Firefox : pourquoi la nouvelle gestion stricte des cookies est en retard

En février dernier, Mozilla lâchait une bombe : une future version de Firefox allait adopter une gestion beaucoup plus stricte des cookies. Accusé de vouloir tuer toute forme de publicité, l’éditeur a reporté à plus tard cette modification. On en sait désormais davantage sur les raisons qui ont retardé cet important travail.

Un parcours semé d'embûches 

Mozilla l’avait annoncé en février dernier : le problème des cookies tiers avait assez duré. Prévu originellement pour la version 22 de Firefox (attendue très prochainement), un changement de taille devait affecter profondément le fonctionnement de certains sites. Et pour cause, le navigateur devait bloquer par défaut les cookies acquis depuis des sites tiers. Cela signifiait qu’à moins de visiter directement le site, il n’était pas possible pour un script quelconque d’installer un cookie sur l’ordinateur de l’internaute.

La volonté de l’éditeur était alors particulièrement tranchée car aucune exception ne devait être prise en compte. Il y a quelques mois encore, Mozilla précisait qu’il allait suivre le mouvement d’Apple dans Safari qui procède ainsi depuis des années. En outre, le développeur de Firefox Jonathan Mayer précisait que de nombreux sites n’auraient même pas besoin de modifications. Mike Zaneis, l’un des vice-présidents de l’IAB (Interactive Advertising Bureau), parlait lui d’ « attaque nucléaire » dirigée contre le milieu de la publicité. Un mois plus tard, le président de Mozilla Europe, Tristan Nitot, affirmait que Mozilla ne cherchait pas à tuer la publicité.

Mais en mai, Mozilla avait manifestement des difficultés avec sa nouvelle gestion des cookies. Ainsi, il n’était plus question de Firefox 22, même si la fonctionnalité pouvait être activée en option dans la version Nightly de Firefox 23. L’éditeur se donnait ainsi le temps de « récolter et analyser des données sur les conséquences du blocage des cookies des sites tiers », indiquant en outre que la situation n’était « pas aussi simple » qu’il l’estimait de prime abord.

Trop de problèmes constatés 

Dans un billet posté hier sur son blog, le cofondateur de Mozilla, Brendan Eich, explique les raisons de ce retard. Les retours collectés ont fait apparaître globalement deux problèmes principaux. D’une part, les faux positifs : si l’utilisateur visite par exemple foo.com, il en autorise expressément la création de cookies, mais le site foocdn.com ne le pourra pas alors qu’il s’agit de la même entreprise.

D’autre part, les faux négatifs : « visiter un site une fois ne signifie pas que vous êtes d’accord avec un suivi de votre navigation partout sur Internet ou sur des sites sans rapport », expliquant par-là que l’internaute peut cliquer par inadvertance sur une publicité et ainsi mettre en place un cookie dont il ne voulait pas.

Changement de tactique 

Pour Mozilla, la logique est de présenter à l’utilisateur un système qui permet au mieux le respect de sa vie privée. De fait, un blocage aveugle comme celui envisagé pourrait créer de nombreux cas problématiques. L’éditeur a donc pensé à un service centralisé capable d’héberger deux formes de listes : l’une pour le blocage, l’autre pour les permissions, afin d’éviter respectivement les faux négatifs et les faux positifs.

Mozilla travaille donc en partenariat avec Aleecia McDonald du Center for Internet and Society, auquel participe Opera, de l’université de Stanford. Le nouveau mécanisme s’appelle « Cookie Clearinhouse » (CCH). L’idée est que ces listes seraient centralisées, accessibles par tous les navigateurs qui le souhaitent, mises à jour en permanence et stockées dans le cache du navigateur, y compris en mode navigation privée.

Pour autant, le travail ne fait que commencer. Brendan Eich invite donc les testeurs éventuels à se procurer la dernière version Aurora et à activer l’option afin de livrer leurs retours. Pour l’instant, aucune date de lancement pour ces listes n’a été annoncée et il faudra donc sans doute attendre encore plusieurs mois.