Les cookies tiers ont des utilisations valides, mais ils permettent également le suivi intersites. Chrome prévoit de limiter les cookies tiers pour 1% des utilisateurs à partir du 1er trimestre 2024 afin de faciliter les tests, puis d'abandonner progressivement les cookies tiers pour 100 % des utilisateurs à partir de début 2025, sous réserve de répondre aux préoccupations de la Competition and Markets Authority (CMA) du Royaume-Uni concernant la concurrence. Si votre site Web comporte un flux de connexion qui repose sur des cookies tiers, il est possible qu'il soit concerné par cette modification. Vous devez vous assurer que votre site est prêt.
Vous trouverez sur cette page des informations sur les scénarios de connexion les plus susceptibles d'être affectés, ainsi que des références aux solutions possibles.
Si votre site Web ne gère que des flux au sein du même domaine et des mêmes sous-domaines, tels que publisher.example et login.publisher.example, il n'utilisera pas de cookies intersites. De plus, votre flux de connexion ne devrait pas être affecté par l'abandon.
Toutefois, si votre site utilise un domaine distinct pour la connexion, par exemple avec Google Sign-In ou Facebook Login, ou si votre site doit partager l'authentification des utilisateurs entre plusieurs domaines ou sous-domaines, vous devrez peut-être apporter des modifications à votre site pour faciliter la transition vers l'abandon des cookies intersites.
Tester vos parcours utilisateur liés à l'identité
Le meilleur moyen de vérifier si votre flux de connexion est concerné par l'abandon des cookies tiers consiste à suivre vos flux d'inscription, de récupération de mot de passe, de connexion et de déconnexion avec l'indicateur de test de suppression des cookies tiers activé.
Voici une checklist des éléments à vérifier une fois que vous avez restreint les cookies tiers:
- Enregistrement d'utilisateurs:la création d'un compte fonctionne comme prévu. Si vous utilisez des fournisseurs d'identité tiers, vérifiez que l'enregistrement de nouveaux comptes fonctionne pour chaque intégration.
- Récupération du mot de passe:la récupération du mot de passe fonctionne comme prévu, de l'interface utilisateur Web aux CAPTCHA en passant par la réception de l'e-mail de récupération du mot de passe.
- Sign-in (Connexion) : le workflow de connexion fonctionne dans le même domaine et lors de la navigation vers d'autres domaines. N'oubliez pas de tester chaque intégration de la connexion.
- Déconnexion:le processus de déconnexion fonctionne comme prévu et l'utilisateur reste déconnecté après le processus.
Vous devez également vérifier que les autres fonctionnalités des sites nécessitant la connexion de l'utilisateur restent opérationnelles sans cookies intersites, en particulier si elles impliquent le chargement de ressources intersites. Par exemple, si vous utilisez un CDN pour charger des images de profils utilisateur, assurez-vous que cela fonctionne toujours. Si vous avez des parcours utilisateur critiques, tels que le paiement et la connexion contrôlée, assurez-vous qu'ils continuent de fonctionner.
Dans les sections suivantes, vous trouverez des informations plus spécifiques sur la manière dont ces flux peuvent être affectés.
Identité fédérée
Les boutons de connexion tels que Se connecter avec Google, Facebook Login et Se connecter avec Twitter indiquent clairement que votre site Web utilise un fournisseur d'identité fédéré. Étant donné que chaque fournisseur d'identité fédéré dispose de sa propre implémentation, la meilleure solution consiste à consulter la documentation de votre fournisseur ou à le contacter pour obtenir des conseils.
Si vous utilisez la bibliothèque de plate-forme JavaScript Google Sign-In obsolète, vous trouverez des informations sur la migration vers la nouvelle bibliothèque Google Identity Services pour l'authentification et l'autorisation.
La plupart des sites utilisant la nouvelle bibliothèque Google Identity Services sont prêts à l'abandon des cookies tiers, car la bibliothèque sera transférée en arrière-plan vers FedCM pour des raisons de compatibilité. Nous vous recommandons de tester votre site en activant l'indicateur de suppression progressive des cookies tiers et, si nécessaire, d'utiliser la checklist de migration FedCM pour vous préparer.
Domaine de connexion distinct
Certains sites Web utilisent un domaine différent uniquement pour authentifier les utilisateurs qui ne sont pas éligibles aux cookies sur le même site. C'est le cas, par exemple, d'un site Web utilisant example.com pour le site principal et login.example pour le flux de connexion, ce qui peut nécessiter l'accès à des cookies tiers pour garantir que l'utilisateur est authentifié sur les deux domaines.
Les chemins de migration possibles pour ce scénario sont les suivants:
- Mise à jour pour utiliser des cookies propriétaires ("same-site"):modification de l'infrastructure du site Web pour que le flux de connexion soit hébergé sur le même domaine (ou un sous-domaine) que le site principal, lequel n'utilisera que des cookies propriétaires. Cela peut nécessiter un effort plus important, en fonction de la configuration de l'infrastructure.
- Utilisez les Ensembles de sites Web associés : les Ensembles de sites Web associés permettent un accès limité aux cookies intersites entre un petit groupe de domaines associés. RWS est une API Privacy Sandbox conçue pour répondre à ce cas d'utilisation. Toutefois, RWS ne prend en charge l'accès aux cookies intersites que pour un nombre limité de domaines.
- Si vous authentifiez des utilisateurs sur plus de cinq domaines associés, explorez FedCM: FedCM (Federated Credentials Management) permet aux fournisseurs d'identité de s'appuyer sur Chrome pour gérer les flux d'identité sans exiger de cookies tiers. Dans votre cas, votre "domaine de connexion" peut agir en tant que fournisseur d'identité FedCM et être utilisé pour authentifier les utilisateurs sur vos autres domaines.
Domaines multiples
Lorsqu'une entreprise possède plusieurs produits hébergés sur différents domaines ou sous-domaines, elle peut vouloir partager la session utilisateur entre ces produits, ce qui peut nécessiter l'accès à des cookies tiers entre plusieurs domaines.
Dans ce scénario, héberger tous les produits sous le même domaine est souvent peu pratique. Voici les solutions possibles dans ce cas:
- Utilisez des ensembles de sites Web associés:lorsque l'accès à des cookies intersites est nécessaire pour un petit groupe de domaines liés.
- Utiliser la fédération des identifiants de fédération (FedCM):lorsque le nombre de domaines est important, vous pouvez utiliser un domaine de connexion distinct en tant que fournisseur d'identité et authentifier les utilisateurs sur vos sites à l'aide de FedCM.
Solutions de connexion
Authentification unique (SSO) tierce
En raison de la complexité de la mise en œuvre d'une solution SSO, de nombreuses entreprises choisissent de faire appel à un fournisseur de solutions tiers pour partager l'état de connexion entre plusieurs origines. Okta, Ping Identity, Google Cloud IAM ou Microsoft Entra ID sont des exemples de fournisseurs.
Lorsque vous faites appel à un fournisseur tiers, la meilleure approche consiste à lui demander de vous conseiller sur l'impact de l'abandon des cookies tiers sur la solution et sur l'approche qu'il recommande pour son service.
Solutions SSO Open Source
De nombreuses entreprises qui maintiennent leurs propres solutions SSO le font en appliquant des normes établies dans l'industrie, telles que OpenID Connect, OAuth ou SAML, ou des projets Open Source établis, comme Keycloak, WSO2, Auth.js ou Hydra.
Nous vous recommandons de consulter la documentation de votre fournisseur pour comprendre comment l'abandon des cookies peut affecter sa solution et le meilleur chemin de migration pour cette solution spécifique.
Solutions internes personnalisées
Si votre solution de connexion appartient à l'un des cas d'utilisation précédents et qu'elle est intégrée en interne, consultez la section Se préparer à la suppression progressive des cookies tiers qui explique plus en détail comment auditer votre code et vous préparer à l'abandon progressif des cookies tiers.
Agissez dès maintenant !
Si votre site Web relève de l'un de ces cas d'utilisation, plusieurs solutions s'offrent à vous pour remédier à tout impact potentiel, du transfert du flux d'authentification vers le domaine principal afin qu'il n'utilise que des cookies propriétaires, l'utilisation des Ensembles de sites Web associés pour autoriser le partage de cookies entre un petit nombre de domaines ou la gestion des identifiants de fédération.
Le moment est venu d'auditer votre service et de vous préparer à l'abandon des cookies tiers c'est maintenant.