C'était attendu, c'est fait : après avoir amélioré pendant des mois ses protections contre le pistage des internautes, Firefox renforce celles actives par défaut. Une manière de se rapprocher de ses utilisateurs, mais aussi de répondre aux évolutions de la concurrence alors que le pillage des données continue.
On pouvait penser que l'entrée en vigueur du RGPD il y a un an allait modifier les mentalités, c'était sous-estimer la profondeur du mal qui touche les éditeurs et le modèle économique du web actuel.
Il est encore rare de trouver des sites qui respectent réellement la notion de consentement de l'utilisateur lorsqu'il s'agit de récolter des données, ou pire, de les fournir à des tiers à travers des scripts placés sur leurs pages. Les sites de presse sont les premiers concernés, disposant pourtant d'une bienveillance continue de la CNIL.
Mais ils sont loin d'être les seuls, les navigateurs et extensions étant les seuls acteurs à même d'apporter aux internautes une protection, un respect de leurs droits pourtant inscrits pour certains dans la loi française et européenne depuis plus de dix ans. Certains acteurs l'ont bien compris et misent de manière croissante sur la protection de la vie privée.
Protection des données : entre marketing et actions concrètes
On pense bien entendu aux opérations de « privacy washing » récente de Facebook et Google. Le premier tentant de se racheter une conscience sans véritables actions concrètes, après des années de failles en série. Le second multipliant les annonces mineures pour donner l'impression d'une évolution qui s'arrête à ses communiqués et billets de blog... la récolte et l'exploitation massive de données restant le centre de son modèle économique.
- Vie privée, chiffrement, Messenger léger, groupes, achats en ligne : les annonces 2019 de Facebook
- Google multiplie les mesurettes pour la vie privée, Chrome renforce la sécurité des cookies
Apple a de son côté opté pour une stratégie différente : le respect de la vie privée comme argument de poids pour choisir son écosystème et le rendre plus attrayant, tout en exerçant toujours un contrôle fort sur ce dernier.
La société a ainsi intégré une protection contre le pistage au sein de Safari dès 2017 : Intelligent Tracking Protection (ITP). Renforcée de manière continue depuis, elle rend plus complexe l'utilisation des cookies tiers sur les sites tout en limitant les effets de bord d'un blocage total. Une stratégie qui a porté ses fruits.
Depuis, les efforts en matière de vie privée et le discours de la société se sont généralisés. Les annonces faites à la WWDC lundi soir et l'arrivée du login Apple vont dans ce sens. Mais ce dernier nous rappelle qu'Apple reste une société misant sur des solutions centralisées, fermées, où elle est seule à avoir le contrôle.
Ainsi, elle force la main des développeurs au sein de son App Store pour l'utilisation de ce dispositif de connexion dont les modalités peuvent changer du jour au lendemain. Surtout, l'utilisation massive de ce service lui donnera une place centrale dans la relation entre les internautes et les sites, utile dans un univers de services.
Axer la communication sur la vie privée permet de ne pas trop avoir à répondre de ces questions, tout en facilitant l'adoption massive, nécessaire alors qu'Apple part avec plus de dix ans de retard sur ses concurrents.
Une stratégie intéressée que l'on retrouve également chez Brave, le navigateur basé sur Chromium ayant misé toute sa communication autour du respect de l'internaute et de la vie privée, allant jusqu'à s'associer à Qwant.
Au final, la société a récemment annoncé monter sa propre offre publicitaire sans pistage, remplaçant les espaces des sites sans leur accord... contre un pourcentage décidé par ses soins. Et pour s'assurer d'une bonne image auprès des internautes, ces derniers ont droit eux aussi à un pourcentage pendant la phase de croissance du service.
Firefox : une autre vision du web, en déclin
De son côté, Mozilla a tardé à répondre à ces évolutions, concentrée sur les évolutions techniques de Firefox ces dernières années, engluée dans les évolutions des extensions. La mise en place de fonctionnalités renforçant la protection des internautes a nécessité des mois de travail dans l'ombre avant d'être plus visible, parfois avec des compromis.
Car la fondation semble toujours prise entre deux feux : la volonté de protéger les internautes d'un côté, la nécessité de développer son modèle économique et de ne pas s'attirer les foudres de l'ensemble des acteurs du web de l'autre. Ces initiatives ne se prennent ainsi pas toujours de manière franche, avec un message parfois brouillé.
- Firefox précise son blocage du pistage en ligne, mis en place dans les prochains mois
- Firefox 63 est en ligne : entre blocage du pistage et initiatives publicitaires de Mozilla
- Firefox 65 est là : anti-pistage simplifié, AV1, WebP, Handoff, inspecteur flexbox
Ce sont peut-être aussi ces hésitations qui ont participé à la chute continue du navigateur, désormais sous la barre des 10 % depuis de nombreux mois selon NetMarketshare, contre près de 70 % pour Chrome.
Un véritable problème alors que Microsoft passe à Chromium pour Edge, la diversité et les rapports de force n'étant plus vraiment en faveur d'un web ouvert, non dominé par quelques plateformes commerciales américaines. On le voit d'ailleurs dans l'affaire qui oppose Google aux développeurs, notamment de bloqueurs de publicités, concernant l'API WebRequest.
Une affaire qui peine à se régler, chaque camp restant sur ses positions, aucun médiateur n'existant.
- Journée de la protection des données : il est peut-être temps de changer de navigateur
- 30 ans de web : face à une diversité agonisante, Tim Berners-Lee veut secouer les consciences
Make Firefox great again (mais pas que)
C'est dans ce contexte que Mozilla tente de reprendre la main avec Firefox. Dans un billet de blog, la fondation revient sur ce qui est son discours depuis quelque temps maintenant : le modèle économique du web est cassé, les pratiques des sites vont trop loin, laissant l'internaute dans une mauvaise situation.
Ces derniers doivent pouvoir reprendre le contrôle, tant de leurs données que de leur vie numérique, Firefox devant les y aider à travers ses améliorations et surtout ses engagements profonds pour un web ouvert, meilleur, manifeste à la clé. Premier acte fort : un renforcement des protections actives par défaut avec le blocage des cookies tiers.
Une position dure, mais assumée par Dave Camp, récemment nommé vice-président en charge du navigateur et de la plateforme web. Car si ce choix était annoncé et attendu, on pouvait craindre qu'il tarde à être mis en place ou qu'il ne soit mis en œuvre que de manière partielle. Ce n'est finalement pas le cas.
Consciente que la tendance au privacy washing est dans l'air du temps, Mozilla publie au passage sa « promesse » en matière de respect des données personnelles, reposant sur la minimisation de la collecte, un principe d'importance. Mais également de transparence, d'attention aux procédures de sécurité, etc.
Et d'une diversité de services qui vont dans le même sens, au-delà du simple navigateur. De Monitor pour l'information sur les fuites de mots de passe à Send pour l'envoi de fichiers chiffrés à Lockwise pour une gestion simplifiée des mots de passe. L'extension Facebook Container a également été mise à jour.
Protection contre le pistage : qu'est-ce qui change concrètement ?
À compter d'aujourd'hui, tout utilisateur installant Firefox bénéficiera de cette protection sans action supplémentaire : certains cookies tiers sont bloqués à travers le niveau standard de protection contre le pistage, actif par défaut. Cela ne concerne pas les utilisateurs actuels de Firefox, mais ce sera bien le cas dans les prochains mois.
L'équipe précise avoir travaillé à opérer ce changement sans que cela ne perturbe la navigation des internautes. Les éditeurs apprécieront que les scripts de pistage (et donc la majorité de la publicité) ne soient pas encore bloqués par défaut. Ils ne le sont qu'en navigation privée, qui représente tout de même 25 % des sessions selon Mozilla.
Il est toujours possible d'aller plus loin, en activant le mode Strict de protection, qui utilise une liste Disconnect plus large mais bloque surtout les scripts de pistage même hors de la navigation privée. Il faut toujours opter pour le mode personnalisé pour activer la protection contre le minage et les empreintes numériques (fingerprinting).
Quoi qu'elle en dise dans son annonce, Mozilla a donc encore de la marge pour améliorer sa protection par défaut dans Firefox. On comprend en effet assez mal que ces deux dernières options ne soient pas encore généralisées. Espérons que cela soit prévu dans les prochaines étapes, l'équipe n'ayant rien indiqué sur ce sujet pour le moment.
Lorsqu'un blocage est en cours sur tel ou tel site, un logo d'information est bien entendu présent, permettant sa désactivation ou son renforcement. Une liste d'exception peut être définie.
Absence de protection face au pistage : Chrome isolé
Avec cette décision de Firefox, le navigateur de Google est désormais l'un des rares à ne pas proposer de véritable solution face aux dérives publicitaires. Et pour cause : c'est le principal moteur économique de sa société mère.
Les quelques annonces faites à la Google I/O concernant les cookies ne devraient pas suffire à tromper les internautes et les acteurs du secteur plus longtemps, la société sera donc attendue au tournant. Le risque est grand, croissant : celui de voir les utilisateurs se détourner de son navigateur pour des alternatives permettant un respect de leur droit.
Certes, Chrome est désormais un réflexe pour beaucoup. Mais l'histoire des géants du monde informatique est pleine de sociétés que l'on pensait intouchables mais qui se sont pourtant effondrées face à des changements qu'elles n'avaient pas su ou voulu anticiper. Le respect de la vie privée et des internautes sera-t-il celui de Google ? L'avenir nous le dira.
D'ici là, Firefox espère bien que ses actions bienveillantes en la matière lui donneront un second souffle.
