Mozilla a annoncé hier soir l’activation générale de sa Total Cookie Protection, pour l’ensemble des versions desktop du navigateur. Une étape importante, pour une solution technique simple qui a le gros avantage de ne pas casser la navigation.
De la même manière que Mozilla a sa propre approche de la future génération d’extensions, l’éditeur a une vision très précise de ce que doit être la préservation de la vie privée sur le web. Tous les signes pointaient dans cette direction et c’est désormais officiel : sa Total Cookie Protection est active par défaut chez tout le monde, sans conditions particulières.
Un parcours progressif
L’idée générale derrière la Total Cookie Protection est de compartimenter les cookies.
Dans une navigation ordinaire, l’ensemble des cookies est placé dans le même pot. Le problème de cette approche est connu depuis longtemps : tout site peut accéder à ce dépôt et donc examiner l’ensemble des cookies. Ce qui facilite grandement le pistage, bien que ce ne soit pas la seule technique pour suivre les internautes à la trace.
Avec le temps, Mozilla a procédé à divers essais. On se souvient par exemple de son extension destinée à encapsuler Facebook. L’idée centrale était la même.
La TCP, en tant que telle, est apparue en février 2021. Elle était cependant réservée au mode Strict de la Protection renforcée contre le pistage. Un peu plus tard, elle est devenue active par défaut dans le mode de navigation privée. Elle est ensuite arrivée dans Firefox Focus en début d’année. La suite ne faisait plus vraiment de doute.
Ce qui change
Ce qu’a annoncé hier soir Mozilla, c’est l’activation par défaut de la Total Cookie Protection à l’ensemble des internautes utilisant Firefox, quel que soit le mode de navigation. La TCP est donc active pour tout le monde et tout le temps. Le signal est en cours de déploiement pour l’ensemble des machines Windows, Mac et Linux, à condition que la dernière mouture de Firefox soit installée (la 101.0.1 actuellement).
Le point le plus intéressant avec la TCP est qu’il s’agit d’une technologie non agressive et non invasive. Elle ne remet pas en cause le fonctionnement de la navigation classique, elle l’amende. Les cookies peuvent toujours fonctionner – et donc fournir des statistiques par exemple – et l’internaute y gagne une meilleure protection de la vie privée.
Avec la TCP, chaque site possède son propre « pot à cookies ». Vous l’aurez deviné, un site ne peut accéder qu’à son propre pot et ne peut donc pas suivre les autres cookies. Plus question donc de savoir quels sites vous avez visités, les éventuelles actions menées, et ainsi de suite.
L’approche est plus douce qu’avec la Protection renforcée, dont l’introduction en 2018 avait provoqué des problèmes, que reconnait d’ailleurs Mozilla. Il fallait en effet tenir à jour une liste de trackers et, dans le cas contraire, le nouveau pisteur pouvait faire ce qu’il voulait. N’importe quel acteur de la chaine publicitaire pouvait alors définir un nouveau domaine pour contourner le problème. Avec la TCP, ce n’est plus possible : tous les cookies sont concernés.
Attention, comme les utilisateurs du mode Strict pourraient vous le dire depuis l’année dernière, cela ne signifie pas que les publicités ne sont plus affichées. Elles sont toujours là, mais elles ne sont plus personnalisées. Ce peut être une bonne solution pour les personnes reconnaissant l’intérêt des publicités pour le web gratuit, sans pour autant autoriser le pistage.
Par ailleurs, la TCP a quelques limitations inhérentes à son modèle ou conçues de cette manière. Elle n'agit ainsi que sur les cookies tiers. En d'autres termes, elle ne peut rien contre le pistage réalisé directement par le site visité. D'autre part, l'accès aux cookies tiers n'est pas totalement bloqué. Il est simplement très restreint, car il existe certains cas où cet accès sert légitimement, comme pour l'authentification via un service tiers.
Même avec la TCP active par défaut, les choix faits sur les bannières de cookies ont donc toujours leur importance.
L’offensive de Firefox continue
Le marché des navigateurs pourrait à nouveau évoluer dans les années à venir avec la lente prise de conscience autour de la vie privée et de la sécurité. Mozilla, qui traverse une période difficile depuis quelque temps mais ne relâche pas ses efforts, pourrait en tirer son épingle du jeu.
Le navigateur profite a priori d’un contexte favorable : Chrome, qui écrase actuellement le marché par ses imposantes parts (environ 65 %, sans parler des dérivés), est aussi celui qui fait le moins d’efforts sur la vie privée (à ne pas confondre avec la sécurité). Et pour cause, la quasi-totalité du chiffre d’affaires de l’entreprise provient de la publicité.
Le temps que Google réalise la quadrature du cercle en mêlant préservation de publicité et respect de la vie privée, Firefox se positionne plus durement. L’éditeur n’hésite d’ailleurs plus à dire que son navigateur est désormais « le plus sécurisé et le plus respectueux de la vie privée » sur Windows, Mac et Linux, dès le premier paragraphe de son communiqué.
La question est toujours la même : les utilisateurs vont-ils répondre présents ? Les personnes fatiguées par le pistage continuel sont sans doute déjà parties de Chrome pour des cieux plus cléments. Cependant, Firefox se bat aussi contre les dérivés du projet Chromium, dont Brave et Vivaldi. Ces deux-là communiquent déjà abondamment sur la vie privée. Opera aussi en ayant été le premier à intégrer dans son code un bloqueur de publicité, mais sa gestion trouble le rend suspect aux yeux d’une partie du public.
Maintenant que Mozilla commence à avoir plusieurs arguments forts dans ce domaine, il ne lui « reste » plus qu’à reconquérir le cœur des utilisateurs perdus avec les années. La conjonction de plusieurs facteurs devrait aider, notamment le passage au Manifest V3 chez Google pour les extensions. Encore faut-il que les personnes visées en soient informées.
Commentaires (38)
#1
Voici qui est une bonne nouvelle pour les utilisateurs de Firefox, dont les nouveaux venus attirés par la préservation de la vie privée. Cela aide à limiter le pistage sans empêcher des usages que l’on pourrait qualifier de légitimes, comme la mesure d’audience. Ceci étant, le pistage peut se faire par le site visité lui-même, qu’il s’agisse de Facebook ou d’un autre aux contenus très larges en thématiques. Ce pistage serait néanmoins limité à ce même site, sans déborder sur les autres.
Quant à Chrome, on pourrait imaginer que Google s’oriente vers la même voie… sans l’appliquer à lui-même. Entre nous, autant je suis peu excité à l’idée de me faire pister par Google, autant je constate que l’entreprise est parmi les plus respectueuses en termes de données personnelles : elles ne sont pas cédées à des tiers, par exemple, au contraire de la myriade d’autres services publicitaires et de pistage.
#2
J’ai du rater un truc, je ne vois pas bien la différence avec l’option “block third-party cookies”.
#2.1
Ça les bloque pas, ça les cloisonne à un site. Donc pas de risque que le site ne fonctionne pas comme quand on bloque les cookies tiers
#3
Je suis un grand naïf…
Je pensais que by-design, le principe même des cookies, seul le domaine du créateur d’un cookie permettait de lire ce même cookie, mais que le principe avait été détourné grace au multiples appels de domaines différents sur une même page web.
#3.1
Ce n’est pas comme ça que ça fonctionne (et heureusement !)
Sinon n’importe quel site pourrait récupérer tes cookies de connexion Gmail par exemple, ce qui serait dramatique.
En gros par défaut un cookie n’est accessible que par le site qu’il l’a créé, mais il est également possible de le rendre accessible à d’autres domaines via différents mécanismes, le principal étant le site X qui inclut un script du site Y ce qui permets au script d’accéder aux cookies de Y pour fonctionner.
#3.2
Pour résumer simplement : Actuellement FB peut lire les cookies déposé par un script fb que ce soit sur le site a.com ou le site b.com c’est ce qui permet à toutes les régies pub de nous tracer partout.
Avec la TCP le script FB sur chaque site n’aura accès que aux cookies déposé lors de la visite de ce site donc le traçage permanent est bien plus compliqué.
Après pour les services comme fb c’est plus compliqué parce que évidemment si tu es connecté à FB où que tu as utilisé “connect with fb” ben ils n’ont pas besoin des cookies pour te tracer par contre les autres régies pub elles seront bien bloqué oui.
#3.3
Du coup, est-ce que tu sais s’il y a une différence entre ce nouveau Total cookie protection et l’autre fonctionnalité de FF à savoir le “Facebook container” (https://addons.mozilla.org/en-US/firefox/addon/facebook-container/) qui empêche FB justement de nous suivre à la trace avec ces boutons partager ou login avec FB
#3.4
En effet, les containers perdent beaucoup de leur intérêt avec TCP, mais ils en conservent un tout de même : la possibilité d’ouvrir le même site sur plusieurs onglets différents, chacun dans un containter différent, donc avec plusieurs identités différentes simultanément.
Donc à moins que ce soit quelque chose que tu fais, inutile de garder les containers actifs. Moi j’ai désactivé cette extension avec l’arrivée de TCP car je me servais des containers dans le même but.
#4
Je ne connais pas bien le fonctionnement des cookies mais j’ai déjà eu des problèmes avec Orange/sosh par exemple.
Authentification sur Sosh, facture disponible chez Orange et assistance sur un 3e site, si le liens entre les cookies est rompus impossible d’accéder aux autres sites.
Je ne sais pas s’ils ont corrigé depuis.
#5
euh… l’article vulgarise un peu beaucoup là quand même. Oui c’était la même cookie jar avant, mais non un site ne peut pas accéder à tout vos cookies juste parce qu’ils sont dans cette même cookie jar. Ça reste limité par “Domain” tel que défini par le cookie au moment de son écriture.
C’est juste qu’à forcer de rajouter des boutons, des iframes, des scripts de site tiers (tel qu’un bouton share ou like facebook) on permet à facebook d’aller chercher et écrire ses propres cookie depuis plein de sites et donc d’être suivi.
Ce n’est qu’un exemple, mais voilà le principe de base.
#6
Questions : comment et où est-ce qu’on peut savoir si c’est actif ? Et si on veut ou juste pour savoir, y a moyen de désactiver ?
#7
Ils n’ont pas besoin de vendre les données parce que là où la plupart des entreprises occupent un seul rôle (parmi récolte, analyse et exploitation) dans la chaîne publicitaire, ils en occupent deux. Voici un exemple extrêmement simplifié.
Modèle classique:
Entreprise A collecte des données personnelles et les vend à Entreprise B.
Entreprise B analyse les données personnelles et vend le résultat à Entreprise C.
Entreprise C exploite ces résultats pour acheter ses emplacements de pub.
Modèle Google:
Google collecte des données personnelles.
Google analyse les données personnelles et vend le résultat à Entreprise C.
Entreprise C exploite ces résultats pour acheter ses emplacements de pub.
La seule vertu du modèle Google, c’est qu’ils empochent la totalité de la valorisation des données. Le résultat final est le même pour les utilisateurs.
#8
Ploum ploum, d’ancien utilisateur de Netscape Communicator en utilisateur quotidien des nitghly de firefox, je regarde tout ça avec un profond attachement. Je me gausse, oui, la dernière fois que j’ai croisé une publicité sur internet, ça remonte à loin ; et une publicité ciblée, ça remonte à très très loin ! Qui suis-je pour juger de ce que vivent les utilisateurs de Chrome ou autres merdiers, pas grand chose en quelque sorte.
#8.1
On se comprend
#8.2
oui idem, j’utilise FF depuis longtemps, même si je ne mets à jour que les versions officielles.
C’est lorsque je suis sur une autre machine ou au boulot (où nous sommes obligés d’utiliser Edge), que je me rends compte à quel point FF fait bien son boulot de protection.
Je n’ai jamais compris pourquoi plus de personne ne revenait vers ce navigateur.
#9
En gros, les cookies ne concernent que le site qui les a déposé, et ne sont plus accessibles aux tiers ? Ça a l’air tellement simple que je trouve étonnant que cela n’arrive que maintenant !
#10
Non c’est plus compliqué que ça. Les cookies, aujourd’hui, ne sont accessibles qu’au domaine qui les a déposés. Le problème c’est quand un site embarque un script d’un autre domaine :
monsite.com ne peut déposer et lire des cookies que pour monsite.com
Mais si monsite.com intègre un script depuis fb.com, ce script ne peut déposer et lire des cookies que pour fb.com. Du coup si le script fb.com est présent sur beaucoup de sites, il peut te suivre grâce aux cookies du domaine fb.com.
A la base cette implémentation avait une bonne raison d’être : elle permet à fb.com de déposer des cookies utiles à son but sans lui donner accès aux cookies top secrets de monsite.com
Tu peux bloquer les cookies tiers mais dans ce cas fb.com ne pourra plus du tout déposer de cookie, y compris pour des raisons utiles : le site risque de ne plus fonctionner correctement (exemple : fb.com gérait en fait le login pour monsite.com).
Avec le système présenté ci dessus, fb.com pourra toujours déposer des cookies pour le domaine fb.com mais uniquement pour quand l’utilisateur est sur monsite.com. Si monsite2.com a aussi le script de fb.com, il pourra lui aussi déposer un cookie mais il sera dans une boite distincte.
Pour faire plus simple, ça revient un peu à avoir un profil de browser tout neuf pour chaque domaine : les trackers pourront toujours te tracker sur le domaine courant mais plus faire le lien avec les autres domaines. Ainsi on garde le côté pratique des cookies tiers pour des aspects légitimes mais on coupe le tracking interdomaines.
#10.1
Est ce que ça change vraiment quelque chose pour les trackers ? Au lieu de faire “confiance” a l’utilisateur, ils peuvent tout rapatrier chez eux, non ? Je vais sur le site A, facebook me reconnait, je vais sur le site B, facebook me reconnaît, me track, et sait grâce à sa db que j’ai visité A.
#11
Par le passé (je ne sais pas si c’est encore le cas), Chrome ne supprimait pas les cookies de Google quand on lui demandait de supprimer tous les cookies. Donc toute roublardise de Google à propos de la ségrégation des cookies ne m’étonnerait pas.
#12
en cliquant sur le bouclier à coté de chaque site:
#13
Ça, je connais. Mais j’ai vu une vidéo YT où c’était une case à cocher dans les paramètres de protection standard.
Sauf que moi, je passe par les réglages personnalisés (cookies tiers bloqués, toutes les autres options activées et ce, pour toutes les fenêtres). J’imagine que c’est donc déjà actif sur mes Firefox depuis longtemps.
#14
Inexact. Avec Google, une immense quantité de données privées sont cédées à UN tiers : Google, depuis l’immense majorité des sites WEB. Ensuite, il est évident que Google ne “cède” pas ces données, tout comme il est indiscutable qu’elle vend les profils, à peu près anonymisés, pour gagner son pain sur la publicité. Le résultat est le même : cela détruit la neutralité du net, et cela te rend dépendant d’une puissance privée.
J’aime beaucoup Google, mais j’aime aussi que les choses soient claires.
#14.1
Je ne vois pas en quoi ça détruit la neutralité du net, mes paquets ne sont vont pas plus lentement que ceux de google…
#14.2
Ça détruit la neutralité du net au niveau du contenu. Parfois c’est souhaité, par exemple pour que Youtube te propose du contenu qui t’intéresse plus que le pot pourri de base. D’autres fois cela t’empêche d’accéder à des informations, de sortir de ta bulle virtuelle, et de voir le monde dans sa diversité. C’est de cela que je parlais en disant que le traçage (et par extension le profilage) détruit la neutralité du net.
C’est un peu comme si on regardait le JT de 20h mais qu’il était différent pour chaque spectateur.
#15
Voilà
#16
Inexact (malheureusement). Il y a tellement d’autres moyens que les cookies de traquer une machine, qu’à moins de jongler entre une myriade d’ordinateurs, on peut toujours se faire pister à travers des domaines différents.
Mais le Total Cookie “Protection” offre tout de même un avantage : cela augmente légèrement le coût du tracking, donc pourrait en diminuer l’usage universel. Une sorte d’inflation du prix des données personnelles.
En termes d’écologie, on n’y gagnera rien, car les scripts continueront d’épier scrupuleusement nos moindres faits et gestes (sauf sur certains sites très polis), quand bien même la valeur des données récoltées diminue. Simplement car le coût de la récolte est assumé par l’utilisateur final (son PC), et pas par l’exploitant.
#17
Dans les paramètres personnalisés, ça s’appelle bloquer les cookies intersite il me semble.
#17.1
Merci.
#18
Alors moi aussi je bloque, y compris les javascript de certains domaines, mais ça n’empêche pas que quand je vais sur des sites marchands he bien il y a des corrélations entre ce qui est proposé en achat d’impulsion et mes dernières recherches ou dernières vidéos consultées etc.
Ce n’est pas qu’une histoire de voir des pubs, c’est aussi tout le profilage socio économique qui est fait derrière et le fait que ces plate formes en savent plus sur moi que pas mal de mes proches je pense.
Le contrôle strict des cookies est un début de solution, combiné avec le VPN qu’ils poussent aussi effectivement firefox est en pointe sur la défense de la vie privée pour le grand public.
#19
Justement c’est beaucoup plus difficile sans les cookies (même si c’est faisable avec du fingerprinting, c’est plus complexe).
Tu vas sur site A : ils dépensent un cookie unique pour te reconnaitre.
Sauf qu’ils n’y ont plus accès sur le site B. Ils sont obligés de redéposer un cookie unique et n’ont pas la possibilité de faire le lien avec le cookie du site A.
#19.1
En pratique, avec l’adresse IP, le cookie de A est vite associable au cookie de B
Si on rajoute un poil de fingerprinting (l’IP étant déjà vachement discriminante), je pense qu’il y a moyen d’associer les deux cookies quasiment à chaque fois, y compris en cas d’usage d’une connexion partagée par de nombreuses personnes (entreprise, université, etc…)
#20
La TCP s’appelle en français Protection totale contre les cookies… https://blog.mozilla.org/press-fr/2022/06/14/firefox-lance-la-protection-totale-contre-les-cookies-par-defaut-pour-ses-utilisateurs-et-utilisatrices-du-monde-entier/
#21
Bien sûr que tes données personnelles ne sont pas cédées à des tiers, car Google n’y a aucun intérêt. C’est même le contraire !
Imagine par exemple un revendeur automobile belge qui vient voir Google car il a un lot de voiture à vendre :
Dans le premier cas, Google n’a plus la maîtrise des 10.000 profils, le revendeur peut les réutiliser à l’envie (voir les revendre). Et ce genre de données va mettre plusieurs années à se périmer.
Dans le cas 2, si le revendeur veut à nouveau faire une campagne publicitaire, plus ou moins identiques, il devra repayer car il n’aura eu aucune donnée personnelle la première fois.
Donc au final, cela fait bien de dire “Vos données personnelles ne sont pas cédées à des tiers”, mais en fait, c’est juste pour l’intérêt de Google (ou FB, etc), pas de l’utilisateur.
C’est comme cela que je vois les choses.
#21.1
Merci pour tes deux exemples clairs.
#22
C’est vrai que globalement, si il est possible de déposer l’IP dans le cookie, la corrélation des cookies même avec cette méthode devient triviale.
Après il est vrai que pour des connexions partagés (VPN, entreprise, WIFI publique etc.) là ça commence à couter cher de tracer l’utilisateur (fingerprinting) surtout si des navigateurs s’amusent à générer des metadata bidons aléatoire à chaque fois (quelle OS, version, langues prisent en charge, encodage des caractères etc.) mais je ne pense pas que ce soit courant sur navigateur.
#23
C’est de cela dont je parlais en disant que…
Parler est intransitif. On parle de quelque chose. On ne parle pas quelque chose.
Simple remarque amicale.
#23.1
Ça dépend, il est aussi transitif dans certains cas. On parle une langue
)
(Mais c’est pas l’utilisation qu’olt01 a eu, en effet
#24
C’est bien ainsi que nous voyons les choses : Google n’a pas besoin, ni intérêt, à vendre des données à des tiers, et ne le fait donc pas. Que ce soit intégré à son modèle économique est une garantie supplémentaire qu’il ne le fera pas.
Cela me convient mieux que des entreprises plus spécialisées se vendant des données personnelles à qui veut bien les acheter, et tant pis s’il y a des débordements, cela ne les concernant pas.