Google promet de protéger les utilisateurs du fingerprinting et de sécuriser les cookies dans Chrome

Avec l'utilisation de l'attribut Same-site

Google prévoit de prendre en charge deux nouvelles fonctionnalités de protection de la vie privée et de la sécurité dans Chrome: l’utilisation des cookies avec Same-Site et la protection anti-fingerprinting.

Ces deux fonctionnalités ont été annoncées lors de l’édition 2019 de sa conférence annuelle I/O dédiée aux développeurs. Notons tout de même qu’aucune échéance n'a été fixée pour le moment.

Sécurisation des cookies avec l’attribut Same-site

Le changement le plus important que Google envisage de déployer concerne la manière dont il traite les fichiers cookies. Ces nouveaux contrôles seront basés sur un nouveau standard IETF sur lequel les développeurs de Chrome et Mozilla travaillent depuis plus de trois ans. Cette nouvelle spécification IETF décrit un nouvel attribut qui peut être défini dans les en-têtes HTTP. Appelé "SameSite", l'attribut doit être défini par le propriétaire du site et doit décrire les situations dans lesquelles les cookies d'un site peuvent être chargés.

Fonctionnement

En fait, SameSite permet de mitiger les risques liés aux attaques de type CSRF (Cross-Site Request Forgery) et XSSI (Cross-Site Script Inclusion). Le principe de base de SameSite est similaire à celui des flags HttpOnly et Secure : il permet de contrôler le comportement des cookies, en définissant quand ces derniers peuvent être envoyés et quand ils ne le doivent pas.

Same-Site propose 2 politiques différentes, qui seront définies par les valeurs suivantes (sensibles à la casse) : Strict (par défaut) et Lax.

En mode Strict, le cookie concerné par cette instruction ne sera envoyé que si la requête provient du même site web.

La variante Lax ajoute une exception pour l’envoi du cookie dans le cas où la requête ne provient pas du site d’origine : ce dernier sera aussi communiqué pour les requêtes dites “safe” (essentiellement celles de type GET) dans le cadre d’une navigation de premier niveau (impliquant un changement d’URL dans la barre d’adresse du navigateur).

En effet, le mode Strict empêcherait l’envoi d’un cookie de session dans le cas d’un accès au site via un lien externe (depuis un e-mail, un moteur de recherche, etc.), un utilisateur suivant un tel lien ne pourrait donc pas être connecté à son compte à son arrivée sur le site.

Par exemple, si nous utilisions l’instruction SameSite en mode Strict sur developpez.com, en cliquant ce lien, vous ne seriez pas détecté comme connecté, même si vous l’êtes déjà dans un autre onglet de votre navigateur.

Ce type de comportement pouvant induire de la confusion chez les utilisateurs finaux, vous pouvez utiliser le mode Lax pour l’éviter.


En termes simples, cela crée une ligne de démarcation entre les cookies, qui deviendront des cookies du même site ou des sites similaires.

Google espère que les propriétaires de sites Web mettront à jour leurs sites et convertiront les anciens cookies qu'ils utilisaient pour des opérations sensibles, telles que les opérations de connexion et la gestion des paramètres par site, en cookies du même site.

Tous les anciens cookies qui n'ont pas d'en-tête SameSite utiliseront automatiquement un attribut "aucun" et Chrome les considérera comme des cookies intersites ou des cookies de pistage.

Comment Google en est arrivé là ?

« En 2008, nous avons lancé Chrome dans le but de créer un Web rapide, simple, sécurisé et stable pour tous, partout dans le monde. Dix ans plus tard, l'expérience utilisateur est toujours au cœur de toutes nos activités.

« Nous avons reçu des commentaires cohérents de nos utilisateurs sur l’importance de la transparence, du choix et du contrôle en matière de confidentialité des données sur le Web. C’est pourquoi, aujourd’hui, à la Google I / O, nous avons annoncé notre intention de mettre à jour le mode de traitement des cookies par Chrome.

Cookies et vie privée

« Les cookies jouent aujourd'hui un rôle important dans la navigation sur le Web. Ils sont utilisés pour vous garder connecté au courrier électronique, enregistrer les adresses de livraison sur un site de vente au détail et mémoriser vos préférences sur les sites Web que vous avez visités. Et ils peuvent également être utilisés pour suivre votre activité de navigation sur le Web afin de diffuser un contenu et des annonces personnalisés.

« Malheureusement, pour les navigateurs, tous ces types de cookies ont la même apparence, ce qui rend difficile la description de l'utilisation de chaque cookie et limite l'utilité des contrôles de cookies. Par exemple, lorsque vous supprimez tous vos cookies, vous êtes déconnecté de tous les sites et vos préférences en ligne sont réinitialisées. De ce fait, les solutions émoussées qui bloquent tous les cookies peuvent dégrader considérablement l'expérience Web simple que vous connaissez aujourd'hui, tandis que les approches basées sur l'heuristique (où le navigateur devine l'objectif d'un cookie) rendent le Web imprévisible pour les...