Microsoft Edge se débarrasse des cookies tiers : il y aura-t-il un remplacement ?
À l'instar de Google Chrome, Microsoft Edge a annoncé l'abandon progressif des cookies tiers. Dans les mois à venir, Microsoft a déclaré qu'il prévoyait de commencer à tester l'arrêt de l'utilisation des cookies tiers par Edge, en commençant par 1 % des utilisateurs. Ces cookies, qui étaient autrefois le pivot de la publicité ciblée, ont joué un rôle déterminant dans l'élaboration de profils d'utilisateurs complexes.
Historiquement, les cookies tiers - de minuscules fichiers de données placés sur votre navigateur par des sites autres que celui que vous visitez - ont permis aux annonceurs de suivre vos visites sur toutes les plateformes où ils font de la publicité. C'est pourquoi le rôle du cookie de "traçage" dans l'émergence d'une économie de la surveillance où les données des utilisateurs sont traitées comme une marchandise sur laquelle ils n'ont aucun contrôle peut difficilement être surestimé.
Mais au fur et à mesure que les utilisateurs se soucient davantage de leur vie privée et que les autorités de régulation - principalement dans l'Union européenne et en Californie - commencent à examiner de près le traitement des données personnelles, le cookie tiers recule régulièrement.
La décision prise par Google Chrome au début de l'année d'éliminer progressivement les cookies tiers, après de multiples retards, a été un coup dur, sonnant effectivement le glas de cette technologie de suivi.
Compte tenu de la domination de Chrome sur le marché des navigateurs, il n'est pas surprenant que Microsoft Edge lui ait emboîté le pas. Par ailleurs, des navigateurs comme Apple Safari et Mozilla Firefox, ainsi que des navigateurs axés sur la protection de la vie privée comme Brave, bloquent déjà par défaut et de manière proactive les cookies tiers.
Qu'est-ce qui remplace les cookies ?
À la place des cookies, Google a proposé l'API Protected Audience, dans le cadre de son initiative Privacy Sandbox. L'objectif déclaré du Privacy Sandbox est de maintenir le ciblage publicitaire aussi efficace qu'auparavant, mais de le rendre plus respectueux de la vie privée. En d'autres termes : Google veut apaiser les autorités de régulation sans pour autant jeter les annonceurs à la rue, puisque les recettes publicitaires sont son gagne-pain. Satisfaire les deux parties n'est pas une mince affaire, et notre analyse de l'API proposée montre que, malgré ce qu'en dit Google, elle est loin d'être une solution respectueuse de la vie privée. Au contraire, elle transforme le navigateur lui-même en un outil d'enchères publicitaires. Notre démonstration de l'API Protected Audience illustre les lacunes du nouveau mécanisme, qui, selon nous, peut encore être utilisé à mauvais escient pour obtenir des fonctionnalités similaires à celles fournies par les cookies tiers.
Contrairement à Google, Microsoft ne dépend pas des recettes publicitaires.
La majeure partie de ses revenus totaux (environ 60 %) provient d'Office et de l'informatique en nuage. En théorie, Microsoft devrait donc avoir les mains libres pour proposer quelque chose de vraiment privé.
Tout en annonçant l'abandon progressif des cookies tiers, Microsoft a également dévoilé une nouvelle technologie, appelée Ad Selection API, destinée à les remplacer. Il existe d'étranges parallèles entre cette API et celle proposée par Google, comme le montre le tableau ci-dessous.
Nos préoccupations concernant la nouvelle API de Microsoft
Bien que les API ne soient pas identiques et qu'il existe de nombreuses différences mineures entre elles, nous pensons que la majorité d'entre elles est négligeable. Mais il y a une différence qui saute aux yeux : alors que Google laisse deux options pour l'emplacement de la vente aux enchères, soit dans le TEE, soit sur l'appareil, Microsoft ne veut l'exécuter que dans un environnement d'exécution de confiance (TEE).
Qu'est-ce qu'un TEE ?
Un environnement d'exécution de confiance ( Trusted Execution Environment - TEE) est une zone sécurisée située à l'intérieur de l'unité centrale de traitement (CPU) et de la mémoire d'un serveur.
Il est conçu pour protéger le code et les données sensibles contre les accès non autorisés, y compris ceux qui disposent de privilèges de haut niveau ou d'un accès direct au matériel. Il s'agit essentiellement d'un espace protégé où des calculs privés sont effectués, ce qui garantit qu'ils ne peuvent pas être altérés ou espionnés.
Microsoft justifie sa décision de mener des enchères publicitaires exclusivement dans un environnement d'exécution de confiance (TEE) par des préoccupations concernant l'évolutivité actuelle des enchères sur les appareils et les obstacles opérationnels potentiels. Dans le même temps, la société affirme que les enchères sur appareil "offrent une grande valeur en permettant une application efficace des contraintes en matière de protection de la vie privée".
Quel que soit le raisonnement derrière la décision de Microsoft, nous pensons que son refus de transformer effectivement le navigateur en un réseau publicitaire est un pas dans la bonne direction. Toutefois, la robustesse de ce système repose sur une hypothèse essentielle : les TEE resteront à l'épreuve des accès non autorisés et personne ne pourra jeter un coup d'œil à l'intérieur.
Les enchères côté serveur seront gérées par des sociétés individuelles de technologie publicitaire. Selon Microsoft, ces entreprises peuvent "s'appuyer sur des modèles bien rodés pour la mise à l'échelle, le déploiement et la gestion". Bien que cela soit vrai - ces mastodontes de la technologie publicitaire disposent en effet de suffisamment de ressources pour gérer efficacement ces enchères - nous ne pouvons pas leur faire confiance par défaut. En concevant le système de cette manière, nous courrons toujours le risque que ces entreprises accèdent potentiellement aux données confidentielles des utilisateurs.
Enfin, le plus gros problème que nous rencontrons avec le remplacement des cookies de Microsoft est que de nombreux éléments de la spécification sont considérés comme acquis. Nous sommes censés croire que le simple fait que les données des utilisateurs soient cryptées élimine la possibilité d'un accès non autorisé, que les TEE sont des environnements sécurisés que personne ne peut pénétrer. Et si l'une de ces hypothèses s'avère ne pas être tout à fait vraie, ou criblée de trous, alors cette vision brillante et grandiose s'effondrera. Même si nous le souhaitons, il est difficile de croire que Microsoft, ou qui que ce soit d'autre d'ailleurs, parviendra à mettre en œuvre un mécanisme aussi complexe avec autant de variables et qu'il fonctionnera du premier coup comme par magie.
Réflexions finales
Le projet de Microsoft d'éliminer progressivement les cookies tiers au profit d'un nouveau mécanisme de ciblage publicitaire est très ambitieux. Mais il y a trop de pièces du puzzle qui doivent se mettre en place pour qu'il fonctionne correctement. Trouver un remplacement adéquat pour un système qui a été mis en place pendant des années est indéniablement un défi formidable, mais est-il insurmontable ? Qui vivra verra.
D'autre part, des navigateurs comme Safari et Firefox se sont depuis longtemps débarrassés des cookies tiers sans que les sociétés de technologie publicitaire ne fassent faillite. Ce qui soulève une question importante : Dans quelle mesure ces cookies tiers étaient-ils vitaux pour les entreprises de technologie publicitaire, et est-il vraiment nécessaire de trouver un remplaçant, ou pourrait-on simplement s'en débarrasser ?
Les réponses à ces questions dépendront en grande partie de la mise en œuvre de la nouvelle API par Microsoft. Toutefois, le fait que son API de sélection des publicités ressemble à ce point à l'API d'audience protégée soulève des inquiétudes quant aux implications potentielles pour la vie privée des utilisateurs.
Comme nous pensons que l'API Protected Audience n'est pas aussi privée que Google le prétend, AdGuard a déjà bloqué cette API pour les utilisateurs dont le filtre de protection contre le pistage d'AdGuard est activé. En attendant, nous travaillons sur des moyens plus avancés pour la désactiver. En ce qui concerne l'API de sélection des publicités de Microsoft, qui, selon nous, ressemble étrangement à l'API de Google, notre approche sera la même : dès que Microsoft l'aura implémentée dans Edge, nous commencerons à la bloquer également.
