Alors que Google a annoncé en janvier qu’il éliminera les cookies tiers à l’horizon 2022, Apple a lancé les grandes manœuvres. Cupertino met à jour son système Intelligent Tracking Prevention de sorte à bloquer, par défaut sur Safari et iOS, tous les traqueurs tiers.
Alors qu’en France, les lobbies auraient obtenu de la CNIL un moratoire sur l’application des règles relatives aux cookies, Apple lance la dernière étape de sa grande offensive contre les traqueurs d’activités tiers. Mardi, le géant a mis à jour ITP, ou Intelligent Tracking Prevention. Cet outil, introduit en septembre 2017 à l’occasion du passage de Safari en version 11, restreint le ciblage publicitaire et notamment le dépôt de cookies sur le navigateur.
Certains acteurs du secteur, Criteo en tête, ne s’en sont toujours pas remis et leur situation ne risque pas de s’améliorer avec cette nouvelle mise à jour. Dès février 2019, la fonctionnalité Do Not Track, très décriée, était supprimée de Safari pour ne laisser qu’ITP. Désormais, ce dernier va bloquer, par défaut, tout cookie tiers. Dans le détail, « les cookies pour les ressources intersites sont désormais bloqués par défaut dans tous les domaines » écrit dans la page webkit dédiée John Wilander, l’ingénieur responsable d’ITP à Cupertino.
Mort aux cookies tiers
Une mesure radicale, mais qui vient refermer une faille qu’ITP, en dépit de toutes ses restrictions, laissait béante (et dans laquelle les publicitaires s’engouffraient bien volontiers) : le pistage de l’état de blocage du pistage. Car les quelques cookies restants, notamment les cookies cross-sites, pouvaient informer l’éditeur du comportement du navigateur, ou plus exactement d’ITP. Soit l’état du blocage de pisteurs servant de vecteur de pistage. John Wilander évoque surtout une technique baptisée Login Fingerprinting, qui permet à un site Web de savoir sur quels autres sites vous êtes connecté.
« Le blocage complet des cookies tiers garantit qu'aucun état ITP ne peut être détecté » assure l’ingénieur. Et permet en outre de réduire la surface des attaques de contrefaçon de requêtes intersites. Par cette mesure, insiste Apple, Safari « continue d'ouvrir la voie à la confidentialité sur le Web, cette fois en tant que premier navigateur grand public à bloquer complètement les cookies tiers par défaut ». En considérant que Tor n’est pas un navigateur grand public et que Brave permet toujours des exceptions. Ce faisant, Apple plante un nouveau clou dans le cercueil des traqueurs publicitaires et Google, sauf changement de plan, devrait planter le dernier en 2022.
Storage Access API
On pourra toutefois objecter que certains sites web et certaines fonctionnalités ont besoin de ces cookies tiers intersites pour demeurer opérant, par exemple pour authentifier un même internaute sur plusieurs sites. Cupertino propose plusieurs options, à commencer par les autorisations OAuth 2.0, en vertu desquelles le domaine d’authentification transmet un token d'autorisation au service, qu’il utilisera pour établir une session de connexion propriétaire. La solution privilégiée par Apple semble néanmoins être le recours à l’API Storage Access, créée par la marque à la pomme il y a deux ans et en cours de standardisation. Cette API permet aux tiers d’accéder aux cookies propriétaires (first-party, par opposition aux third-parties) stockés sur le navigateur, sur demande obligatoire à l’utilisateur.