Environnement de comparaison de la protection par défaut des navigateurs

Chaque navigateur propose des mécanismes de protection allant du blocage complet activé par défaut à un simple paramétrage dans les options pour bloquer l’ensemble des cookies. La situation analysée dans cet article correspond à un parcours des 100 sites à plus forte audience en France suivant le Top Alexa (de fin 2022) sans interactions sur la page, c’est-à-dire sans consentir aux traceurs non-nécessaires au bon fonctionnement des sites.

Afin que l’analyse comparative soit la même pour tous les navigateurs, l’ensemble des parcours sur les différents navigateurs (Brave, Chrome, Edge, Firefox, Opera et Safari) s’est déroulé dans sur une session "invitée" avec un historique de navigation vide. Le seul paramétrage effectué est la désactivation des demandes de notifications et des demandes d'autorisations (microphone, webcam, localisation) afin que ces demandes n’interrompent pas le parcours de navigation automatisé.

Les tests ont été effectués sur un système d’exploitation MacOS Ventura (13.2.1) en utilisant Automator. Les scripts « Automator » sont par ailleurs disponibles sur la forge du projet afin que chacun puisse reproduire ces tests. A l’issue de chaque session de navigation, les archives de navigation au format HAR (Http Archive format)) ont été exportées.

Dans les cas de Firefox et Safari, un enregistrement global du HAR n’était pas possible et il a été nécessaire de regrouper tous les HAR de chacun des sites visités. Comme pour l’observatoire des cookies, la comparaison entre les navigateurs se réalise suivant trois indicateurs illustrant respectivement l’ensemble des lectures et écritures de cookies sur le navigateur par des tiers sur les sites visités (« graphe des communications »), le nombre de tiers ayant inscrit/lu des cookies par sites (graphique de type « histogramme ») et le suivi potentiel des tiers sur la visite (graphique de type « voronoi »).

Les spécificités de certains navigateurs

Etant donné que Safari ne permet pas d'enregistrer les fichiers HARs créés à l'issue de la visite de plusieurs sites, nous avons dû utiliser une approche différente : Automator visite une page, ouvre l'inspecteur de trafic, recharge la page et enregistre le trafic.

Pour Firefox, nous nous sommes rendus comptes que les HARs générés par Firefox ne contenaient pas les URLs des sites visités mais seulement leurs titres (comme le suggère d'ailleurs la norme). Les équipe de Mozilla ont créé un ticket et nous ont transmis une version provisoire corrigeant ce "bug".

Dans ces graphiques, nous avons agréger les résultats de la navigation. Il est important de noter que pour Chrome et Opéra, les résultats sont arrondis. Même en automatisant la navigation et en répétant plusieurs fois le parcours, nous avons obtenus des résultats différents au cours de différents tests, nous avons donc arrondis à 60 le nombre de cookies déposés mais il peut y en avoir un peu plus. Ce graphique permet donc d’avoir une idée des ordres de grandeur mais ne correspond pas, pour ces deux navigateurs, à des valeurs précises. Ce graphique représente le nombre total de requêtes contenant des cookies "traceurs".

Brave et Safari empêchent effectivement les cookies de faire du suivi. Chrome et Opéra ne semblent pas bloquer du tout de cookies. Sur Edge, seuls les cookies des sites qui ont déjà été visités peuvent passer. Par conséquent certains cookies sont bloqués par Edge mais d’autres passent et sur Firefox seul un cookie est présent sur trois sites différents. Les explications d'Opéra et de Mozilla concernant leurs navigateurs sont disponibles ci-dessous. De manière similaire, quand on étudie sur combien de sites les différents navigateurs sont tracés, on observe que Chrome et Opéra n'empêchent pas, par défaut, les cookies de suivre les internautes. Edge réduit de façon significative le périmètre de suivi des internautes. Enfin Brave et Safari empêchent tout type de suivi fondé sur les cookies.

De manière similaire, quand on étudie sur combien de sites les différents navigateurs sont tracés, on observe que Chrome et Opéra n'empêchent pas, par défaut, les cookies de suivre les internautes. Edge réduit de façon significative le périmètre de suivi des internautes quand Brave et Safari empêchent tout type de suivis fondé sur les cookies.

Opera : (traduction par le LINC, la version originale est ici) "Nous saluons cette initiative et partageons le constat qu’il est important pour les utilisateurs d’être informés de la collecte de leurs données en ligne. Nous pensons également qu’il est important d’éduquer et de mettre en capacité les utilisateurs, nous supportons tous les efforts qui vont en ce sens.

C’est aussi ce qui a conduit l’approche que nous avons choisi dans nos navigateurs. Opéra embarque des fonctionnalités qui bloquent les publicités et les traceurs, mais les tests effectués ici l’ont été sans que ces fonctionnalités ne soient activées. Notre approche consiste à informer les utilisateurs de l’existence de ces paramètres lors de la première installation et à les encourager à les activer plutôt que de les cacher derrière un écran de paramétrage.

Nous pensons que cette approche est plus effective que de simplement tout activer par défaut. Notre parcours d’initialisation ne peut pas être ignoré et par conséquent les utilisateurs ne peuvent pas passer à côté de ces fonctionnalités. Notre objectif est qu’au moment où ils commencent à utiliser le navigateur, les utilisateurs soient mieux informés et donc mieux protégés.

Comme indiqué dans l’article, il y a un équilibre à trouver entre le blocage des traceurs et une expérience dégradée. Un blocage trop agressif peut casser les fonctionnalités de certains sites et avoir un impact négatif pour les utilisateurs qui n’ont pas les compétences pour identifier ce problème. Notre approche fournit un meilleur équilibre entre informer les utilisateurs et les protéger tout en leur garantissant une bonne expérience.

Nous prenons en compte les retours de la communauté et réévaluons constamment nos procédures pour améliorer nos produits et fournir une expérience positive et sécurisée à tous nos utilisateurs dans un web qui évoluent rapidement et dans lequel il semble que les cookies tiers vont avoir de moins en moins d’importance"

Mozilla/Firefox : Mozilla met en œuvre une série de mesures pour protéger nos utilisateurs contre le pistage en ligne tout en empêchant les dysfonctionnements de sites. Un des mécanismes que nous utilisons pour fournir cette protection divise le stockage d’un site tiers en différentes partitions afin d’isoler les cookies pour qu’ils ne puissent pas vous pister d’un site à l’autre (Protection Totale contre les Cookies). Chaque fois qu'un site Web, ou un contenu tiers intégré dans un site Web, dépose des données (y compris un cookie) dans Firefox, ces données sont confinées dans une « boîte à cookies » assignée à ce site Web. Ces données ne peuvent être partagées avec un autre site Web, empêchant ainsi la plupart des méthodes courantes de pistage utilisées par les cookies tiers.

Diviser le stockage d’un site tiers en différentes partitions plutôt que de bloquer les cookies permet de réduire le nombre de dysfonctionnements des sites Web, garantissant ainsi que les utilisateurs n'aient pas à sacrifier leur expérience Web pour une meilleure protection de la vie privée. Cependant, les modifications apportées à la manière dont les navigateurs traitent les cookies peuvent surprendre les sites qui se sont habitués à utiliser des cookies tiers. Firefox atténue cela en utilisant des heuristiques et des listes temporaires d'autorisations pour garantir que les utilisateurs puissent continuer à utiliser ces sites Web sans interruption pendant que nous enquêtons sur la raison de ces dysfonctionnements. Les cookies tiers détectés sur Firefox durant l'analyse de la CNIL étaient liés à cette liste temporaire d'autorisations pour permettre un mécanisme d’authentification, comme on peut le voire sur le rapport de développement publique. La résolution pour ce problème de compatibilité est complétée et actuellement sur notre canal “Beta” en attente de déploiement vers tous nos utilisateurs fin Septembre sur Firefox 118.