Que vaut l'Intelligent Tracking Prevention de Safari 11 ?

À la conférence des développeurs (WWDC) de cette année, Apple a dévoilé une nouvelle version de son navigateur web Safari, dont le moteur (WebKit) intègrera désormais un système intelligent de prévention du tracking à travers plusieurs sites web. Apple vante ce système sur son site, mais que vaut-il réellement ?

Vous vous rappelez avoir regardé en ligne ce joli VTT vert ? Et avoir vu ensuite fleurir partout, sur tous les sites que vous avez visités, des pubs pour des VTT verts ? Désormais, Safari utilise une technologie d’apprentissage automatique pour identifier les publicitaires et tous ceux qui suivent à la trace votre comportement en ligne, et supprimer les données de traçage d’un site à l’autre. Parce que votre navigation ne regarde que vous.

Le tracking fonctionne grâce à des ressources (comme des images ou des bouts de code qu’on appelle scripts) que le navigateur web télécharge depuis un autre site qui n’appartient pas au site visité. Par exemple, si vous visitez le site d’un quotidien, les boutons de partage vers les réseaux sociaux sont en principe des ressources chargées depuis ces réseaux sociaux. Ces boutons placent un cookie sur votre appareil et le réseau social est ensuite capable de vous pister sur tous les autres sites que vous visiterez où ses propres boutons sont utilisés. Vos données de navigation (entre autres) sont donc collectées et permettent ensuite de vous profiler afin de vous servir de la publicité ciblée.

Le système de prévention de Safari collectera des données statistiques sur ces ressources de tiers chargées par le navigateur ainsi que les interactions de l’utilisateur (clics, texte écrit, etc.). En utilisant des techniques de machine learning, le système sera capable de déterminer quels sites (tiers) ont la possibilité de tracer l’utilisateur et de les classer dans différentes catégories. Ces différents traitements de données ont lieu sur l’appareil de l’utilisateur.

Si un site tiers est identifié comme suivant à la trace l’utilisateur, plusieurs options sont possibles.

  1. Si l’utilisateur n’interagit pas directement avec le traqueur pendant 30 jours, les données relatives à ce site (cookies, cache, etc.) seront effacées et si de nouvelles données sont ajoutées ensuite, elles seront ensuite effacées à nouveau.
  2. Si l’utilisateur interagit directement avec le traqueur (par ex. en visitant son site web), Safari ajustera son mécanisme de purge de données. En particulier, les cookies du traqueur seront utilisables par celui-ci en tant que site tiers dans les 24 heures après la visite du site du traqueur par l’utilisateur.

En d’autres termes, ce sont surtout les cookies destinés au pistage des internautes sur la durée qui sont visés par le système de prévention. (Pour plus d’informations techniques)

Une semaine après l’annonce par Google de l’intégration dans son navigateur Chrome d’un bloqueur de publicités (ennuyantes et intrusives), Apple fait l’inverse en ne bloquant pas l’affichage des publicités, mais s’attaque plutôt au ciblage de ces dernières. En effet, Google préfère afficher moins de publicités, mais être néanmoins capable de vous cibler plus précisément en collectant un maximum de données.

Au vu de ce qui précède, le système d’Apple ne semble viser que les traqueurs avec lesquels les internautes n’interagissent jamais (à l’instar des data-brokers, par exemple). Ainsi, Google, Facebook et Twitter ne sont pas visés par Apple ici, puisque ces services suivent les utilisateurs à la trace, mais ces derniers visitent leurs sites web respectifs. Pour résumer, si vous visitez google.ch régulièrement, les cookies liés à ce nom de domaine ne seront jamais effacés automatiquement ; mais si google.ch installe des cookies à partir d’un autre nom de domaine comme gstatic.com, les cookies liés à ce dernier seront effacés.

Apple a clairement peu à perdre en mettant des bâtons dans les roues des traqueurs et sociétés qui vivent de leurs revenus publicitaires. Ce système de prévention semble partir d’une bonne intention et pourrait avoir un impact sur les traqueurs et publicités intrusifs qui poussent les internautes (comme moi) à installer des bloqueurs de publicités. Il met en balance la protection de la vie privée et un certain confort de navigation pour les internautes. Mais il ne bloquera pas l’affichage des publicités et pour cause : ce n’est pas un bloqueur de pub, mais une mesure visant à compliquer le ciblage.

Il serait intéressant qu’Apple pousse l’idée plus loin et propose un système similaire pour compliquer le fingerprinting et d’autres méthodes de tracking alternatives aux cookies…