L'initiative Privacy Sandbox propose un ensemble d'API protégeant la confidentialité pour soutenir les modèles économiques qui financent le Web ouvert en l'absence de mécanismes de suivi tels que les cookies tiers. Il a été lancé en 2019, et Chrome a partagé des informations sur son évolution en janvier et en octobre l'année dernière.
Après une année d'incubation, 2021 sera une année de tests avec des opportunités constantes de participation de l'écosystème Web. Cet article fournit des informations sur l'état des API et des propositions Privacy Sandbox.
Progression sur les principaux cas d'utilisation
Diffusion d'annonces pertinentes sur un site
Les éditeurs et les annonceurs souhaitent fournir du contenu (y compris des annonces) pertinent et intéressant pour l'utilisateur. Sur le Web d'aujourd'hui, les centres d'intérêt des utilisateurs sont souvent mesurés en observant les sites ou les pages qu'ils consultent, en s'appuyant sur des cookies tiers ou sur des mécanismes moins transparents et indésirables tels que le fingerprinting de l'appareil.
En mars, avec la version 89, Chrome lancera une phase d'évaluation pour l'API Federated Learning of Cohorts (FLoC). FLoC propose une nouvelle façon de toucher les internautes avec des annonces et du contenu pertinents en regroupant de grands groupes d'utilisateurs ayant des habitudes de navigation similaires, en masquant certains individus et en conservant leur historique Web dans leur navigateur. Aujourd'hui, l'équipe Google Ads partage les résultats des tests de l'algorithme FLoC, qui montrent que l'API proposée pourrait être tout aussi efficace que les cookies tiers pour diffuser des annonces pertinentes par centres d'intérêt.
Créer des audiences propriétaires
L'un des cas d'utilisation qui ont fait l'objet de discussions passionnantes au sein de la communauté des normes est la façon dont les entreprises peuvent créer des audiences et toucher les anciens visiteurs de leurs sites Web grâce au remarketing. L'année dernière, Chrome a lancé TURTLEDOVE, une proposition qui répond à ce cas d'utilisation, tout en offrant les mêmes dispositifs de protection de la confidentialité que les autres propositions. Un site Web peut demander au navigateur d'enregistrer un groupe de centres d'intérêt, y compris des informations sur les enchères et l'affichage des annonces. Les enchères sur l'appareil effectuées par des acheteurs potentiels d'annonces seront alors basées sur ce groupe de centres d'intérêt.
La nouvelle proposition FLEDGE de Chrome ( le premier test "Locally-Executed Decision over Groups") de Chrome s'appuie sur TURTLEDOVE en intégrant de nouveaux concepts issus de nombreuses autres propositions. FLEDGE permet aux algorithmes d'enchères sur l'appareil d'utiliser des informations supplémentaires provenant d'un nouveau serveur de confiance conçu à cette seule fin. Pour faciliter les tests préliminaires avant le lancement des nouveaux serveurs de confiance, nous proposons un modèle "Bring Your Own Server" et prévoyez d'expédier ce premier test courant 2021.
Mesurer l'efficacité de la publicité
Lorsqu'un marketeur diffuse une campagne publicitaire, il est important qu'il comprenne combien de personnes voient chaque annonce et si cela se traduit par une action du consommateur (un achat ou une inscription, par exemple).
En septembre 2020, nous avons mis à disposition l'API Event Conversion Measurement pour la tester dans les phases d'évaluation publiques de Chrome. Il permet aux marketeurs de mesurer les conversions sans utiliser de cookies tiers. Le navigateur enregistre alors les clics et les conversions et partage un rapport anonymisé. Une prochaine version de cette technologie prendra également en charge les "conversions après affichage" (lorsque les internautes verront une annonce, mais agiront plus tard).
Pour aider les marketeurs à comprendre la couverture d'audience d'une campagne publicitaire spécifique, nous avons publié en avril 2020 l'API Aggregate Measurement, qui permet de mesurer le nombre de fois où des utilisateurs uniques ont vu une annonce sur plusieurs sites, sans révéler de données permettant d'identifier des individus. Cela est possible en ne rapportant les données qu'une fois qu'elles ont atteint un certain seuil d'agrégation. Nous prévoyons d'ouvrir l'API Aggregate Measurement pour ses tests via des phases d'évaluation publiques au cours du premier semestre de l'année.
Prévention des fraudes
Les sites et les éditeurs doivent s'assurer qu'ils savent distinguer les spammeurs, les fraudeurs et les robots des vrais utilisateurs. En juillet dernier, nous avons ouvert l'API Trust Tokens pour effectuer des tests. Cela permet d'évaluer l'authenticité d'un utilisateur pour lutter contre la fraude sans avoir besoin de connaître son identité. Chrome 89 introduit une phase d'évaluation compatible avec un nouveau type d'émetteur de jetons de confiance, qui peut améliorer la détection des fraudes provenant des appareils mobiles tout en protégeant la confidentialité des utilisateurs.
Amélioration de la sécurité des cookies
En 2020, nous avons également amélioré la sécurité de la technologie Web actuelle. La règle relative aux cookies SameSite a été adoptée par Chrome et Edge et sera bientôt disponible dans Firefox. Les cookies seront traités comme des cookies propriétaires, sauf si le développeur indique qu'ils doivent être accessibles sur plusieurs sites. Nous avons également déployé cette fonctionnalité pour la WebView d'Android et prévoyons d'appliquer le traitement par défaut "SameSite=Lax" à partir des applications ciblant Android S.
Dans la version Chrome 88 de ce mois-ci, nous renforçons cette règle en modifiant la définition de SameSite afin d'empêcher certaines formes d'attaques intersites, y compris la rétrogradation de la sécurité d'une connexion. Désormais, les versions sécurisées et non sécurisées du même domaine hôte, telles que https://site.example et http://site.example, sont considérées comme du contexte tiers.
Nous sommes conscients que les sites Web réels peuvent couvrir plusieurs domaines ou domaines de code pays (tels que .com, co.uk et .de). Avec Chrome 89, nous allons lancer les ensembles propriétaires comme phase d'évaluation dans Chrome. Les propriétaires de domaines pourront ainsi déclarer explicitement un groupe de domaines Web associés appartenant à la même organisation et les traiter comme des "mêmes parties". Par exemple, les utilisateurs peuvent rester connectés sur un site de vente, même si l'expérience proposée sur le site couvre plusieurs domaines. Inscrivez-vous à l'essai.
Empêcher le suivi dissimulé
Nous avons également apporté des modifications à Chrome pour empêcher les techniques de suivi intrusif existantes et proposer des solutions de contournement:
Dans les semaines à venir, nous allons terminer le déploiement stable de Chrome de la nouvelle API User-Agent Client Hints (UA-CH), qui permet aux développeurs de demander des informations spécifiques sur le navigateur d'un utilisateur au lieu de les obtenir par défaut. Nous encourageons les développeurs à commencer la migration vers l'API UA-CH, car Chrome finira par limiter les informations disponibles dans la chaîne user-agent classique, qui peut aujourd'hui être utilisée pour le fingerprinting.
La semaine dernière, nous avons présenté Gnatcatcher, une proposition qui permet à des groupes d'utilisateurs d'envoyer leur trafic via le même serveur privatisant, masquant ainsi leurs adresses IP à l'hôte du site. Gnatcatcher garantit également que les sites nécessitant un accès à des adresses IP à des fins légitimes, par exemple pour prévenir les abus, peuvent le faire, sous réserve de certification et d'un audit.
Comme nous l'avions annoncé en octobre dernier, nous interrompons également la possibilité pour un site d'observer d'autres sites qu'un utilisateur aurait pu consulter grâce à des mécanismes de mise en cache. Cela garantit que seul le site qui a effectué la requête d'origine peut accéder aux ressources mises en cache, ce qui réduit le risque d'attaques de sécurité telles que le suivi intersites et les attaques par recherche. Cette modification sera déployée pour tous les utilisateurs de Chrome à partir de mars avec Chrome 89.
En savoir plus
- Présentation de la Privacy Sandbox
- Privacy Sandbox
- Participer à l'initiative Privacy Sandbox
- Privacy Sandbox en 2021: tester un Web plus respectueux de la confidentialité
Photo d'Aditya Saxena, publiée sur Unsplash