Lancée dans Chrome 89, l'implémentation expérimentale de la technologie FLoC, développée par Google pour remplacer les Cookies de suivi des mouvements, s'est heurtée à la résistance de la communauté. Après avoir mis en œuvre FLoC, Google prévoit de cesser complètement de prendre en charge les cookies tiers dans Chrome/Chromium qui sont définis lors de l'accès à des sites autres que le domaine de la page actuelle. FLoC est déjà testé de manière aléatoire sur un petit pourcentage d'utilisateurs de Chrome 90, et la prise en charge de FLoC est également incluse dans la base de code Chromium.
Selon les opposants à la mise en œuvre du FLoC, cette technologie, au lieu d'abandonner complètement le suivi des utilisateurs, ne fait que remplacer un type de ciblage par un autre et, tout en essayant de résoudre certains problèmes, en crée d'autres. Par exemple, FLoC crée des conditions de discrimination à l'encontre des utilisateurs en fonction de leurs préférences et de leurs points de vue.
Réaction de certains projets à l'intégration de FLoC dans la base de code Chromium :
- L'un des principaux développeurs du système de gestion de contenu WordPress, qui représente environ 40 % du marché des CMS, a suggéré de traiter FLoC comme un risque de sécurité et de profiter de la capacité de la spécification à interdire l'utilisation de FLoC et à désactiver la détection de l'intérêt des utilisateurs. informations pour des sites individuels. La désinscription de FLoC peut être activée côté site en définissant l'en-tête HTTP « Permissions-Policy : Interest-cohort=() ». Il est proposé d'activer par défaut une interdiction FLoC similaire dans toutes les instances de WordPress et de mettre à jour les modifications dans l'une des mises à jour pour éliminer les problèmes de sécurité.
Si la proposition est approuvée, tous les sites qui appliquent automatiquement les mises à jour WordPress verront FLoC désactivé par défaut. Pour ceux qui souhaitent utiliser FLoC, une option sera proposée pour désactiver la transmission de l'en-tête "Permissions-Policy: Interest-cohort=()". Il est également proposé d'ajouter une interdiction similaire de FLoC par défaut à la version majeure de WordPress 5.8, mais elle est prévue pour juillet et pourrait ne pas être à temps pour l'inclusion massive de FLoC, d'où la possibilité de désactiver FLoC via une mise à jour intermédiaire. est à l'étude.
Dans les commentaires, tout le monde n'était pas d'accord avec l'opportunité de publier une telle mise à jour, arguant que les problèmes de sécurité ne doivent pas être confondus avec les problèmes de confidentialité. L'abus des modifications proposées dans les mises à jour installées automatiquement peut entraîner une perte de confiance dans ces mises à jour.
- Les développeurs des navigateurs Vivaldi et Brave Browser ont refusé d'implémenter le support FLoC dans leurs produits, affirmant que leurs utilisateurs ont droit à la vie privée. Les représentants de Vivaldi ont également souligné que, pour appeler un chat un chat, FLoC n’est pas une technologie de confidentialité, comme Google essaie de le promouvoir, mais une technologie de suivi qui viole la vie privée.
- L'organisation de défense des droits humains EFF (Electronic Frontier Foundation) a lancé un site amifloced.org qui permet de détecter l'inclusion de FLoC dans le navigateur, ce qui donne à l'utilisateur la possibilité de comprendre s'il participe à l'expérience Google.
- Le moteur de recherche DuckDuckGo a critiqué FLoC et a ajouté le blocage FLoC au module complémentaire DuckDuckGo Privacy Essentials Chrome, et a également interdit l'utilisation de FLoC sur le site Web duckduckgo.com (DuckDuckGo Search) en définissant l'en-tête HTTP « Permissions-Policy : cohorte d'intérêt. =()” .
- Microsoft n'a pas encore commencé à activer FLoC dans le navigateur Edge, a adopté une approche attentiste et tente de développer sa propre technologie de suivi des préférences PARAKEET (Demandes privées et anonymisées d'annonces qui maintiennent l'efficacité et améliorent la transparence). L'essence de PARAKEET est l'utilisation d'un serveur proxy situé entre l'utilisateur et le réseau publicitaire. L'utilisateur se voit attribuer un identifiant unique, mais les informations le concernant ne sont reçues que par un proxy, qui ne transmet qu'un ensemble limité d'informations anonymisées au réseau publicitaire.
- Mozilla et Opera n'ont pas l'intention d'ajouter des implémentations FLoC à leurs produits. Apple n'a pas encore pris de décision finale concernant la mise en œuvre de FLoC dans Safari.
- Le bloqueur de publicités uBlock désactive désormais les requêtes FLoC par défaut. Un blocage FLoC similaire a été ajouté aux modules complémentaires Adguard et Adblock Plus.
Rappelons que l'API FLoC (Federated Learning of Cohorts) est conçue pour déterminer la catégorie d'intérêts des utilisateurs sans identification individuelle et sans référence à l'historique de visite de sites spécifiques. FLoC vous permet d'identifier des groupes d'utilisateurs ayant des intérêts similaires sans identifier les utilisateurs individuels. Les intérêts des utilisateurs sont identifiés à l’aide de « cohortes », de courtes étiquettes décrivant différents groupes d’intérêt. Les cohortes sont calculées côté navigateur en appliquant des algorithmes d'apprentissage automatique aux données d'historique de navigation et au contenu ouvert dans le navigateur. Les détails restent du côté de l’utilisateur et seules les informations générales sur les cohortes sont transmises à l’extérieur, reflétant les intérêts et permettant l’affichage de publicités pertinentes sans suivre un utilisateur spécifique.
Principaux risques associés à la mise en œuvre du FLoC :
- Discrimination basée sur les préférences des utilisateurs. Par exemple, les offres d’emploi et de prêt peuvent varier en fonction de l’origine ethnique, de la religion, du sexe et de l’âge. Les utilisateurs à court d’argent peuvent être ciblés pour des prêts à des taux d’intérêt gonflés, et le ciblage des données démographiques et des préférences politiques peut être utilisé pour rendre la désinformation plus crédible. Avec FLoC, les informations comportementales suivront l'utilisateur d'un site à l'autre et les données d'activité passées pourront être utilisées pour manipuler l'utilisateur lors de l'ouverture de sites.
- Il est possible de procéder à une ingénierie inverse de votre historique de navigation en fonction des données de cohorte. L'analyse de l'algorithme d'attribution des cohortes permettra de juger approximativement quels sites l'utilisateur était susceptible de visiter. Aussi, sur la base des cohortes, on peut tirer des conclusions sur l'âge, le statut social, l'orientation sexuelle, les préférences politiques, les difficultés financières ou le malheur vécu.
- L’émergence d’un facteur supplémentaire pour l’identification cachée du navigateur de l’utilisateur (« Browser Fingerprinting »). Bien que les cohortes FLoC couvrent des milliers de personnes, elles peuvent être utilisées pour améliorer la précision de l'identification du navigateur lorsqu'elles sont utilisées en combinaison avec d'autres données indirectes telles que la résolution d'écran, la liste des types MIME pris en charge, les paramètres spécifiques dans les en-têtes (HTTP/2 et HTTPS). , plugins et polices installés, disponibilité de certaines API Web, fonctionnalités de rendu spécifiques à la carte vidéo utilisant WebGL et Canvas, manipulations CSS, fonctionnalités de travail avec la souris et le clavier.
- Fournir des données personnelles supplémentaires aux trackers qui identifient déjà les utilisateurs. Par exemple, si un utilisateur est identifié et connecté à son compte, le service peut explicitement faire correspondre les données de préférences spécifiées dans une cohorte avec un utilisateur spécifique, et lorsque les cohortes changent, suivre la transformation des préférences.
De plus, on peut noter qu'en parallèle, les représentants du secteur de la publicité développent d'autres méthodes d'identification alternatives qui peuvent être utilisées pour suivre les utilisateurs si les cookies tiers sont bloqués dans Chrome. Par exemple, la société The Trade Desk a proposé la technologie UID2 (Unified Identifier), qui met en œuvre un mécanisme d'identification des utilisateurs qui fonctionne en coopération avec les propriétaires de sites. L'identifiant UID2 est généré sur la base des informations fournies par l'utilisateur lors de son inscription sur le site, telles que l'e-mail, le numéro de téléphone ou les informations de compte de réseau social. Sur la base du cryptage du contenu UID2, le coordinateur de l'infrastructure crée un jeton que le propriétaire du site peut transférer aux réseaux publicitaires. Les réseaux publicitaires autorisés peuvent obtenir les clés pour déchiffrer le jeton et obtenir l'UID2 d'origine, qui peut être utilisé pour créer un profil utilisateur global regroupant les informations provenant de différents emplacements.
Source: opennet.ru