Google se retrouve de nouveau au cœur d'une polémique juste après les controverses suscitées par l'API Privacy Sandbox déployée à partir de Chrome 115. La nouvelle proposition de Google pourrait se résumer comme suit : un site Web pourrait à l'avenir être en mesure de demander un jeton qui atteste de faits essentiels concernant l'environnement dans lequel son code client s'exécute afin de s'assurer de la confiance du visiteur et de sa session de navigation - et donc de lui accorder l'accès. Selon l'entreprise, le but est de vérifier l'authenticité de l'appareil qui tente d'accéder au site Web, mais de nombreux internautes mécontents n'y voient rien d'autre qu'une forme de DRM.Google fait une proposition visant à instaurer la confiance dans les interactions Web
La prochaine grande idée de Google pour la sécurité des navigateurs Web ressemble à une nouvelle prise de liberté pour certains. Quatre employés de Google, dont au moins un est membre de l'équipe de travail sur l'API Privacy Sandbox, ont proposé en avril une nouvelle norme pour les navigateurs appelée "Web Environment Integrity API" (WEIA). Si l'API Privacy Sandbox vise à supprimer les cookies tiers et d'autres mécanismes de suivi existants afin de protéger la vie privée, WEIA propose un nouveau moyen de déterminer si les navigateurs sont dignes de confiance, afin de lutter contre la fraude criminelle et d'autres comportements répréhensibles.
Plus précisément, WEIA permet à un navigateur de prouver qu'il fonctionne conformément aux attentes de l'exploitant du site Web et qu'il n'a pas été manipulé. Par exemple, si vous avez un site Web qui propose des jeux en ligne et que vous voulez vous assurer qu'aucun joueur ne triche, vous pouvez utiliser la norme WEIA pour déterminer que les clients connectés sont authentiques, légitimes et qu'ils n'exécutent pas de code de triche. Il en va de même pour les sites Web qui ne veulent pas que des robots automatisés publient ou aiment des messages. Selon Google, l'engagement doit se faire par le biais d'un navigateur accepté et non modifié.
Il en va de même pour les éditeurs qui ne veulent proposer du contenu et des publicités qu'aux navigateurs qui ne sont pas des bots. L'initiative commence donc à faire glisser le navigateur Web vers une époque où seuls les navigateurs autorisés et officiellement publiés seront acceptés par les sites Web. Cela laisse penser que Google prévoit un avenir où les sites Web pourraient bénéficier d'une forme de DRM. Et comme le projet Chromium sert de base non seulement à Google Chrome, mais aussi à Microsoft Edge, Brave et à un certain nombre d'autres navigateurs usités, WEIA pourrait avoir un large effet sur le Web si elle était déployée et adoptée.
La proposition est apparue sous forme de code en avril dernier et a été annoncée en mai. Elle a suscité une poignée de commentaires inquiets parmi ceux qui suivent le développement du moteur de rendu Blink du projet open source Chromium, mais n'a pas attiré beaucoup d'attention de la part de la communauté technique jusqu'à ce qu'elle soit publiée vendredi en tant que projet de spécification de travail. Certains membres de la communauté Internet craignent que ce soit la fin du Web tel que nous le connaissons. Les critiques affirment que Google tente de prendre le contrôle du Web et de la façonner à son image pour faire prospérer ses activités.
« Web Environment Integrity API permet aux agents utilisateurs de demander des verdicts d'un assesseur qui peuvent être utilisé pour vérifier l'intégrité l'intégrité de l'environnement Web. Ces verdicts sont transmis à une partie se fiant à l'information, qui en valide l'authenticité. L'intégrité de l'environnement Web est mieux adaptée à la détection des environnements Web trompeurs », explique le projet de spécification. L'objectif déclaré de l'API est de résoudre divers problèmes de longue date sur le Web : manipulation et falsification des médias sociaux ; détection des robots ; utilisation abusive des WebViews dans les applications ; appareils compromis, etc.
La proposition de Google fait l'objet de controverses et suscite des préoccupations
L'idée d'instaurer la confiance dans les interactions Web n'est pas nouvelle. Il existe déjà des API similaires pour la validation des applications natives dans les écosystèmes Android et iOS. Il existe des propositions ayant des objectifs similaires, comme PrivacyPass, Trust Token API et UserConfidenceScore. Un précurseur de la nouvelle spécification de Google a été initialement proposé en avril 2022 et a suscité plusieurs questions sur les conséquences de la conception suggérée. Cependant, la mise en place d'un mécanisme de confiance pour les clients Web devient plus difficile si les gens ne font pas confiance à l'entité qui crée la technologie.
WEIA a fait l'objet de discussions au sein du groupe communautaire antifraude du W3C à la fin du mois d'avril et a été publiée sur le Web dans le cadre du processus itératif normal par lequel les capacités des navigateurs sont développées. Malgré l'état d'ébauche de la spécification, les réactions ont été rapides la semaine dernière, sous la forme d'un flot de commentaires critiques...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.