Après six ans de conception de systèmes toujours plus perfectionnés de protection contre le pistage numérique, Safari bloque finalement tous les cookies tiers. « Il s’agit d’une amélioration sensible de la confidentialité », dit John Wilander, le créateur du mécanisme de « prévention intelligente contre le pistage » de Safari, « parce qu’elle supprime toute possibilité d’exception, façon ”un petit peu de pistage intersite est permis”. »
Pour bien comprendre cette nouveauté, il faut remonter… dix ans en arrière ! Alors que l’on commençait à comprendre comment Google et Facebook, entre autres, utilisaient les cookies pour suivre leurs utilisateurs en dehors de leurs plateformes, Apple avait décidé de bloquer les cookies « des tierces parties et des annonceurs ». Une décision radicale, qui avait poussé Google à trouver une faille, ce qui lui avait valu les reproches de la FTC et une amende de 22,5 millions de dollars.
À l’époque, Mozilla avait décidé de suivre le mouvement, avant de faire volteface. Apple elle-même a lâché du lest : dans OS X Yosemite et iOS 8, en 2014, Safari ne bloquait plus que les cookies issus des sites web que vous n’avez pas encore visités. Outre les rodomontades de l’IAB, la grande association de l’industrie de la publicité en ligne, les problèmes techniques posés par le blocage complet justifiaient ce contretemps.
Depuis, Mozilla comme Apple ont travaillé sur des dispositifs pour distinguer les usages légitimes des cookies tiers des usages moins justifiables. Firefox isole Facebook dans un conteneur, bloque les « traqueurs des réseaux sociaux », et intègre des mécanismes pour prévenir la prise d’une « empreinte digitale ». Safari intègre ITP, un système de prévention intelligente du pistage qui réduit fortement la durée de vie des cookies, et PPACA, un mécanisme qui régit l’échange de données entre les sites.
Plus subtils, ces systèmes sont aussi plus complexes, et présentent des failles dans lesquelles les acteurs les plus têtus de l’industrie publicitaire s’infiltrent. Après trois ans de jeu du chat et de la souris, Apple a remis le blocage intégral des cookies tiers sur la table. Cette décision simplifie considérablement les choses :
- aucun cookie tiers ne peut plus être enregistré ;
- cela ferme la porte aux formes de pistage qui observaient l’état de la protection ITP ;
- cela diminue fortement la surface d’exposition aux tentatives de prise d’une empreinte digitale du navigateur ;
- cela empêche toute attaque à travers des requêtes tierces.
Évidemment, elle ferme la porte à certains usages légitimes des cookies tiers, comme l’authentification d’un utilisateur sur plusieurs sites à travers un serveur de connexion centralisée. Pour ces usages, Apple recommande l’API Storage Access, qui permet de stocker des données avec l’accord explicite de l’utilisateur. Un clou dans le cercueil des cookies, dont Google elle-même veut désormais la peau.
