Il y a une semaine, nous nous penchions sur l’API Web Environment Integrity envisagée par Google. Dans notre analyse, nous montrions qu’elle avait la capacité de verrouiller partiellement le web au profit de l’entreprise. Depuis, beaucoup ont réagi, dont Brave, Mozilla et Vivaldi, pour dire tout le mal qu’ils en pensaient.
Des intentions claires, mais…
Les objectifs affichés de cette API n’ont rien de scandaleux a priori. Il s’agit en bonne partie d’établir un lien de confiance entre une machine et un service, la première pouvant prouver au second qu’elle est bien ce qu’elle prétend être.
Ce fonctionnement est largement inspiré de certaines interfaces de programmation que l’on trouve dans les environnements mobiles, tout particulièrement Play Integrity sur Android et App Attest sur iOS. Google s’étant « fait la main » avec Play Integrity, elle propose d’appliquer les mêmes principes à la navigation web.
Les bénéfices seraient importants en théorie. Les techniques utilisées permettraient à un PC, un smartphone, une tablette ou autre de prouver qu’ils sont des appareils classiques contrôlés par un être humain. Dans le cas contraire – par exemple un bot – la connexion serait refusée et le contenu ne serait pas fourni.
Ce fonctionnement est courant sur Android et iOS. Les applications bancaires, Netflix, les jeux mobiles, Google Wallet et autres refusent de fournir le service attendu dans ce cas. Play Integrity est également connue pour empêcher ces applications de tourner sur les appareils « rootés ». La raison invoquée est simple : il n’est plus possible de garantir que le système fonctionne de la manière dont il a été conçu, le rootage permettant aussi d’utiliser des applications modifiées.
Le danger viendrait de cette certification. Dans le modèle exposé par Google, une entité tierce serait chargée de fournir la précieuse attestation au navigateur, qui aurait alors le droit de recevoir le contenu. En pratique, Google pourrait être en mesure de contrôler cette chaine d’authenticité et de déterminer les configurations ayant le droit d’accéder à certains services.
Le mécanisme étant aussi prévu pour vérifier plus finement les impressions publicitaires sur le web, Web Environment Integrity pourrait être utilisée pour refuser la présence de certaines extensions, comme les bloqueurs de publicité. Bloqueurs déjà menacés par le Manifest V3, déjà accusé d’être une charge (à peine) déguisée contre ce type d’extension. WEI a ainsi été rapidement surnommé « DRM du web ».
Défiance généralisée
Il n’a pas fallu attendre pour que les réactions fusent, notamment du côté des éditeurs de navigateurs.
Chez Brave par exemple, Brendan Eich en personne a pris la parole. L’inventeur du JavaScript a répondu initialement à une personne évoquant Brave comme un simple thème pour Chrome, ce qu’Eich a clairement rejeté. Il a rappelé que Brave est un fork doté d’une longue liste de « déviations », c’est-à-dire de différences avec Chrome, notamment des composants que le navigateur ne reprend pas.
Dans cette liste, on peut voir depuis que Web Environment Integrity a été ajoutée il y a quatre jours. La société est claire sur le sujet : l’API de Google n’entrera pas dans Brave. Brendan Eich s’attend à ce qu’Apple – qui ne s’est pas encore exprimée sur le sujet – refuse, elle aussi, l’API dans Safari.
Chez Mozilla, la position de l’éditeur a été demandée sur son dépôt GitHub. L’un des ingénieurs de Mozilla, Brian Grinstead, a répondu très clairement que l’entreprise s’opposait « à cette proposition parce qu'elle est en contradiction avec nos principes et notre vision du Web ». Pour Mozilla, le constat est simple : tout navigateur, serveur ou éditeur implémentant des standards communs devient automatiquement une partie du web. Il cite un passage de la page « Vision du web » de l’éditeur :
« Les normes elles-mêmes visent à éviter les hypothèses sur le matériel ou les logiciels sous-jacents qui pourraient limiter leur déploiement. Cela signifie qu'aucune partie ne décide des facteurs de forme, des appareils, des systèmes d'exploitation et des navigateurs pouvant accéder au web. Cela donne aux gens plus de choix, et donc plus de possibilités de surmonter les obstacles personnels à l'accès. Les choix en matière de technologie d'assistance, de localisation, de facteur de forme et de prix, combinés à une conception réfléchie des normes elles-mêmes, permettent à un groupe très diversifié de personnes d'accéder au même site web »
« Les mécanismes qui tentent de restreindre ces choix nuisent à l'ouverture de l'écosystème du web et ne sont pas favorables aux utilisateurs », poursuit Brian Grinstead. En outre, puisque WEI doit ne laisser passer que le trafic détecté comme « humain », l’API pourrait créer des obstructions dans divers cas tels que les technologies d’assistance, les tests automatiques, l’archivage et autres.
« Une menace majeure »
Chez Vivaldi, la position a été développée dans un billet de blog dédié. Web Environment Integrity y est décrite comme « une menace majeure ». Julien Picalausa, son auteur, y décrit en particulier un problème potentiel dont nous nous étions fait l’écho la semaine dernière : si un navigateur décide de ne pas implémenter WEI, il pourrait ne pas être considéré comme fiable. Dès lors, les services se servant de cette API pourraient ne pas servir leur contenu aux personnes concernées.
Selon Picalausa, Edge et Safari ne seront probablement pas en danger. Car en tenant compte du pouvoir dont jouirait Google, ses deux concurrents auraient des capacités de réplique sur leurs propres plateformes, bien trop présentes pour être ignorées. Quant à tous les autres, la force de frappe de Google permettrait probablement d’entrainer presque tout le monde dans son sillage. Par effet boule de neige, tout navigateur ne montrant pas patte blanche ne serait pas considéré comme fiable et ne pourrait pas faire fonctionner les services utilisant WEI. En reprenant la liste des applications se servant de Play Integrity, on peut se passer de Netflix, mais difficilement d’un accès au site de sa banque.
Il estime cependant qu’il existe un espoir, outre le fait que Google ne s’est pas exprimée officiellement sur la question. Pour Picalausa, l’Union européenne pourrait avoir son mot à dire, son historique – particulièrement avec Google – suggérant fortement qu'elle « ne permettra pas à quelques entreprises de disposer d'un pouvoir énorme pour décider quels navigateurs sont autorisés et lesquels ne le sont pas ».
Reste le cas emblématique des EME (Encrypted Media Extensions), adoubées par le W3C et qui avaient en leur temps permis aux DRM de s'installer pour les flux multimédias. On peut d'ailleurs le constater dans les réponses à Brendan Eich et à Mozilla que beaucoup n'ont pas oublié.
Commentaires (36)
#1
“Brendan Eich s’attend à ce qu’Apple – qui ne s’est pas encore exprimée sur le sujet – refuse, elle aussi, l’API dans Safari.”
Notons cependant qu’Apple propose déjà une API similaire dans Safari : https://blog.cloudflare.com/eliminating-captchas-on-iphones-and-macs-using-new-standard/
#1.1
C’est pour le coup pas tout à fait la même chose.
Cloudflare propose une api, qu’a implémenté Apple sur ses OS (pas que sur Safari), j’en bénéficie avec Opera / Brave / Vivaldi sur MacOs/iPadOs.
Ca permet simplement de ne pas avoir de captcha à complété.
Google sur ces sites (et ceux implémentant ses techno d’authentification captcha) propose la même chose en fonction du terminal et du navigateur.
Là ça va bien plus loin, puisqu’aujourd’hui il s’agit “juste” de dire plus rapidement “je ne suis pas un bot”, demain, c’est l’API qui dira elle-même si t’es un bot ou pas, et qui vérifiera l’intégrité de toute la machine (et du bonhomme).
#2
Très bon article, on va malheureusement y arriver un de ces quatre.
#3
A force d’insister, ça va finir par passer.
Malheureusement, Chromium reste un produit Google et Google se croit tout permis. Donc ils feront tout pour y inclure leurs saloperies.
#4
Mon téléphone étant rooté, je suis déjà concerné par une application bancaire qui ne foctionne pas, celle du Crédit Mutuel en l’occurrence. J’ai tout simplement décidé de ne pas l’installer. Si je comprends bien, le navigateur qui ne respecte pas cette intégration à l’avenir pourrait très bien se voir refuser l’accès à un site, celui du Crédit Mutuel par exemple, pour rester dans le thème ?
Pour le boulot j’ai installé l’app du Crédit Suisse qui elle, m’indique que l’appareil est rooté et que je cours un risque mais reste toujours utilisable. Vu ce que le Crédit Suisse est devenu c’est sûrement pas le meilleur exemple 😂
Y a-t-il donc un réel risque d’usurpation que Google souhaite corriger ou cela ne représente qu’une partie du projet, compte tenu de leurs intérêts : afficher de la pub ?
#4.1
Une partie.
Dans l’une des apps que je voulais installer (un truc pour supprimer les pubs il me semble), il avait été indiqué qu’il y avait une différence avec la version dispo sur F-Droid parce que Google était intervenu.
La pub est le business de Google donc ce serait pas déconnant.
Et en soit, l’idée est bonne notamment pour les flottes de smartphone en entreprise, tu as la garantie que l’utilisateur ne fait pas n’importe quelle connerie. Par contre pour un téléphone que tu as acheté, ne pas avoir la possibilité d’aller sur X ou Y parce que tu refuses telle ou telle technologie, c’est con.
#4.2
Mon tel est rooté via Magisk et avec quelques modules, je passe Play Integrity et même le DRM Widevine en L1 (Netflix fonctionne, les applis bancaires, pokémon go). Preuve que Play Integrity ne garantie pas tant que ça…
#4.3
L’application du Crédit Mutuel fonctionne très bien sur une téléphone rooté, il faut juste l’ajouter dans la liste Zygist sur Magisk pour que cela fonctionne.
Après c’est pas obligatoire pour le Crédit Mutuel, j’ai refusé l’application (en prétextant un téléphone non compatible) et en alternative ils te fournissent (moyennant un paiement unique d’une trentaine d’euros) un boîtier OTP propriétaire pour te connecter (en plus de la carte de PIN pour les virements).
Donc en fonction de l’action au crédit mut’ j’ai Utilisateur / mot de passe / sms / carte de pin / OTP proprio
#4.4
Merci pour l’astuce ! J’utilse Magisk aussi mais j’ai aucun module externe. D’ailleurs je ne sais pas toi mais mon Magisk saute parfois. Je dois redémarrer pour être rooté a nouveau (LineageOS sur un Xiaomi).
Mais quand même, pour le commun des mortels, ça fait une tonne de manipulations si tu n’y connais rien 💩
#4.5
Il faut rappliquer Magisk après une mise à jour.
#5
La bonne idée de Google d’avoir diffusé Chrome tel un malware (qui s’installait en même temps qu’une install qui n’avait rien à voir) il y a des années …
Maintenant, Google peut faire ce qu’il souhaite avec le web ou pas loin …
#6
Chrome, c’est le retour de la monoculture des navigateurs du début des années 2000, et comme au début des années 2000, le navigateur en position de quasi-monopole se permet de redéfinir les normes et de tordre le web selon ses besoins…
… et toujours cette sensation que le grand public est absolument incapable de comprendre les enjeux de cette monoculture, comme si on avait pas progressé en 20 ans…
#6.1
Exactement, Chome is the new Internet Explorer.
#6.2
J’allais l’écrire. Donc gros +1.
Il serait temps que la commission européenne impose à Google de vendre Chrome, interdise les installations de logiciels « partenaires » dans les installations logicielles (et sur les PC neufs aussi…) et qu’elle fasse revenir le « ballot-screen ».
Et M$ est aussi concerné avec le fonctionnement de Edge très proche d’IE dans Windows (impossible de s’en débarrasser, obligation de passer par lui pour les liens dans Windows, Office, etc.), procédure pour changer le navigateur par défaut opaque…
Bref. On est pas dans la m…
#6.3
À ceci prêt que l’on avait 1042 raisons de détester IE d’un point de vue technique. Il ne respectait aucun standard.
Là, Chrome n’est pas mauvais techniquement et c’est donc d’autant plus difficile de convaincre le grand public de la nocivité de son utilisation.
#6.4
Il devrait y avoir un “Ballot Screen” obligatoire sur n’importe quel OS ou l’éditeur propose son propre navigateur.
Le vent va tourner avec les années et EDGE devrait revenir progressivement sur le premier plan sur la partie desktop. Windows va continuer de le pousser, il est aussi performant et mieux intégré que Chrome donc les parts vont encore remonter. Comme le dit Picalausa, Edge et Safari vont joueur leur rôle.
#7
Meilleur profil publicitaire car ça s’apparenterait à du fingerprinting ?
Ça craint fort quand même qu’on ne puisse pas utiliser son appareil comme on le souhaite, si on le souhaite (root android)
#8
Clair que Chrome n’est pas mauvais niveau standards techniques, il a obligé tout le monde à utiliser les siens ;)
Chose que IE n’est pas arrivé à faire.
A croire que M$ était moins bon que Google à ce niveau.
#8.1
Le différence c’est surtout que tout le monde utilise le même moteur Blink qui est libre alors que MS c’était Trident qui était fermé.
#9
Faux argument (bien que tu dises vrai), car tu parles d’un point de vue de concepteur de sites Web.
Le grand public, il n’avait aucune conscience de cette histoire de standards, et encore moins qu’IE ne les respectait pas : il avait IE à portée de souris, et il se contentait de ça jusqu’à ce qu’un proche « kissikoné » lui parle de Firefox ou Opera, et découvre qu’IE était effectivement une bouse très limitée.
Tu me diras : comparé à la plupart de ses dérivés (Vivaldi, Opera, voire Edge aussi), Chrome est aussi fonctionnellement très limité et il faut le bourrer d’extensions pour pouvoir enfin avoir autre chose qu’une simple visionneuse HTML basique…
Maxthon et Avant Browser étaient des surcouches à IE utilisant Trident, donc ce point n’a jamais été le problème.
Aujourd’hui, le problème (qui n’est pas tant le respect des standards que celui de l’hégémonie de Blink, surtout) est le même qu’il y a 20-25 ans, en ce sens qu’il y a un navigateur – plus exactement, un moteur de rendu ; et le fait qu’il soit libre ou non n’a absolument aucune importance – qui domine le marché et son éditeur se sent donc en droit de décider à lui tout seul de ce que le Web doit être et ne pas être, dans son seul intérêt exclusif.
Netscape l’avait fait en 1995 en commençant à modifier JavaScript pour qu’il ne marche correctement que sur son Navigator : ça a poussé MS à créer et pousser IE (IE4 était technologiquement au même niveau que Navigator 4, à sa sortie) pour éviter que JS ne devienne la seule chasse gardée de Netscape.
Quand IE est devenu hégémonique (95% !) dès 2001, Netscape (devenu Mozilla) a répliqué en faisant renaître Navigator sous les traits du logiciel Mozilla (aujourd’hui SeaMonkey) et son dérivé
PhoenixFirebirdFirefox en 2003. Lequel Firefox apportait plein d’améliorations, en plus d’un meilleur respect des standards W3C : onglets (piqués à Opera), extensions (dont bloqueurs de pubs…)…Chrome a débarqué en 2008, quand IE était descendu à 70% et FF à 25%. Ce sont les utilisateurs de FF qui ont d’abord migré sur Chrome (car plus performant et plus rapide à démarrer), avant que ce ne soient ceux d’IE qui basculent plus ou moins volontairement dessus en l’espace de quatre ans (Chrome est devenu majoritaire en 2012).
#10
C’est ça.
25 ans plus tard, même histoire.
La boîte qui contrôle le navigateur le plus diffusé essaie de s’adjuger le droit de définir les règles de fonctionnement, non pas de son navigateur, mais de TOUS les navigateurs, pour ne pas dire des sites Web eux mêmes qui ne répondraient qu’aux copains.
L’ironie de l’histoire étant que les arguments utilisés par Netscape et Google à l’époqe pour contester l’hégémonie d’IE, qui ne les arrangeait pas, sont maintenant devenus “irrecevables” ou “gênants”.
#11
Il y a malgré tout une grosse différence entre aujourd’hui et il y a 25 ans.
Il y a 25 ans, le seul moyen d’aller sur internet, c’était via un ordinateur (pas de tablette ni de smartphone). La plupart étant sous Windows, Microsoft avait, via IE, un monopole de fait sur la quasi-intégralité du web, car IE était un composant de base de Windows.
Aujourd’hui, même si la situation semble similaire, elle reste pourtant très différente :
Il est beaucoup plus difficile aujourd’hui de crier à l’abus de position dominante, vu la fragmentation et sachant que la solution n’est pas imposée et que les utilisateurs le font grandement par choix.
Cela ne change en rien l’amer constat qui est qu’une seule entité “contrôle” à elle seule les 2⁄3 du web, et les dangers que cela peut représenter, mais les situations aujourd’hui / il y a 25 ans sont très loin d’être comparable.
#12
Question de point de vue.
Certes il faut qu’on installe Chrome, mais j’ai arrêté de compter les opportunités plus ou moins cachées de se retrouver avec ça installé en douce.
Quant à android, la “surcouche” ne change rien, à ma connaissance, on se retrouve quand même avec Chrome et surtout la ribambelle de “services” Google qui vont avec.
Dernier exemple en date, j’ai installé Acrosin true Image pour faire un image de mon SDD.
Je me suis retrouvé avec un service Google tournant en tâche de fond. (le truc qui envoie un rapport d’utilisation de ton PC).
Bref, chacun sa façon de voir la situation à sa façon.
Mais pour moi le Google d’hier et d’aujourd’hui n’a rien à envier à un Microsoft, voire est pire parce que certains trouvent toujours cette société utile voire même cool.
Les deux se résument par : je suis le #1 et je veux en tirer profit à mon avantage au détriment si possible de la concurrence.
#13
Pas mieux, j’ai du mal à comprendre comment Google arrive à continuer de jouir de son aura d’antan alors qu’elle a des pratiques anticoncurrentielles encore pire que Microsoft à sa grande époque. Aujourd’hui Microsoft fait ses saloperies à pas de loup, Google le fait au grand jour sans aucun complexe et tout le monde continue de lui manger dans la main.
Alors qu’elles sont toutes les deux horriblement malsaines. Même si Microsoft a essayé de redorer son image en mettant en open-source / libre pas mal de ses produits, la façade se lézarde vite avec les vieux réflexes. Cherchez “Vivaldi” sur Bing et vous comprendrez.
#14
Ah oui edge… si notre merde n’a pas bon goût, il reste le vomi du magasin en face…
#15
Je vais citer Lionel « Ploum » Dricot dans son billet « How to Kill a Decentralised Network (such as the Fediverse) » (ça parle ici de Facebook, mais c’est exactement la même logique sous-jacente) :
Traduit en français par Nicolas Vivant :
Donc, oui : les pratiques anticoncurrentielles ne sont pas un abus ni une maladresse, elles sont le moyen d’arriver à ses fins, à savoir : être le dernier debout, et pour toujours.
#16
Aujourdhui il faut pas se leurrer… chaque GAFAM, veut imposer/forcer l’utilisateur pour payer au final un abonnement ou consulter sa publicité.
Microsoft met du bing et Edge partout pour faire monter en flèche les revenus publicitaire
Microsoft force à utiliser un compte microsoft pour mettre tout dans Onedrive pour payer un abonnement
Apple pareil et son Icloud
On est tiraillé de partout.
Maintenant je suis passé sous Linux pour GARDER le contrôle de mon système, et depuis 20 ans sur Firefox….
#16.1
Idem pour moi. Malheureusement, les GAFAM et editeurs veulent aussi avoir le controle sur mes équipements, soit-disant pour ma sécurité. En fait plutot pour la sécurité de leurs clients.
Par exemple, sous linux, Netflix est limité au 720p, et encore avec le bon navigateur qui gère windevine.
Pourquoi? Parce qu’au dela, le DRM veut s’assurer de l’intégrité complète Materiel - OS - Navigateur.
Avec le projet de Google, plein de services deviendront inaccessibles via une stack open source.
#17
J’ai essayé par curiosité, je n’ai pas vu de différence avec les résultats google à la ligne #1. Quel point souhaitais-tu mettre en lumière ?
#17.1
Juste avant le résultat, tu as ça :
#17.2
Chez moi, j’ai Vivaldi mis en avant par Bing dans un encart avant tout le reste, même avant le compositeur…
#17.3
Perso j’ai ça et je ne suis pas le seul à l’avoir remarqué.
Mais j’imagine que ce bandeau doit être masqué par un bloqueur de contenus.
#17.4
Sur mobile, je n’ai pas l’encart “Edge” mais je l’ai aussi sur PC. Mais bon, Vivaldi est tout de même en premier comme résultat et rappelé à gauche dans le cadre de “mise en avant”.
#18
Certes, juste après un message bien mis en valeur te disant que tu n’en as pas besoin car y’a mieux à la maison. Les vieilles habitudes ont la vie dure.
Si Vivaldi n’était pas passé sur le user-agent de Chrome, je me demande s’ils auraient été jusqu’à saboter leur site comme c’était le cas chez Google (et ça, je l’ai vécu).
#18.1
Google fait pareil avec Chrome (ou l’a longtemps fait), ça ne me chose que pas. Perso, je saute ce genre d’encart par réflexe et c’est à peine si je le vois 😁
#18.2
Perso je ne le vois pas car j’utilise pas Bing. Mais même si ces pratiques de merde sont courantes pour ces entreprises, les dénoncer reste un minimum à mes yeux, c’était là l’objet de mon propos.