Jetons d'état privés

État de l'implémentation

• État de la plate-forme Chrome
• En phase d'évaluation Chrome 84 à 101: terminée.
• Démo
• Intégration des outils pour les développeurs Chrome

Que sont les jetons d'état privés ?

Les jetons d'état privés permettent de transmettre la confiance en l'authenticité d'un utilisateur d'un contexte à un autre. Ils contribuent ainsi à lutter contre la fraude sur les sites Web et à distinguer les robots des humains, sans qu'il soit nécessaire d'échanger des informations d'identification.

• Le site Web d'un émetteur peut émettre des jetons au navigateur Web d'un utilisateur qui prouve qu'il est fiable, par exemple en continuant à utiliser son compte, en effectuant une transaction ou en obtenant un score reCAPTCHA acceptable.
• Un site Web de règlement peut confirmer qu'un utilisateur n'est pas factice en vérifiant s'il dispose de jetons d'un émetteur auquel le site fait confiance, puis en les échangeant si nécessaire.

Les jetons d'état privé sont chiffrés et ne permettent pas d'identifier un individu ni de relier des instances fiables et non fiables afin de découvrir l'identité de l'utilisateur.

Pourquoi avons-nous besoin de jetons d'état privés ?

Le Web a besoin de moyens d'établir et de transmettre des signaux de confiance qui montrent qu'un utilisateur est bien celui qu'il prétend être, et non un robot se faisant passer pour un humain ou un tiers malveillant escroquant une personne ou un service réels. La protection contre la fraude est particulièrement importante pour les annonceurs, les fournisseurs d'annonces et les CDN.

Malheureusement, de nombreux mécanismes existants pour évaluer et propager la fiabilité (par exemple, déterminer si une interaction avec un site provient d'un véritable humain) exploitent des techniques qui peuvent également être utilisées pour le fingerprinting. Les mécanismes de transmission de la confiance doivent préserver la confidentialité, ce qui permet de la propager sur les sites sans suivre les utilisateurs individuellement.

Avec l'API Private State Token, un site Web peut émettre des jetons cryptographiques à un utilisateur de confiance, qui pourront ensuite être utilisés ailleurs. Les jetons sont stockés de manière sécurisée par le navigateur de l'utilisateur, et peuvent ensuite être utilisés dans d'autres contextes pour confirmer l'authenticité de l'utilisateur. Cela permet de transmettre la confiance d'un utilisateur sur un site Web (tel qu'un site de réseau social ou un service de messagerie) à un autre site Web (tel qu'un éditeur ou une boutique en ligne) sans identifier l'utilisateur ni associer des identités entre les sites.

Comment fonctionnent les jetons d'état privés ?

Dans cet exemple, le site Web d'un éditeur souhaite vérifier si un utilisateur est un humain et non un robot avant de diffuser une annonce.

1. Un utilisateur visite un site Web (appelé émetteur) et effectue des actions qui conduisent le site à penser qu'il s'agit d'un véritable humain, par exemple en effectuant des achats, en utilisant un compte de messagerie ou en réussissant le test reCAPTCHA.
2. Le site de l'émetteur utilise l'API JavaScript Private State Token pour déclencher une demande de jetons de confiance pour le navigateur de l'utilisateur.
3. Le site de l'émetteur répond avec des données de jeton.
4. Le navigateur de l'utilisateur stocke les données du jeton de confiance de manière sécurisée.
5. L'utilisateur accède à un autre site Web (comme un éditeur d'actualités) qui souhaite vérifier s'il s'agit d'un véritable humain, par exemple lors de la diffusion d'annonces.
6. Le site utilise l'API Private State Token pour vérifier si le navigateur de l'utilisateur stocke des jetons de confiance pour les émetteurs approuvés par le site.
7. Les jetons d'état privés sont trouvés pour l'émetteur que l'utilisateur a visité précédemment.
8. Le site de l'éditeur demande à l'émetteur d'utiliser les jetons de confiance.
9. Le site de l'émetteur répond avec un enregistrement de rachat.
10. Le site de l'éditeur envoie une requête à une plate-forme publicitaire, y compris l'enregistrement de l'échange pour montrer que l'émetteur considère l'utilisateur comme un être humain réel.
11. La plate-forme publicitaire fournit les données requises pour diffuser une annonce.
12. L'annonce est diffusée sur le site de l'éditeur.
13. Une impression d'annonce est comptabilisée.

Des outils sont-ils disponibles pour les jetons d'état privés ?

Les outils pour les développeurs Chrome activent l'inspection dans les onglets "Réseau" et "Application". En savoir plus sur cette intégration DevTools et sur les jetons d'état privés

Comment les sites Web gèrent-ils les jetons de plusieurs émetteurs approuvés ?

Le site peut vérifier dans le navigateur d'un utilisateur la présence de jetons valides avec document.hasTrustToken() pour un émetteur à la fois. Si cette valeur renvoie true et qu'un jeton est disponible, le site peut utiliser le jeton et cesser de rechercher d'autres jetons.

Le site Web doit décider des émetteurs de jetons à vérifier et dans quel ordre.

Cas d'utilisation

Les jetons d'état privés (PST) sont compatibles avec un large éventail de cas d'utilisation de lutte contre la fraude. Au fond, le PST peut servir de signal de confiance supplémentaire, car l'API peut encoder des éléments d'information qui peuvent aider à transmettre la confiance d'un contexte à un autre. À mesure que les cookies tiers disparaîtront, nous serons tenus de nous assurer que les cas d'utilisation suivants peuvent toujours fonctionner comme prévu. Tous les cas d'utilisation des PST nécessitent une collaboration entre les émetteurs et les utilisateurs. Vous pouvez envisager d'utiliser PST si vos cas d'utilisation sont similaires à l'un des suivants:

• Services antifraude: la prévention de la fraude est un cas d'utilisation légitime que le Web doit prendre en charge, mais elle ne doit pas nécessiter d'identifiant stable, global et par utilisateur. Dans les contextes tiers, PST peut être utilisé pour segmenter les utilisateurs en ensembles approuvés et non approuvés.
• Analyse de la fraude publicitaire: le PST peut être utile pour analyser les clics, les impressions et les systèmes de bots frauduleux dans les services de technologie publicitaire.
• Détection de bots: après avoir déterminé si un navigateur est un bot ou non, PST peut vous aider à encoder ces informations pour les partager d'un contexte à un autre.
• Paiements sécurisés: pour détecter les menaces plus difficiles à identifier dans un contexte tiers avec des informations limitées (comme le carding), le PST peut être utilisé comme signal supplémentaire pour transmettre de la confiance.
• Services de lutte contre les utilisations abusives dans l'e-commerce: il est très important de détecter les bots dans les interactions d'e-commerce (clics, paiement, achat, avis sur les produits, bots de chat, retours) pour éviter le scraping de pages et les interactions non humaines. Il peut s'agir d'un signal supplémentaire important pour détecter les agents automatisés des fournisseurs tiers de solutions antifraude sur les plates-formes d'e-commerce.
• Services CDN: les PST fournissent un mécanisme permettant de créer des rapports et de détecter le trafic frauduleux.

Cette liste de cas d'utilisation n'est pas exhaustive de toutes les fonctionnalités de lutte contre la fraude qui peuvent bénéficier des jetons d'état privé. De plus, la liste n'est pas mutuellement exclusive. Le PST peut bénéficier de plusieurs workflows de lutte contre la fraude.

Parcours utilisateur

L'émission et l'utilisation sont les principaux composants des jetons d'état privés. Bien que les cas d'utilisation précédents soient les principaux domaines dans lesquels les jetons de sécurité seront pris en charge, vous pouvez considérer les moments suivants de certains parcours utilisateur comme des cas où vous souhaitez émettre ou utiliser des jetons:

• Émettre des jetons lors des flux de gestion de compte (connexion, inscription, réinitialisation de mot de passe, etc.)
• Émettre des jetons après confirmation de l'authentification multifacteur (MFA)
• Émettre des jetons après des actions à haut risque, comme la suppression de l'historique des paiements
• Échanger des jetons pour une confirmation intersites avant d'effectuer des actions à risque modéré
• Échanger des jetons pour une confirmation intersites avant d'effectuer des actions à haut risque

Interagir et envoyer des commentaires

• Essai Origin Trial: désormais terminé.
• Démonstration: la phase d'évaluation de Trust Tokens pour les origines est terminée, mais vous pouvez toujours consulter la démonstration.
• GitHub: lisez la proposition, posez des questions et suivez la discussion.
• W3C: discutez des cas d'utilisation du secteur dans le groupe d'activités "Improving Web Advertising" (Améliorer la publicité en ligne).
• IETF: fournit des commentaires techniques sur le protocole sous-jacent dans le groupe de travail sur la carte de confidentialité de l'IETF.
• Assistance pour les développeurs: posez des questions et participez aux discussions sur le dépôt d'assistance pour les développeurs de la Privacy Sandbox.
• Questions sur la phase d'évaluation: signalez un bug Chromium ou répondez au formulaire de commentaires qui vous a été envoyé en tant que participant à la phase d'évaluation.

En savoir plus

• Présentation technique de l'API Private State Tokens
• Premiers pas avec les jetons d'état privé: présentation pour les développeurs Web
• Premiers pas avec les phases d'évaluation des origines dans Chrome
• Présentation de la Privacy Sandbox