La protection IP est décrite comme "un proxy de confidentialité qui anonymise les adresses IP pour qualifier le trafic". L'un de ses principaux objectifs est de limiter la possibilité d'utiliser les empreintes digitales pour suivre les utilisateurs en ligne, ce qui est de plus en plus courant à mesure que des mesures sont prises pour bloquer, voire supprimer, les cookies de tiers.
Google reconnaît qu'il existe des scénarios légitimes dans lesquels les adresses IP doivent être connues, d'où l'anonymisation "pour le trafic qualifié". L'un des objectifs de la prochaine période d'essai de la protection IP est de déterminer s'il existe des effets secondaires indésirables qu'il convient d'atténuer. Plutôt que d'offrir automatiquement la protection et l'anonymisation à tout le monde, la protection de la propriété intellectuelle sera d'abord une fonction facultative. Google explique que cela lui permettra de mieux surveiller les comportements à faible volume. Comme c'est souvent le cas pour les nouvelles fonctionnalités faisant l'objet de tests, l'entreprise adoptera une approche progressive pour le déploiement de la protection de la propriété intellectuelle.
Alors que les fournisseurs de navigateurs s'efforcent d'offrir à leurs utilisateurs davantage de protection de la vie privée, l'adresse IP de l'utilisateur continue de permettre d'associer les activités des utilisateurs à travers les origines, ce qui ne serait pas possible autrement. Ces informations peuvent être combinées au fil du temps pour créer un profil d'utilisateur unique et persistant et suivre l'activité d'un utilisateur sur le web, ce qui représente une menace pour sa vie privée. De plus, contrairement aux cookies de tiers, il n'existe pas de moyen direct pour les utilisateurs de se désengager de ce type de suivi secret.
En plus d'être utilisées comme vecteur possible de traçage, les adresses IP ont joué et continueront de jouer un rôle essentiel dans l'acheminement du trafic, la prévention de la fraude et des abus, et l'exécution d'autres fonctions importantes pour les opérateurs de réseaux et les domaines.
Par conséquent, toute solution relative à la confidentialité des adresses IP doit tenir compte à la fois de la vie privée des utilisateurs et de la sécurité et de la fonctionnalité du web. La présente proposition se concentre initialement sur les efforts où les adresses IP sont le plus susceptibles d'être utilisées comme vecteur de traçage dans le contexte d'une tierce partie.
La protection des adresses IP évoluera et s'étendra au fil du temps en fonction des changements de l'écosystème, afin de continuer à protéger la vie privée des utilisateurs contre le suivi intersites.
Le suivi intersites et le rôle des adresses IP
Il existe plusieurs définitions du terme "suivi" dans l'écosystème du web. Dans un premier temps, nous utiliserons la définition de Mozilla pour le suivi intersites, car elle a servi d'inspiration pour les politiques d'autres navigateurs.
Mozilla définit le suivi comme "...la collecte de données concernant l'activité d'un utilisateur particulier sur plusieurs sites web ou applications (c'est-à-dire les premières parties) qui n'appartiennent pas au collecteur de données, et la conservation, l'utilisation ou le partage de données dérivées de cette activité avec des parties autres que la première partie sur laquelle elles ont été collectées".
Les navigateurs s'opposent au suivi intersite. Pour Chrome, il s'agit d'éliminer progressivement les cookies tiers et de limiter les empreintes digitales, tout en veillant à ce que le web reste sain et dynamique. L'un des moyens de limiter l'empreinte digitale consiste à limiter les sources d'informations identifiables telles que les adresses IP.
Une adresse IP est un identifiant intersite efficace car elle est hautement unique, relativement stable, peu coûteuse à collecter et les applications d'adresses IP par les sites web ne sont pas détectables par le navigateur. Il est donc important de limiter l'accès aux adresses IP pour empêcher d'autres méthodes de suivi intersites que les cookies tiers.
Compte tenu de l'impact des adresses IP sur le suivi, il serait logique de se concentrer d'abord sur les tiers identifiés comme utilisant potentiellement les adresses IP pour le suivi intersites à l'échelle du web. Nous explorerons des méthodes similaires à celles d'autres navigateurs et des listes existantes qui identifient ces tiers.
L'évolution de l'attention portée par Chrome au suivi des tiers est le fruit des commentaires reçus sur la proposition Gnatcatcher. Chrome souhaite se concentrer sur les comportements les plus susceptibles d'utiliser la propriété intellectuelle pour suivre les utilisateurs sur différents sites d'une manière qui pourrait ne pas correspondre aux attentes des utilisateurs en matière de respect de la vie privée. Chrome travaillera avec l'écosystème pour aider à préserver la vie privée tout en ne brisant pas les utilisations clés sur le web.
Proposition
Chrome réintroduit une proposition visant à protéger les utilisateurs contre le suivi intersite via les adresses IP. Cette proposition est un proxy de confidentialité qui anonymise les adresses IP pour qualifier le trafic comme décrit ci-dessus.
Objectifs
Proxy de confidentialité
Exigences fondamentales
Pour répondre à ces exigences, la présente proposition donne la priorité à l'acheminement du trafic des tiers éligibles par le biais du mandataire de protection de la vie privée.
Celui-ci utilisera CONNECT et CONNECT-UDP (avec MASQUE) pour transmettre le trafic. Il existe un tunnel crypté de bout en bout via TLS, de Chrome au serveur de destination.
Nous envisageons d'utiliser deux sauts pour améliorer la confidentialité. Un deuxième proxy serait géré par un CDN externe, tandis que Google gérerait le premier saut. Cela garantit qu'aucun proxy ne peut voir à la fois l'adresse IP du client et la destination. CONNECT et CONNECT-UDP prennent en charge le chaînage des mandataires.
Anti-abus
Le trafic de tiers par procuration pose plusieurs problèmes de lutte contre l'abus :
Pour limiter l'utilisation abusive du proxy, nous envisageons l'ensemble non exhaustif de protections anti-abus suivant :
Outre les mesures préventives, nous cherchons également à permettre aux sites web de signaler les dénis de service et autres abus. En outre, nous étudions activement de nouvelles défenses anti-abus pour permettre aux services tiers de prévenir les abus et les fraudes.
GéoIP
La géolocalisation basée sur l'IP est utilisée par un large éventail de services dans le cadre du trafic tiers proxy afin de se conformer aux lois et réglementations locales et d'offrir un contenu pertinent aux utilisateurs, tel que : la localisation du contenu (par exemple, la langue), l'attribution de cache local et le ciblage géographique des publicités. Pour répondre à ces besoins, le proxy de confidentialité attribuera des adresses IP qui représentent l'emplacement approximatif de l'utilisateur, y compris le pays.
À plus long terme
Les solutions à long terme évolueront et seront élaborées en collaboration avec l'écosystème. Nous collaborerons avec les FAI, les CDN, les tiers et les sites de destination en vue d'atteindre l'état final des mandataires de protection de la vie privée sur le web. Par exemple, les FAI et les CDN sont bien placés pour exploiter des proxys de protection de la vie privée.
Au fur et à mesure de l'évolution de la protection de la propriété intellectuelle, nous pensons que la politique aura un rôle à jouer dans la solution globale visant à résoudre le problème du contournement par les sites web. Le cas échéant, nous élaborerons une politique et demanderons l'avis de l'écosystème. Notre intention, dans le cadre de la proposition, est d'encourager les services web à rendre compte de l'utilisation et du partage des adresses IP des clients, compte tenu de la sensibilité de l'IP en tant que donnée d'identification. En créant de la transparence autour de l'utilisation des adresses IP, nous espérons promouvoir la responsabilité de l'industrie concernant la façon dont les adresses IP sont accessibles et utilisées dans l'écosystème du web.
Nous vous invitons à nous faire part de vos commentaires sur cette proposition, notamment en ce qui concerne certaines des questions ouvertes que nous examinons.
En plus d'être utilisées comme vecteur possible de traçage, les adresses IP ont joué et continueront de jouer un rôle essentiel dans l'acheminement du trafic, la prévention de la fraude et des abus, et l'exécution d'autres fonctions importantes pour les opérateurs de réseaux et les domaines.
Par conséquent, toute solution relative à la confidentialité des adresses IP doit tenir compte à la fois de la vie privée des utilisateurs et de la sécurité et de la fonctionnalité du web. La présente proposition se concentre initialement sur les efforts où les adresses IP sont le plus susceptibles d'être utilisées comme vecteur de traçage dans le contexte d'une tierce partie.
La protection des adresses IP évoluera et s'étendra au fil du temps en fonction des changements de l'écosystème, afin de continuer à protéger la vie privée des utilisateurs contre le suivi intersites.
Le suivi intersites et le rôle des adresses IP
Il existe plusieurs définitions du terme "suivi" dans l'écosystème du web. Dans un premier temps, nous utiliserons la définition de Mozilla pour le suivi intersites, car elle a servi d'inspiration pour les politiques d'autres navigateurs.
Mozilla définit le suivi comme "...la collecte de données concernant l'activité d'un utilisateur particulier sur plusieurs sites web ou applications (c'est-à-dire les premières parties) qui n'appartiennent pas au collecteur de données, et la conservation, l'utilisation ou le partage de données dérivées de cette activité avec des parties autres que la première partie sur laquelle elles ont été collectées".
Les navigateurs s'opposent au suivi intersite. Pour Chrome, il s'agit d'éliminer progressivement les cookies tiers et de limiter les empreintes digitales, tout en veillant à ce que le web reste sain et dynamique. L'un des moyens de limiter l'empreinte digitale consiste à limiter les sources d'informations identifiables telles que les adresses IP.
Une adresse IP est un identifiant intersite efficace car elle est hautement unique, relativement stable, peu coûteuse à collecter et les applications d'adresses IP par les sites web ne sont pas détectables par le navigateur. Il est donc important de limiter l'accès aux adresses IP pour empêcher d'autres méthodes de suivi intersites que les cookies tiers.
Compte tenu de l'impact des adresses IP sur le suivi, il serait logique de se concentrer d'abord sur les tiers identifiés comme utilisant potentiellement les adresses IP pour le suivi intersites à l'échelle du web. Nous explorerons des méthodes similaires à celles d'autres navigateurs et des listes existantes qui identifient ces tiers.
L'évolution de l'attention portée par Chrome au suivi des tiers est le fruit des commentaires reçus sur la proposition Gnatcatcher. Chrome souhaite se concentrer sur les comportements les plus susceptibles d'utiliser la propriété intellectuelle pour suivre les utilisateurs sur différents sites d'une manière qui pourrait ne pas correspondre aux attentes des utilisateurs en matière de respect de la vie privée. Chrome travaillera avec l'écosystème pour aider à préserver la vie privée tout en ne brisant pas les utilisations clés sur le web.
Proposition
Chrome réintroduit une proposition visant à protéger les utilisateurs contre le suivi intersite via les adresses IP. Cette proposition est un proxy de confidentialité qui anonymise les adresses IP pour qualifier le trafic comme décrit ci-dessus.
Objectifs
- Améliorer la protection de la vie privée des utilisateurs en évitant que leur adresse IP ne soit utilisée comme vecteur de suivi.
- Minimiser les perturbations du fonctionnement normal des serveurs, y compris l'utilisation des adresses IP pour lutter contre les abus par des sites tiers, jusqu'à ce que d'autres mécanismes soient mis en place.
Proxy de confidentialité
Exigences fondamentales
- l'origine de la destination ne voit pas l'adresse IP d'origine du client
- le proxy et les intermédiaires du réseau n'ont pas connaissance du contenu du trafic.
Pour répondre à ces exigences, la présente proposition donne la priorité à l'acheminement du trafic des tiers éligibles par le biais du mandataire de protection de la vie privée.
Celui-ci utilisera CONNECT et CONNECT-UDP (avec MASQUE) pour transmettre le trafic. Il existe un tunnel crypté de bout en bout via TLS, de Chrome au serveur de destination.
Nous envisageons d'utiliser deux sauts pour améliorer la confidentialité. Un deuxième proxy serait géré par un CDN externe, tandis que Google gérerait le premier saut. Cela garantit qu'aucun proxy ne peut voir à la fois l'adresse IP du client et la destination. CONNECT et CONNECT-UDP prennent en charge le chaînage des mandataires.
Anti-abus
Le trafic de tiers par procuration pose plusieurs problèmes de lutte contre l'abus :
- la défendabilité du proxy, un proxy compromis pouvant être utilisé pour déployer des attaques
- perturbation des défenses DoS existantes
- perturbation des défenses existantes pour la détection des fraudes et du trafic non valide.
Pour limiter l'utilisation abusive du proxy, nous envisageons l'ensemble non exhaustif de protections anti-abus suivant :
- l'utilisateur s'authentifie auprès du proxy
- cela nécessitera un compte d'utilisateur
- les jetons d'authentification seront émis et échangés par le proxy
- le proxy ne devrait pas être en mesure d'établir une corrélation entre le trafic et le compte de l'utilisateur
- des signatures aveugles seront utilisées
- limiter les abus en récoltant les jetons d'authentification
- limitation du nombre de jetons par compte
- expiration des jetons
Outre les mesures préventives, nous cherchons également à permettre aux sites web de signaler les dénis de service et autres abus. En outre, nous étudions activement de nouvelles défenses anti-abus pour permettre aux services tiers de prévenir les abus et les fraudes.
GéoIP
La géolocalisation basée sur l'IP est utilisée par un large éventail de services dans le cadre du trafic tiers proxy afin de se conformer aux lois et réglementations locales et d'offrir un contenu pertinent aux utilisateurs, tel que : la localisation du contenu (par exemple, la langue), l'attribution de cache local et le ciblage géographique des publicités. Pour répondre à ces besoins, le proxy de confidentialité attribuera des adresses IP qui représentent l'emplacement approximatif de l'utilisateur, y compris le pays.
À plus long terme
Les solutions à long terme évolueront et seront élaborées en collaboration avec l'écosystème. Nous collaborerons avec les FAI, les CDN, les tiers et les sites de destination en vue d'atteindre l'état final des mandataires de protection de la vie privée sur le web. Par exemple, les FAI et les CDN sont bien placés pour exploiter des proxys de protection de la vie privée.
Au fur et à mesure de l'évolution de la protection de la propriété intellectuelle, nous pensons que la politique aura un rôle à jouer dans la solution globale visant à résoudre le problème du contournement par les sites web. Le cas échéant, nous élaborerons une politique et demanderons l'avis de l'écosystème. Notre intention, dans le cadre de la proposition, est d'encourager les services web à rendre compte de l'utilisation et du partage des adresses IP des clients, compte tenu de la sensibilité de l'IP en tant que donnée d'identification. En créant de la transparence autour de l'utilisation des adresses IP, nous espérons promouvoir la responsabilité de l'industrie concernant la façon dont les adresses IP sont accessibles et utilisées dans l'écosystème du web.
Nous vous invitons à nous faire part de vos commentaires sur cette proposition, notamment en ce qui concerne certaines des questions ouvertes que nous examinons.
Et vous ?
Quel est votre avis sur cette annonce de Google ?
Selon vous, quelles sont les solutions à long termes pour concilier la protection de la vie privée des utilisateurs et la sécurité du web ?
Voir aussi :
Adieu les cookies tiers : Google va les remplacer par son nouveau système de publicité ciblée dès le premier trimestre 2024, pour 1% des utilisateurs de Chrome dans un premier temps
Google veut rendre les mots de passe obsolètes en faisant des "passkeys" l'option par défaut
Comment se préparer à la fin des cookies tiers, par Google. Google désactivera les cookiers tiers de 100% des utilisateurs à partir du troisième trimèstre 2024