Site icon Sophos News

Suppression des paramètres liés à la protection de la vie privée : vives critiques visant Chrome, Safari et Opera

lien hypertexte

C’est une fonctionnalité au niveau du navigateur dont peu d’utilisateurs ont entendu parler, mais les versions à venir de Chrome, Safari et Opera sont en train de supprimer la possibilité de désactiver la possibilité de suivi ignorée depuis longtemps, appelée le ping d’audit de lien hypertexte.

Il s’agit d’une fonctionnalité HTML établie de longue date et définie comme un attribut, à savoir la variable ping, qui transforme un lien en une URL pouvant être suivie par les propriétaires de sites web ou les annonceurs pour surveiller sur quoi les utilisateurs cliquent.

Lorsqu’un utilisateur suit un lien configuré pour fonctionner de la sorte, un ping HTTP POST est envoyé à une seconde URL qui enregistre cette interaction sans révéler à l’utilisateur ce qui se produit réellement.

Bien sûr, il s’agit d’une des nombreuses techniques utilisées pour suivre les utilisateurs, mais celle-ci a longtemps préoccupé les experts en protection de la vie privée. C’est pourquoi les bloqueurs de publicité tiers l’ont souvent inclus par défaut dans leur liste de blocage.

Jusqu’à présent, le navigateur lui-même était un moyen encore plus simple de bloquer ces pings. Pour ce faire, dans le cas de Chrome, Safari et Opera, vous définissez un flag (par exemple dans Chrome vous tapez chrome://flags et paramétrez l’audit de lien sur ‘désactivé’).

Notez cependant que ces navigateurs autorisent toujours l’audit de lien hypertexte par défaut, signifiant ainsi que les utilisateurs doivent connaître ce paramètre pour le modifier. Il semble que très peu le fassent.

En revanche, Firefox a désactivé l’indicateur (flag) d’audit de lien hypertexte par défaut à partir de la version 30 en 2008, date à laquelle les utilisateurs ont dû l’activer via about:config> browser.send_pings, en le basculant sur ‘true’.

Alors qu’est-ce qui change ?

Il semble maintenant que les utilisateurs de Chrome et Opera ne seront bientôt plus en mesure de modifier la valeur par défaut, laissant ainsi l’audit de lien hypertexte activé en permanence, ce qui est déjà le cas pour les utilisateurs de Safari.

Les navigateurs ne se sont pas réellement précipité pour annoncer ce changement, mais quelques développeurs l’ont remarqué, notamment Jeff Johnson connu pour son extension de navigateur StopTheMadness.

Selon Johnson, Safari 12.1 a récemment supprimé ce paramètre, le paradoxe étant qu’Apple continue de promouvoir la protection de la vie privée comme l’une de ses vertus premières :

Apple affirme que Safari est censé protéger votre vie privée et empêcher le suivi intersite, mais l’audit de lien hypertexte est une porte ouverte vers le suivi intersite qui existe toujours.

Quant à Chrome :

On m’a informé que chrome://flags#disable-hyperlink-auditing est maintenant absent des versions bêta de Google Chrome, même si cette fonctionnalité existe toujours dans la version actuelle (non-bêta). Le flag a été retiré du code source il y a un peu plus d’un mois.

Les versions Bêta de Chrome 74 (qui seront disponibles plus tard ce mois-ci) a abandonné ce flag, tout comme Opera, qui est construit sur le même moteur Chromium et a suivi de près les modifications apportées à ses versions ‘développeur’.

Pour ceux qui s’interrogent à propos de Microsoft Edge, apparemment il active l’audit de lien hypertexte et n’offre aucun mécanisme pour le désactiver. Etant donné qu’Edge envisage de passer à Chromium prochainement, cela était de toute façon inévitable.

Le contre-argument est que très peu d’utilisateurs se sont donné la peine de modifier les paramètres par défaut du navigateur concernant ce type de suivi. Par conséquent, les supprimer complètement ne sera pas une grande perte.

Bien que cela soit vrai, il se peut aussi que les utilisateurs n’aient jamais entendu parler de cette fonctionnalité ou se soient tout simplement résignés en acceptant l’idée d’être suivi, car c’est ainsi que le web semble fonctionner.

Bien que l’audit de lien hypertexte paraisse sournois, il s’agit de l’une des formes de suivi les plus inoffensives. Comme il s’appuie sur du HTTP pur, il n’y a pas de code Javascript pour ralentir votre navigateur, et les cookies nécessaires pour lier deux demandes, ou plus, à la même personne sont facilement bloqués par les paramètres du navigateur ou des plugins.

Le navigateur Brave de Brendan Eich ou Firefox continuent de permettre aux utilisateurs de désactiver complètement les pings d’audit.


Billet inspiré de Chrome, Safari and Opera criticised for removing privacy setting, sur Sophos nakedsecurity.

Exit mobile version