté en longueur et en complexité au fil des ans et encourage l’analyse de chaînes sujette aux erreurs. Nous croyons le API d’astuces client de l’agent utilisateur résout ces deux problèmes d’une manière plus conviviale pour les développeurs et les utilisateurs.

Commentant l’évolution, Dr Lukasz Olejnik, consultant indépendant et chercheur en sécurité et confidentialité qui a conseillé le W3C sur l’architecture technique et les normes, décrit le changement à venir comme « une grande amélioration de la confidentialité ».

“Le changement d’agent utilisateur réduira l’entropie et donc l’identifiabilité”, a-t-il déclaré à TechCrunch. «Je considère cela comme une grande amélioration de la confidentialité, car la prise en compte simultanée de l’adresse IP et de la chaîne UA est hautement identificatrice. Les UA ne sont pas exactement simplifiés dans Firefox/Safari comme le suggère Chrome. »

L’article de blog de Google note que son plan UA était “conçu avec une compatibilité descendante à l’esprit », et cherche à rassurer les développeurs — ajoutant que : « Bien que toute modification de la chaîne de l’agent utilisateur doive être gérée avec soin, nous nous attendons à un minimum de friction pour les développeurs lors du déploiement (c’est-à-dire que les parseurs existants doivent continuer fonctionner comme prévu).

« Si votre site, service, bibliothèque ou application repose sur certains éléments d’information présents dans la chaîne de l’agent utilisateur, tels que Version mineure de Chrome, Numéro de version du système d’exploitation, ou alors Modèle d’appareil Android, vous devrez commencer la migration pour utiliser le API d’astuces client de l’agent utilisateur à la place », continue-t-il. “Si vous n’avez besoin d’aucun de ces éléments, aucun changement n’est requis et les choses devraient continuer à fonctionner comme elles l’ont fait à ce jour.”

Malgré les assurances de Google, Olejnik a suggéré que certains développeurs Web pourraient toujours être pris dans le coup – s’ils ne prenaient pas note du développement et n’effectuaient pas les mises à jour nécessaires à leur code à temps.

« Les développeurs Web peuvent être inquiets car certaines bibliothèques ou certains systèmes principaux dépendent de la chaîne UA stricte existante comme aujourd’hui », a-t-il noté, ajoutant : « Les choses peuvent cesser de fonctionner comme prévu. Cela pourrait être une rupture soudaine et surprenante. Mais l’impact réel à une échelle est imprévisible.



Leave a Reply