Mozilla a annoncé hier soir l’activation générale de sa Total Cookie Protection, pour l’ensemble des versions desktop du navigateur. Une étape importante, pour une solution technique simple qui a le gros avantage de ne pas casser la navigation.
De la même manière que Mozilla a sa propre approche de la future génération d’extensions, l’éditeur a une vision très précise de ce que doit être la préservation de la vie privée sur le web. Tous les signes pointaient dans cette direction et c’est désormais officiel : sa Total Cookie Protection est active par défaut chez tout le monde, sans conditions particulières.
Un parcours progressif
L’idée générale derrière la Total Cookie Protection est de compartimenter les cookies.
Dans une navigation ordinaire, l’ensemble des cookies est placé dans le même pot. Le problème de cette approche est connu depuis longtemps : tout site peut accéder à ce dépôt et donc examiner l’ensemble des cookies. Ce qui facilite grandement le pistage, bien que ce ne soit pas la seule technique pour suivre les internautes à la trace.
Avec le temps, Mozilla a procédé à divers essais. On se souvient par exemple de son extension destinée à encapsuler Facebook. L’idée centrale était la même.
La TCP, en tant que telle, est apparue en février 2021. Elle était cependant réservée au mode Strict de la Protection renforcée contre le pistage. Un peu plus tard, elle est devenue active par défaut dans le mode de navigation privée. Elle est ensuite arrivée dans Firefox Focus en début d’année. La suite ne faisait plus vraiment de doute.
Ce qui change
Ce qu’a annoncé hier soir Mozilla, c’est l’activation par défaut de la Total Cookie Protection à l’ensemble des internautes utilisant Firefox, quel que soit le mode de navigation. La TCP est donc active pour tout le monde et tout le temps. Le signal est en cours de déploiement pour l’ensemble des machines Windows, Mac et Linux, à condition que la dernière mouture de Firefox soit installée (la 101.0.1 actuellement).
Le point le plus intéressant avec la TCP est qu’il s’agit d’une technologie non agressive et non invasive. Elle ne remet pas en cause le fonctionnement de la navigation classique, elle l’amende. Les cookies peuvent toujours fonctionner – et donc fournir des statistiques par exemple – et l’internaute y gagne une meilleure protection de la vie privée.
Avec la TCP, chaque site possède son propre « pot à cookies ». Vous l’aurez deviné, un site ne peut accéder qu’à son propre pot et ne peut donc pas suivre les autres cookies. Plus question donc de savoir quels sites vous avez visités, les éventuelles actions menées, et ainsi de suite.
L’approche est plus douce qu’avec la Protection renforcée, dont l’introduction en 2018 avait provoqué des problèmes, que reconnait d’ailleurs Mozilla. Il fallait en effet tenir à jour une liste de trackers et, dans le cas contraire, le nouveau pisteur pouvait faire ce qu’il voulait. N’importe quel acteur de la chaine publicitaire pouvait alors définir un nouveau domaine pour contourner le problème. Avec la TCP, ce n’est plus possible : tous les cookies sont concernés.
Attention, comme les utilisateurs du mode Strict pourraient vous le dire depuis l’année dernière, cela ne signifie pas que les publicités ne sont plus affichées. Elles sont toujours là, mais elles ne sont plus personnalisées. Ce peut être une bonne solution pour les personnes reconnaissant l’intérêt des publicités pour le web gratuit, sans pour autant autoriser le pistage.
Par ailleurs, la TCP a quelques limitations inhérentes à son modèle ou conçues de cette manière. Elle n'agit ainsi que sur les cookies tiers. En d'autres termes, elle ne peut rien contre le pistage réalisé directement par le site visité. D'autre part, l'accès aux cookies tiers n'est pas totalement bloqué. Il est simplement très restreint, car il existe certains cas où cet accès sert légitimement, comme pour l'authentification via un service tiers.
Même avec la TCP active par défaut, les choix faits sur les bannières de cookies ont donc toujours leur importance.
L’offensive de Firefox continue
Le marché des navigateurs pourrait à nouveau évoluer dans les années à venir avec la lente prise de conscience autour de la vie privée et de la sécurité. Mozilla, qui traverse une période difficile depuis quelque temps mais ne relâche pas ses efforts, pourrait en tirer son épingle du jeu.
Le navigateur profite a priori d’un contexte favorable : Chrome, qui écrase actuellement le marché par ses imposantes parts (environ 65 %, sans parler des dérivés), est aussi celui qui fait le moins d’efforts sur la vie privée (à ne pas confondre avec la sécurité). Et pour cause, la quasi-totalité du chiffre d’affaires de l’entreprise provient de la publicité.
Le temps que Google réalise la quadrature du cercle en mêlant préservation de publicité et respect de la vie privée, Firefox se positionne plus durement. L’éditeur n’hésite d’ailleurs plus à dire que son navigateur est désormais « le plus sécurisé et le plus respectueux de la vie privée » sur Windows, Mac et Linux, dès le premier paragraphe de son communiqué.
La question est toujours la même : les utilisateurs vont-ils répondre présents ? Les personnes fatiguées par le pistage continuel sont sans doute déjà parties de Chrome pour des cieux plus cléments. Cependant, Firefox se bat aussi contre les dérivés du projet Chromium, dont Brave et Vivaldi. Ces deux-là communiquent déjà abondamment sur la vie privée. Opera aussi en ayant été le premier à intégrer dans son code un bloqueur de publicité, mais sa gestion trouble le rend suspect aux yeux d’une partie du public.
Maintenant que Mozilla commence à avoir plusieurs arguments forts dans ce domaine, il ne lui « reste » plus qu’à reconquérir le cœur des utilisateurs perdus avec les années. La conjonction de plusieurs facteurs devrait aider, notamment le passage au Manifest V3 chez Google pour les extensions. Encore faut-il que les personnes visées en soient informées.
