Apple a refusé des API Web dans Safari pour des questions de vie privée

Spread the love
Apple a refusé des API Web dans Safari pour des questions de vie privée

Apple a déclaré cette semaine acoir refusé de mettre en œuvre 16 nouvelles technologies web (Web API) dans Safari parce qu’elles représentaient une menace pour la vie privée des utilisateurs en ouvrant de nouvelles voies pour le tracking publicitaire.

Parmi les technologies qu’Apple a refusé d’inclure dans Safari, on peut citer

publicité

Apple affirme que ces 16 API Web ci-dessus permettraient aux publicitaires en ligne et aux sociétés d’analyse de données de créer des scripts de “fingerprinting” des appareils.

La technique dite du “fingerprinting” des utilisateurs utilise des scripts qu’un annonceur charge et exécute dans le navigateur de chaque utilisateur. Ces scripts exécutent un ensemble d’opérations standard, généralement par rapport à une API Web commune ou à une fonction de navigateur Web commune, et mesurent la réponse.

Comme chaque utilisateur a une configuration différente de son navigateur et de son système d’exploitation, les réponses sont uniques pour chaque appareil. Les annonceurs utilisent cette réponse unique (empreinte), associée à d’autres empreintes et points de données, pour créer des identifiants uniques pour chaque utilisateur.

Au cours des trois dernières années, le fingerprinting des utilisateurs est devenue la méthode standard de pistage des utilisateurs pour le marché de la publicité en ligne.

Le passage à cette technique de pistage des utilisateurs s’est fait au fur et à mesure que les fabricants de navigateurs ont déployé des fonctions anti-pistage qui ont limité les capacités et la portée des cookies tiers (de suivi).

Certains éditeurs de navigateurs ont également déployé des contre-mesures pour empêcher les opérations de “fingerprinting” par les méthodes les plus courantes — telles que les polices, le canevas HTML5 et WebGL — mais tous les vecteurs de “fingerprinting” des utilisateurs ne sont pas actuellement bloqués.

En outre, de nouveaux sont constamment créés à mesure que les fabricants de navigateurs ajoutent de nouvelles API Web à leur code.

Actuellement, Apple a identifié les 16 API Web ci-dessus comme faisant partie des pires. Cependant, l’editeur du navigateur Safari a déclaré que si l’une de ces nouvelles technologies “réduisait sa portée en cours de route”, il reconsidérerait l’ajout de celle-ci à Safari.

“La première ligne de défense de WebKit contre le fingerprinting est de ne pas mettre en œuvre des fonctionnalités web qui permettent cette technique et n’offrent aucun moyen sûr de protéger l’utilisateur”, a déclaré M. Apple.

Pour les API Web déjà mises en œuvre dans Safari des années auparavant, Apple affirme qu’elle s’efforce de limiter les risques de fingerprinting. Apple a ainsi annoncé :

  • Suppression de la prise en charge des polices personnalisées. Cela signifie que seules les polices intégrées, qui sont les mêmes pour tous les utilisateurs du même système, seront présentées.
  • Suppression des informations relatives aux mises à jour mineures du logiciel dans la chaîne de l’agent utilisateur. Cette chaîne ne change qu’en fonction de la version commerciale de la plate-forme et du navigateur.
  • Suppression du paramètre “Do not track” qui, ironiquement, était utilisé pour le fingerprinting, ajoutant ainsi un caractère unique aux utilisateurs qui l’avaient activé.
  • Suppression de la prise en charge des plug-ins sous MacOS. Les autres versions bureau du navigateur peuvent avoir un comportement différent. (Les plug-ins n’ont jamais existé sur iOS).
  • Exiger une autorisation de l’utilisateur pour les sites web afin d’accéder aux API d’orientation/mouvement des appareils mobiles, car la nature physique des capteurs de mouvement peut permettre l’identification des appareils.
  • Empêcher le fingerprinting des caméras et des microphones connectés grâce à l’API de communication en temps réel sur le web (WebRTC).

Source : “ZDNet.com”

Leave a Reply