Ben Mazue

Qu’est-ce qu’la mise à jour des cookies SameSite de Chrome ?

Partager l'article

Le 4 février, Google est sur le point de déployer une nouvelle mise à jour de Chrome qui promet un tas de nouvelles fonctionnalités conçues pour rendre le navigateur plus rapide et plus sûr, y compris une nouvelle approche des cookies.

La mise à jour SameSite obligera les propriétaires de sites Web à indiquer explicitement les cookies tiers pouvant être utilisés sur d’autres sites. Les cookies sans l’étiquetage approprié ne fonctionneront pas dans le navigateur Chrome, qui représente 64 % du marché global des navigateurs, selon Stacounter.

Quel est le changement ?

Google a annoncé pour la première fois en mai de l’année dernière que les cookies qui n’incluent pas les étiquettes « SameSite=None » et « Secure » ne seront pas accessibles par des tiers, tels que les sociétés de technologie publicitaire, dans Chrome version 80 et au-delà. Le label Secure signifie que les cookies doivent être définis et lus via des connexions HTTPS.

À l’heure actuelle, la valeur par défaut du cookie Chrome SameSite est : « Aucun », ce qui permet aux cookies tiers de suivre les utilisateurs sur les sites. Mais à partir de février, les cookies seront par défaut « SameSite=Lax », ce qui signifie que les cookies ne sont définis que lorsque le domaine dans l’URL du navigateur correspond au domaine du cookie – un cookie propriétaire.

Tout cookie avec l’étiquette « SameSite=None » doit également avoir un indicateur sécurisé, ce qui signifie qu’il ne sera créé et envoyé que via des requêtes effectuées via HTTPs. Pendant ce temps, la désignation « SameSite=Strict » restreint complètement le partage entre sites, même entre différents domaines appartenant au même éditeur.

Firefox de Mozilla et Edge de Microsoft annoncent qu’ils adopteront également la valeur par défaut SameSite=Lax.

Pourquoi Google fait-il cette mise à jour ?

Les cookies tiers peuvent rendre les personnes vulnérables au suivi malveillant, à la fuite de données et peuvent également les rendre vulnérables à ce que l’on appelle des attaques de falsification de requêtes intersites. Un utilisateur peut cliquer sur un lien néfaste dans un e-mail qui permet à un acteur malveillant de se connecter à son site Web bancaire, par exemple.

« Afin de déplacer l’écosystème Web vers un endroit plus sain, nous modifions le comportement par défaut lorsque SameSite n’est pas spécifié pour passer automatiquement par défaut à une option plus sécurisée plutôt qu’à une option moins sécurisée », a déclaré un porte-parole de Google.

Que doivent faire les éditeurs pour se préparer pour février ?

Les éditeurs peuvent commencer à tester si leurs sites sont affectés en accédant à chrome://flags et en activant #same-site-by-default-cookies et #cookies-without-same-site-must-be-secure pour voir si quelque chose ne fonctionne pas. Ils doivent également migrer vers des pages sécurisées HTTPS, s’ils ne l’ont pas déjà fait.

Google encourage les éditeurs à examiner les alertes dans leurs outils de développement pour vérifier si les fournisseurs, y compris les fournisseurs de technologie publicitaire et d’analyse, définissent ou accèdent à des cookies tiers sur leurs sites sans l’étiquetage correct.

Quels sont les risques ?

Parfois, les éditeurs utilisent des cookies tiers pour les connexions et la mémorisation des préférences des utilisateurs alors qu’ils devraient vraiment utiliser des cookies propriétaires, selon Kevin Joyner, directeur de la planification et des informations à l’agence de marketing numérique Croud. Cela a tendance à se produire lorsqu’un éditeur possède un certain nombre de sites Web et de domaines différents. Les éditeurs qui cherchent à maintenir des authentifications uniques couvrant plusieurs domaines doivent donc s’assurer que leur configuration de cookies est compatible.

Les retombées potentielles les plus importantes pourraient concerner les fournisseurs qui ont créé des bases de données d’audience dépendantes des cookies. Adobe, par exemple, a averti dans un article de blog que la correspondance des cookies pourrait diminuer pour ses clients Audience Manager car il est possible que certains de ses partenaires n’apportent pas les modifications nécessaires à temps.

« Le problème est que les nouveaux cookies standard ne seront pas compatibles avec l’ancien cookie », a déclaré Joyner. « Cela signifie que le pool de marketing est soudainement inutile. »

Est-ce le début de l’apocalypse des cookies ?

Pas assez. Les experts sont divisés sur la question de savoir si la mise à jour de SameSite est un précurseur du renforcement par Google de ses politiques plus larges en matière de cookies, dans le même sens que la prévention intelligente du suivi d’Apple et la protection renforcée contre le suivi de Firefox, notamment parce que Google a sa propre entreprise de publicité à protéger.

Chrome offre déjà aux utilisateurs la possibilité de bloquer les cookies tiers et d’effacer tous leurs cookies. Le changement SameSite devrait permettre aux utilisateurs un contrôle plus nuancé de leurs paramètres de confidentialité, car les cookies propriétaires et tiers seront désignés avec plus de précision – afin qu’ils puissent effacer les cookies de suivi des publicités sans affecter leurs informations de connexion et leurs préférences sur le site.

Mais plus loin sur la ligne, Google a déjà fait allusion à ce à quoi pourrait ressembler un site Web sans cookies. Lors de la conférence des développeurs Chrome de l’année dernière en novembre, Michael Kleber, un ingénieur logiciel de Google qui travaille sur la confidentialité et la prévention du suivi dans Chrome, a parlé du passage des cookies à des « API plus adaptées » qui ne permettent pas un suivi sans entrave des individus à travers la toile. Chrome explore également des techniques telles que l’apprentissage fédéré des cohortes pour continuer à permettre aux publicités comportementales de fonctionner.

Les derniers articles