Le projet "Web Environment Integrity API" (WEI) de Google est mort avant même d'avoir vu le jour. Google a annoncé qu'il n'ira pas loin dans le développement de cette technologie controversée censée lutter contre la fraude et les abus en ligne. Annoncé pour la première en mai, le projet a été vivement décrié par les différents acteurs du Web, les critiques ayant affirmé que la technologie ressemblait horriblement à une gestion des droits numériques (DRM) pour les sites Web. Les critiques ont allégué qu'il s'agissait d'une attaque sérieuse contre le Web ouvert et que cela violait potentiellement les règlements en matière de protections des données en vigueur dans l'UE et ailleurs.L’API d’intégrité de l’environnement Web (Web Environment Integrity API) propose "un nouveau moyen de déterminer si les navigateurs sont dignes de confiance, afin de lutter contre la fraude criminelle et d'autres comportements répréhensibles". Elle permet à un navigateur de prouver qu'il fonctionne conformément aux attentes de l'exploitant du site Web et qu'il n'a pas été manipulé. Ain, si vous avez un site Web qui propose des jeux en ligne et que vous voulez vous assurer qu'aucun joueur ne triche, vous pouvez utiliser la norme WEIA pour déterminer que les clients connectés sont authentiques, légitimes et qu'ils n'exécutent pas de code de triche.
Il en va de même pour les sites Web qui ne veulent pas que des robots automatisés publient ou aiment des messages. Selon Google, l'engagement doit se faire par le biais d'un navigateur accepté et non modifié. Google affirme que cela permettrait de lutter contre la fraude publicitaire, les bots sur les réseaux sociaux, le phishing, la violation des droits d’auteur, la triche dans les jeux Web et améliorerait la sécurité des transactions financières. Le standard fonctionnerait en demandant au client de passer un test d’attestation d’environnement auprès d’un serveur tiers, qui lui délivrerait un jeton d’intégrité s’il est conforme aux exigences du site Web.
Mais le projet a suscité de nombreuses préoccupations de la part des utilisateurs et des défenseurs du Web ouvert. L'initiative commence à faire glisser le navigateur Web vers une époque où seuls les navigateurs autorisés et officiellement publiés seront acceptés par les sites Web. Cela laisse penser que Google prévoit un avenir où les sites Web pourraient bénéficier d'une forme de DRM. Et comme le projet Chromium sert de base non seulement à Google Chrome, mais aussi à Microsoft Edge, Brave et à un certain nombre d'autres navigateurs usités, cette proposition pourrait avoir un large effet sur le Web si elle était déployée et adoptée à l'avenir.
Selon les détracteurs du projet, il pourrait porter atteinte à la vie privée et au choix des internautes, en les forçant à utiliser un logiciel spécifique et en les empêchant d’accéder à certains contenus selon leur environnement. Comme l'explique Google lui-même, pour fonctionner, le système devrait vérifier, par le biais d'une attestation, si la pile logicielle et matérielle du visiteur d'un site répond à certains critères et est donc authentique. Tout est bien jusqu'à ce qu'on en abuse pour refuser l'accès aux visiteurs dont la configuration ne plaît pas au propriétaire au propriétaire du site, par exemple s'ils utilisent un bloqueur de contenu ou un téléchargeur de vidéo.
L'API pourrait être utilisée pour limiter la liberté sur le Web, en donnant aux sites Web ou à des tiers un droit de regard sur le navigateur et la pile logicielle utilisés par les visiteurs. Les Googlers à l'origine de l'API ont publié un projet de spécification en juillet, affirmant : « l'API d’intégrité de l’environnement Web permet aux agents utilisateurs de demander des verdicts d'un assesseur pouvant être utilisé pour vérifier l'intégrité de l'environnement Web. Ces verdicts sont transmis à une partie se fiant à l'information, qui en valide l'authenticité. L'intégrité de l'environnement Web est mieux adaptée à la détection des environnements Web trompeurs ».
Mais cela a suscité un flot de critiques de la part de la communauté technique. Les Googlers concernés ont alors limité le nombre de personnes autorisées à poster des commentaires sur la base de données du projet et le développement public du projet a cessé. Trois mois plus tard, après des demandes sporadiques sur le statut du projet, Google a modéré ses ambitions. Au lieu de l'API prévue initialement dans la première forme du projet, la chocolaterie prévoit désormais de travailler sur une version plus limitée de la technologie pour Android WebViews, une version de son navigateur Chrome qui peut être intégrée dans les applications Android.
« Nous avons entendu vos commentaires et la proposition d'intégrité de l'environnement Web n'est plus prise en compte par l'équipe Chrome », a déclaré jeudi l'équipe Android de Google. L'équipe Chrome a maintenant soumis un commit pour revenir sur le code du projet qui était parvenu jusqu'au navigateur de l'entreprise. L'équipe Android se concentre désormais sur l'API Android WebView Media Integrity, qui fournit une forme similaire d'attestation, mais uniquement pour les WebViews intégrées dans les applications Android. Elle a déclaré qu'il s'agit d'une forme d'extension des fonctionnalités existantes déjà sur les appareils pilotés par Android.
« Il s'agit simplement d'une extension des fonctionnalités existantes sur les appareils Android dotés de Google Mobile Services (GMS) et il n'est pas prévu de l'offrir au-delà des médias intégrés, tels que la vidéo et l'audio en continu, ou au-delà des WebViews Android », a déclaré l'équipe d'Android. L'équipe note que la possibilité pour les applications Android d'intégrer des pages Web qui intègrent des fichiers multimédias présente des avantages, mais qu'elle ouvre également la voie à la fraude. Elle estime que des développeurs peu scrupuleux peuvent en effet intervenir sur le contenu intégré et sur la manière dont les utilisateurs interagissent avec celui-ci.
L'API "Android WebView Media Integrity" vise à garantir à ceux qui intègrent des médias dans des WebViews que leurs ressources - telles que les médias en continu - sont affichées dans l'application où elles ont été intégrées et non dans l'application non fiable d'un tiers inconnu. Les fournisseurs de médias qui souhaitent tester ce processus peuvent s'inscrire à un programme d'accès anticipé prévu pour l'année prochaine. Bien que Google annonce qu'il s'agit ici d'une version modérée du projet initial, les promesses de l'entreprise suscitent le scepticisme chez les critiques. Dans les commentaires, l'on estime que Google n'a pas renoncé au projet.
« C'est peut-être moins nocif que la proposition originale, mais nous sommes toujours en présence d'un DRM, et désormais il n'y a plus de processus de normalisation, donc nous n'avons pas beaucoup de détails sur la façon dont cela fonctionnera. Honnêtement, cette annonce devrait susciter plus de scepticisme que ce que j'ai vu sur les forums. Je ne dis pas que c'est aussi mauvais, je dis juste que nous devrions nous demander dans quelle mesure cela va améliorer la sécurité pour les utilisateurs finaux ou si cela va juste se transformer en un DRM pour permettre aux applications Web intégrées d'agir comme des applications natives », a écrit un critique.
Un deuxième critique a écrit : « pour moi, cela ressemble à : "nous allons le développer et le tester de toute façon, et nous essaierons de le standardiser à nouveau le moment venu" ». Un autre a écrit : « on dirait qu'ils ont eu trop de mauvaise presse et de réactions hostiles avec le plan A, alors ils passent au plan B et espèrent faire bouillir la grenouille proverbiale lentement au fil du temps. L'ingénieur en sécurité...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.