Google promet de protéger les utilisateurs du fingerprinting et de sécuriser les cookies dans Chrome

Avec l'utilisation de l'attribut Same-site

Google promet de protéger les utilisateurs du fingerprinting et de sécuriser les cookies dans Chrome,
avec l'utilisation de l'attribut Same-site

Google prévoit de prendre en charge deux nouvelles fonctionnalités de protection de la vie privée et de la sécurité dans Chrome: l’utilisation des cookies avec Same-Site et la protection anti-fingerprinting.

Ces deux fonctionnalités ont été annoncées lors de l’édition 2019 de sa conférence annuelle I/O dédiée aux développeurs. Notons tout de même qu’aucune échéance n'a été fixée pour le moment.

Sécurisation des cookies avec l’attribut Same-site

Le changement le plus important que Google envisage de déployer concerne la manière dont il traite les fichiers cookies. Ces nouveaux contrôles seront basés sur un nouveau standard IETF sur lequel les développeurs de Chrome et Mozilla travaillent depuis plus de trois ans. Cette nouvelle spécification IETF décrit un nouvel attribut qui peut être défini dans les en-têtes HTTP. Appelé "SameSite", l'attribut doit être défini par le propriétaire du site et doit décrire les situations dans lesquelles les cookies d'un site peuvent être chargés.

Fonctionnement

En fait, SameSite permet de mitiger les risques liés aux attaques de type CSRF (Cross-Site Request Forgery) et XSSI (Cross-Site Script Inclusion). Le principe de base de SameSite est similaire à celui des flags HttpOnly et Secure : il permet de contrôler le comportement des cookies, en définissant quand ces derniers peuvent être envoyés et quand ils ne le doivent pas.

Same-Site propose 2 politiques différentes, qui seront définies par les valeurs suivantes (sensibles à la casse) : Strict (par défaut) et Lax.

En mode Strict, le cookie concerné par cette instruction ne sera envoyé que si la requête provient du même site web.

La variante Lax ajoute une exception pour l’envoi du cookie dans le cas où la requête ne provient pas du site d’origine : ce dernier sera aussi communiqué pour les requêtes dites “safe” (essentiellement celles de type GET) dans le cadre d’une navigation de premier niveau (impliquant un changement d’URL dans la barre d’adresse du navigateur).

En effet, le mode Strict empêcherait l’envoi d’un cookie de session dans le cas d’un accès au site via un lien externe (depuis un e-mail, un moteur de recherche, etc.), un utilisateur suivant un tel lien ne pourrait donc pas être connecté à son compte à son arrivée sur le site.

Par exemple, si nous utilisions l’instruction SameSite en mode Strict sur developpez.com, en cliquant ce lien, vous ne seriez pas détecté comme connecté, même si vous l’êtes déjà dans un autre onglet de votre navigateur.

Ce type de comportement pouvant induire de la confusion chez les utilisateurs finaux, vous pouvez utiliser le mode Lax pour l’éviter.


En termes simples, cela crée une ligne de démarcation entre les cookies, qui deviendront des cookies du même site ou des sites similaires.

Google espère que les propriétaires de sites Web mettront à jour leurs sites et convertiront les anciens cookies qu'ils utilisaient pour des opérations sensibles, telles que les opérations de connexion et la gestion des paramètres par site, en cookies du même site.

Tous les anciens cookies qui n'ont pas d'en-tête SameSite utiliseront automatiquement un attribut "aucun" et Chrome les considérera comme des cookies intersites ou des cookies de pistage.

Comment Google en est arrivé là ?

« En 2008, nous avons lancé Chrome dans le but de créer un Web rapide, simple, sécurisé et stable pour tous, partout dans le monde. Dix ans plus tard, l'expérience utilisateur est toujours au cœur de toutes nos activités.

« Nous avons reçu des commentaires cohérents de nos utilisateurs sur l’importance de la transparence, du choix et du contrôle en matière de confidentialité des données sur le Web. C’est pourquoi, aujourd’hui, à la Google I / O, nous avons annoncé notre intention de mettre à jour le mode de traitement des cookies par Chrome.

Cookies et vie privée

« Les cookies jouent aujourd'hui un rôle important dans la navigation sur le Web. Ils sont utilisés pour vous garder connecté au courrier électronique, enregistrer les adresses de livraison sur un site de vente au détail et mémoriser vos préférences sur les sites Web que vous avez visités. Et ils peuvent également être utilisés pour suivre votre activité de navigation sur le Web afin de diffuser un contenu et des annonces personnalisés.

« Malheureusement, pour les navigateurs, tous ces types de cookies ont la même apparence, ce qui rend difficile la description de l'utilisation de chaque cookie et limite l'utilité des contrôles de cookies. Par exemple, lorsque vous supprimez tous vos cookies, vous êtes déconnecté de tous les sites et vos préférences en ligne sont réinitialisées. De ce fait, les solutions émoussées qui bloquent tous les cookies peuvent dégrader considérablement l'expérience Web simple que vous connaissez aujourd'hui, tandis que les approches basées sur l'heuristique (où le navigateur devine l'objectif d'un cookie) rendent le Web imprévisible pour les développeurs.

Amélioration des contrôles des cookies dans Chrome

« Nous avons annoncé à la Google I / O que nous mettrions à jour Chrome pour offrir aux utilisateurs plus de transparence sur la manière dont les sites utilisent les cookies, ainsi que des contrôles plus simples pour les cookies entre sites. Nous allons proposer une préversion de ces nouvelles fonctionnalités plus tard cette année.

« Nous apportons actuellement plusieurs modifications à Google Chrome pour activer ces fonctionnalités. Nous commençons par modifier le fonctionnement des cookies afin que les développeurs doivent spécifier explicitement quels cookies sont autorisés à fonctionner sur plusieurs sites Web. Ils peuvent également être utilisés pour suivre les utilisateurs. Le mécanisme que nous utilisons repose sur l'attribut de cookie SameSite du Web et vous pouvez trouver les détails techniques sur web.dev.

« Dans les mois à venir, Chrome obligera les développeurs à utiliser ce mécanisme pour accéder à leurs cookies sur plusieurs sites. Cette modification permettra aux utilisateurs d'effacer tous ces cookies sans affecter les cookies d'un seul domaine, en préservant les connexions et les paramètres de l'utilisateur. Cela permettra également aux navigateurs de fournir des informations claires sur les sites qui installent ces cookies, afin que les utilisateurs puissent choisir en connaissance de cause l'utilisation de leurs données.

« Cette modification présente également un avantage significatif pour les utilisateurs en matière de sécurité, en protégeant les cookies des attaques par injection intersite et de divulgation des données telles que Spectre et CSRF. Nous avons également annoncé notre plan visant à limiter à terme les cookies intersites aux connexions HTTPS, offrant ainsi des protections de confidentialité supplémentaires importantes à nos utilisateurs.

« Les développeurs peuvent commencer à tester leurs sites et voir comment ces modifications affecteront le comportement dans la dernière version de développeur pour Chrome ».

Rappelons que Firefox prend en charge les cookies Same-Site depuis avril 2018 avec la publication de Firefox 60. Chrome prend en charge les cookies Same-Site depuis 2016, mais le navigateur commencera à exiger l'attribut à partir de cette année.


Protection contre le fingerprinting

Les ingénieurs de Google ont également annoncé une deuxième grande nouvelle fonctionnalité dans le but de protéger la confidentialité sur Chrome lors de la conférence.

La société envisage d’ajouter un support à Chrome pour bloquer certains types de techniques de fingerprinting, utilisées de manière abusive par les annonceurs en ligne.

Google n'a pas détaillé les types de techniques de fingerprinting d’utilisateurs qu'il prévoyait de bloquer. Il est à noter qu'il en existe beaucoup, qui vont de l'analyse des polices système installées localement à l'utilisation abusive de l'élément canvas HTML5, en passant par la mesure de la taille de l'écran du périphérique d'un utilisateur jusqu'à la lecture des extensions installées localement.

Les navigateurs Tor ont été le premier navigateur majeur à bloquer les scripts / techniques de fingerprinting afin d'empêcher la désanonymisation de ses utilisateurs. Progressivement, ces fonctionnalités sont transmises au navigateur Firefox.

Google a déclaré que Chrome bénéficierait également d'une fonction anti-fingerprinting : .

« Pour modifier la manière dont le navigateur traite les cookies, nous devons prendre en compte l'écosystème Web plus large. Des approches contondantes du blocage des cookies ont été essayées et, en réponse, nous avons constaté que certains efforts de suivi des...