IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google Chrome proposera bientôt de masquer votre adresse IP pour plus de confidentialité et de sécurité
Pour protèger la vie privée des utilisateurs, et pour la sécurité du web

Le , par Jade Emy

5PARTAGES

6  0 
Google s'apprête à lancer une nouvelle fonctionnalité de Chrome qui permettra aux utilisateurs de masquer leur adresse IP. Précédemment connue sous le nom de Gnatcatcher, la fonctionnalité s'appelle désormais IP Protection et utilise des proxys pour empêcher le pistage en ligne.

La protection IP est décrite comme "un proxy de confidentialité qui anonymise les adresses IP pour qualifier le trafic". L'un de ses principaux objectifs est de limiter la possibilité d'utiliser les empreintes digitales pour suivre les utilisateurs en ligne, ce qui est de plus en plus courant à mesure que des mesures sont prises pour bloquer, voire supprimer, les cookies de tiers.

Google reconnaît qu'il existe des scénarios légitimes dans lesquels les adresses IP doivent être connues, d'où l'anonymisation "pour le trafic qualifié". L'un des objectifs de la prochaine période d'essai de la protection IP est de déterminer s'il existe des effets secondaires indésirables qu'il convient d'atténuer. Plutôt que d'offrir automatiquement la protection et l'anonymisation à tout le monde, la protection de la propriété intellectuelle sera d'abord une fonction facultative. Google explique que cela lui permettra de mieux surveiller les comportements à faible volume. Comme c'est souvent le cas pour les nouvelles fonctionnalités faisant l'objet de tests, l'entreprise adoptera une approche progressive pour le déploiement de la protection de la propriété intellectuelle.

Alors que les fournisseurs de navigateurs s'efforcent d'offrir à leurs utilisateurs davantage de protection de la vie privée, l'adresse IP de l'utilisateur continue de permettre d'associer les activités des utilisateurs à travers les origines, ce qui ne serait pas possible autrement. Ces informations peuvent être combinées au fil du temps pour créer un profil d'utilisateur unique et persistant et suivre l'activité d'un utilisateur sur le web, ce qui représente une menace pour sa vie privée. De plus, contrairement aux cookies de tiers, il n'existe pas de moyen direct pour les utilisateurs de se désengager de ce type de suivi secret.

En plus d'être utilisées comme vecteur possible de traçage, les adresses IP ont joué et continueront de jouer un rôle essentiel dans l'acheminement du trafic, la prévention de la fraude et des abus, et l'exécution d'autres fonctions importantes pour les opérateurs de réseaux et les domaines.

Par conséquent, toute solution relative à la confidentialité des adresses IP doit tenir compte à la fois de la vie privée des utilisateurs et de la sécurité et de la fonctionnalité du web. La présente proposition se concentre initialement sur les efforts où les adresses IP sont le plus susceptibles d'être utilisées comme vecteur de traçage dans le contexte d'une tierce partie.

La protection des adresses IP évoluera et s'étendra au fil du temps en fonction des changements de l'écosystème, afin de continuer à protéger la vie privée des utilisateurs contre le suivi intersites.

Le suivi intersites et le rôle des adresses IP

Il existe plusieurs définitions du terme "suivi" dans l'écosystème du web. Dans un premier temps, nous utiliserons la définition de Mozilla pour le suivi intersites, car elle a servi d'inspiration pour les politiques d'autres navigateurs.

Mozilla définit le suivi comme "...la collecte de données concernant l'activité d'un utilisateur particulier sur plusieurs sites web ou applications (c'est-à-dire les premières parties) qui n'appartiennent pas au collecteur de données, et la conservation, l'utilisation ou le partage de données dérivées de cette activité avec des parties autres que la première partie sur laquelle elles ont été collectées".

Les navigateurs s'opposent au suivi intersite. Pour Chrome, il s'agit d'éliminer progressivement les cookies tiers et de limiter les empreintes digitales, tout en veillant à ce que le web reste sain et dynamique. L'un des moyens de limiter l'empreinte digitale consiste à limiter les sources d'informations identifiables telles que les adresses IP.

Une adresse IP est un identifiant intersite efficace car elle est hautement unique, relativement stable, peu coûteuse à collecter et les applications d'adresses IP par les sites web ne sont pas détectables par le navigateur. Il est donc important de limiter l'accès aux adresses IP pour empêcher d'autres méthodes de suivi intersites que les cookies tiers.

Compte tenu de l'impact des adresses IP sur le suivi, il serait logique de se concentrer d'abord sur les tiers identifiés comme utilisant potentiellement les adresses IP pour le suivi intersites à l'échelle du web. Nous explorerons des méthodes similaires à celles d'autres navigateurs et des listes existantes qui identifient ces tiers.

L'évolution de l'attention portée par Chrome au suivi des tiers est le fruit des commentaires reçus sur la proposition Gnatcatcher. Chrome souhaite se concentrer sur les comportements les plus susceptibles d'utiliser la propriété intellectuelle pour suivre les utilisateurs sur différents sites d'une manière qui pourrait ne pas correspondre aux attentes des utilisateurs en matière de respect de la vie privée. Chrome travaillera avec l'écosystème pour aider à préserver la vie privée tout en ne brisant pas les utilisations clés sur le web.

Proposition

Chrome réintroduit une proposition visant à protéger les utilisateurs contre le suivi intersite via les adresses IP. Cette proposition est un proxy de confidentialité qui anonymise les adresses IP pour qualifier le trafic comme décrit ci-dessus.

Objectifs

  • Améliorer la protection de la vie privée des utilisateurs en évitant que leur adresse IP ne soit utilisée comme vecteur de suivi.
  • Minimiser les perturbations du fonctionnement normal des serveurs, y compris l'utilisation des adresses IP pour lutter contre les abus par des sites tiers, jusqu'à ce que d'autres mécanismes soient mis en place.

Proxy de confidentialité

Exigences fondamentales

  • l'origine de la destination ne voit pas l'adresse IP d'origine du client
  • le proxy et les intermédiaires du réseau n'ont pas connaissance du contenu du trafic.

Pour répondre à ces exigences, la présente proposition donne la priorité à l'acheminement du trafic des tiers éligibles par le biais du mandataire de protection de la vie privée.

Celui-ci utilisera CONNECT et CONNECT-UDP (avec MASQUE) pour transmettre le trafic. Il existe un tunnel crypté de bout en bout via TLS, de Chrome au serveur de destination.

Nous envisageons d'utiliser deux sauts pour améliorer la confidentialité. Un deuxième proxy serait géré par un CDN externe, tandis que Google gérerait le premier saut. Cela garantit qu'aucun proxy ne peut voir à la fois l'adresse IP du client et la destination. CONNECT et CONNECT-UDP prennent en charge le chaînage des mandataires.

Anti-abus

Le trafic de tiers par procuration pose plusieurs problèmes de lutte contre l'abus :

  • la défendabilité du proxy, un proxy compromis pouvant être utilisé pour déployer des attaques
  • perturbation des défenses DoS existantes
  • perturbation des défenses existantes pour la détection des fraudes et du trafic non valide.

Pour limiter l'utilisation abusive du proxy, nous envisageons l'ensemble non exhaustif de protections anti-abus suivant :

  • l'utilisateur s'authentifie auprès du proxy
    • cela nécessitera un compte d'utilisateur
    • les jetons d'authentification seront émis et échangés par le proxy

  • le proxy ne devrait pas être en mesure d'établir une corrélation entre le trafic et le compte de l'utilisateur
    • des signatures aveugles seront utilisées

  • limiter les abus en récoltant les jetons d'authentification
    • limitation du nombre de jetons par compte
    • expiration des jetons



Outre les mesures préventives, nous cherchons également à permettre aux sites web de signaler les dénis de service et autres abus. En outre, nous étudions activement de nouvelles défenses anti-abus pour permettre aux services tiers de prévenir les abus et les fraudes.

GéoIP

La géolocalisation basée sur l'IP est utilisée par un large éventail de services dans le cadre du trafic tiers proxy afin de se conformer aux lois et réglementations locales et d'offrir un contenu pertinent aux utilisateurs, tel que : la localisation du contenu (par exemple, la langue), l'attribution de cache local et le ciblage géographique des publicités. Pour répondre à ces besoins, le proxy de confidentialité attribuera des adresses IP qui représentent l'emplacement approximatif de l'utilisateur, y compris le pays.

À plus long terme

Les solutions à long terme évolueront et seront élaborées en collaboration avec l'écosystème. Nous collaborerons avec les FAI, les CDN, les tiers et les sites de destination en vue d'atteindre l'état final des mandataires de protection de la vie privée sur le web. Par exemple, les FAI et les CDN sont bien placés pour exploiter des proxys de protection de la vie privée.

Au fur et à mesure de l'évolution de la protection de la propriété intellectuelle, nous pensons que la politique aura un rôle à jouer dans la solution globale visant à résoudre le problème du contournement par les sites web. Le cas échéant, nous élaborerons une politique et demanderons l'avis de l'écosystème. Notre intention, dans le cadre de la proposition, est d'encourager les services web à rendre compte de l'utilisation et du partage des adresses IP des clients, compte tenu de la sensibilité de l'IP en tant que donnée d'identification. En créant de la transparence autour de l'utilisation des adresses IP, nous espérons promouvoir la responsabilité de l'industrie concernant la façon dont les adresses IP sont accessibles et utilisées dans l'écosystème du web.

Nous vous invitons à nous faire part de vos commentaires sur cette proposition, notamment en ce qui concerne certaines des questions ouvertes que nous examinons.
Source : Google

Et vous ?

Quel est votre avis sur cette annonce de Google ?
Selon vous, quelles sont les solutions à long termes pour concilier la protection de la vie privée des utilisateurs et la sécurité du web ?

Voir aussi :

Adieu les cookies tiers : Google va les remplacer par son nouveau système de publicité ciblée dès le premier trimestre 2024, pour 1% des utilisateurs de Chrome dans un premier temps

Google veut rendre les mots de passe obsolètes en faisant des "passkeys" l'option par défaut

Comment se préparer à la fin des cookies tiers, par Google. Google désactivera les cookiers tiers de 100% des utilisateurs à partir du troisième trimèstre 2024

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Matthieu_26
Membre régulier https://www.developpez.com
Le 25/10/2023 à 14:19
Associer Google et vie privée des utilisateurs... quel beau oxymore
9  0 
Avatar de Prox_13
Membre éclairé https://www.developpez.com
Le 25/10/2023 à 15:02
Citation Envoyé par Matthieu_26 Voir le message
Associer Google et vie privée des utilisateurs... quel beau oxymore
Je suis content qu'il n'y ait pas que moi que ça choque...

Issu d'un article paru début Septembre 2023 :
"Google has been gradually rolling out Chrome's "Enhanced Ad Privacy." That's the technology that, unless switched off, allows websites to target the user with adverts tuned to their online activities and interests based on their browser histories."
2  0