2 points par GN⁺ 2024-12-12 | 1 commentaires | Partager sur WhatsApp
  • Le réglage Do Not Track (DNT), qui envoyait aux sites web la volonté de l’utilisateur de refuser le suivi, disparaît à partir de Firefox 135, et la suppression de l’option a déjà été constatée dans les builds Nightly
  • DNT fonctionne en signalant le choix de l’utilisateur via un en-tête HTTP, mais de nombreux sites n’ont pas respecté ce signal, ce qui a réduit son efficacité
  • Mozilla a estimé que le signal DNT pouvait, dans certains cas, réduire la confidentialité, et a confirmé sa suppression dans un ticket Bugzilla ainsi que dans la documentation d’assistance
  • L’alternative est le réglage « Indiquer aux sites web de ne pas vendre ou partager mes données », basé sur Global Privacy Control (GPC)
  • Le comportement lors de la mise à niveau vers Firefox 135 pour les utilisateurs ayant activé DNT reste encore flou, tandis que Chrome et Microsoft Edge continuent de proposer le réglage DNT

Suppression du réglage DNT dans Firefox 135

  • Mozilla supprime le réglage Do Not Track (DNT) de Firefox
    • La version concernée est Firefox 135 et ultérieures
    • Le changement est déjà visible dans les builds Nightly
  • Dans « Website Privacy Preferences » de Nightly, l’option « Send websites a ‘Do Not Track’ request » a disparu
  • Le ticket Bugzilla Remove DNT control from about:preferences#privacy confirme également ce changement

Les limites de DNT et l’alternative GPC

  • DNT est un réglage du navigateur permettant à l’utilisateur d’indiquer aux sites web son refus du suivi
    • Une fois activé, il envoie aux sites un en-tête HTTP spécial signalant le choix de l’utilisateur de refuser le suivi
    • DNT a été introduit en 2009 par Christopher Soghoian et Sid Stamm, et Firefox a été le premier navigateur à implémenter cette fonctionnalité
  • La raison de cette suppression est que de nombreux sites web ne respectent pas le signal DNT et que, dans certains cas, la confidentialité peut même être réduite
    • La documentation d’assistance de Firefox indique que la case à cocher DNT sera supprimée à partir de Firefox 135
    • Elle précise aussi que de nombreux sites ne respectent pas cette préférence de confidentialité
  • L’alternative recommandée par Firefox est Global Privacy Control
    • Le réglage correspondant est « Tell websites not to sell or share my data »
    • Cette option est construite sur GPC
    • GPC est respecté par un nombre croissant de sites et est appliqué par la loi dans certaines régions
  • Le comportement lors de la mise à niveau vers une version de Firefox concernée pour les utilisateurs ayant activé DNT reste encore incertain
    • Un message « Firefox no longer supports Do Not Track » peut s’afficher
    • Ou bien le signal pourrait continuer à être envoyé aux sites web
  • D’autres navigateurs, comme Google Chrome et Microsoft Edge, proposent encore le réglage DNT
    • Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
    • Microsoft Edge: Settings > Privacy, Search, and Services > activer « Send Do Not Track requests »

1 commentaires

 
GN⁺ 2024-12-12
Avis de Hacker News
  • Je travaillais chez Mozilla quand cette fonctionnalité a été implémentée
    Le fait que les sites web la prennent en charge était entièrement facultatif, et au début seuls quelques sites le faisaient
    En interne, beaucoup pensaient qu’il fallait l’activer par défaut, mais l’argument était que, dans ce cas, personne ne la respecterait. Quelle plateforme de tracking accepterait de ne pas suivre uniquement les 0,1 % d’utilisateurs qui étaient allés dans les réglages pour l’activer eux-mêmes ?
    Au final, Internet Explorer l’a activée par défaut et a eu une bonne couverture médiatique, mais comme tout le monde s’est mis à l’ignorer, cela a tué la fonctionnalité elle-même
    Dans l’ensemble, je suis content que cette fonctionnalité disparaisse. En pratique, elle ne faisait rien et, pire, donnait une fausse impression de sécurité en laissant croire qu’elle faisait beaucoup
    J’aimerais toutefois que les modales de cookies de chaque site remontent au niveau du navigateur. Il y a sûrement beaucoup de raisons pour lesquelles ce n’est pas encore le cas, mais l’une des grandes commence sans doute par G et finit par Oogle

    • L’idée que « les modales de cookies de chaque site deviennent une fonction du navigateur » est déjà possible, indirectement
      Si l’on active les filtres Cookie Banners et Annoyances dans les paramètres d’uBlock Origin, les modales sont supprimées discrètement en arrière-plan et on peut continuer à naviguer. Comme on n’a jamais donné son consentement, fonctionnellement cela devrait revenir à avoir refusé dans la bannière
      Sur les navigateurs médiocres qui ne prennent pas en charge uBlock Origin, par exemple Chrome sur iOS ou Android, le bookmarklet Kill Sticky fonctionne de manière similaire : https://www.smokingonabike.com/2024/01/20/take-back-your-web...
      L’époque où les anciens navigateurs donnaient la priorité à l’utilisateur et activaient par défaut des choses comme le blocage des pop-ups me manque
    • C’est précisément pour cette raison que la RFC 35140 « Do-Not-Stab » précise que l’agent utilisateur ne doit pas l’activer par défaut
      https://www.5snb.club/posts/2023/do-not-stab/
    • Je travaillais à l’époque dans l’une des grandes entreprises de l’ad tech. DNT était un compromis soigneusement négocié entre le secteur de la publicité, les sites qui dépendaient de ces revenus, les éditeurs de navigateurs et les défenseurs de la vie privée
      Nous avions implémenté DNT dans notre infrastructure edge et étions prêts à le déployer
      Puis Microsoft, dans sa guerre contre Google, et après que ses ambitions dans l’ad tech issues du rachat d’aQuantive se furent soldées par une dépréciation de 6 milliards de dollars, a rompu l’accord en l’activant par défaut. Cela a porté un coup fatal à tout le monde
      Le secteur publicitaire n’aurait jamais accepté une version opt-out de DNT. Cela fonctionnait quand seule une minorité intéressée l’activait elle-même, mais pas si le navigateur web dominant de l’époque choisissait à la place de tous les utilisateurs
      Je comprends parfaitement pourquoi les gens n’aiment pas le tracking et la publicité personnalisée. C’est devenu plus intrusif au cours des dix dernières années, mais au moins à l’époque, c’était indispensable au web commercial
    • Activer ce bit rendait ironiquement l’empreinte du navigateur un peu plus distinctive
    • Je pense que DNT était une solution créative
      La seule façon d’arrêter le tracking, ce sont les lois ou la réglementation. Les solutions techniques relèvent d’une course aux armements sans fin et, pour l’utilisateur final, c’est probablement une bataille presque perdue
      DNT était une manière pour les consommateurs de montrer qu’ils ne voulaient pas être suivis, et mettait les entreprises dans la position d’ignorer une demande explicite de protection de la vie privée de la part des consommateurs
      Malheureusement, personne n’a réussi à exploiter efficacement ce point
  • Je comprends qu’il y ait beaucoup de mauvaises impressions sur les choix récents de Mozilla. Mais ici, dans le pire des cas, ils suppriment une fonctionnalité que presque personne ne respectait
    Cette fonctionnalité reposait sur un système d’honneur, et même le système d’honneur suisse prévoit des contrôles aléatoires. Le navigateur n’avait absolument aucun moyen de l’imposer
    Ironiquement, elle servait aussi parfois de point de donnée supplémentaire pour suivre les personnes soucieuses de leur vie privée qui l’avaient activée volontairement

    • Medium l’a prise en charge pendant longtemps, et des outils comme Matomo la prenaient aussi en charge par défaut
      Firefox a implémenté l’alternative Global Privacy Control, mais elle a exactement le même problème, et encore moins de sites web respectent GPC
      Ce n’est pas une vraie solution aux pratiques de cyberharcèlement normalisées des sites web actuels, mais on ne peut pas non plus dire que ce soit complètement inutile
    • Le débat et le système lui-même étaient truqués. Si cela avait été équitable, il aurait fallu faire ceci
      1. Partir du principe que, par défaut, les utilisateurs ne veulent pas être suivis, et faire de Do Not Track une option à désactiver
      2. Après quelques années de fonctionnement, faire progressivement monter le débat sur le fait que personne ne le respectait
        Avec cela, il y aurait eu un vrai sujet d’actualité, et au moins dans l’UE, cela aurait peut-être été examiné comme quelque chose à imposer par la réglementation
        Mais en réalité, Do Not Track n’a jamais eu la moindre chance de réussir, et je pense que c’était intentionnel
    • D’accord. Ce n’est qu’une règle volontaire utilisée par un navigateur dont la part de marché ressemble à une erreur d’arrondi
      Si quelqu’un comptait uniquement là-dessus pour protéger sa vie privée en ligne, il a besoin d’être mieux informé
      De ce point de vue, sa suppression pourrait pousser quelques personnes à appliquer des protections plus fortes dans leur navigateur et donc, très légèrement, améliorer la protection de la vie privée dans l’ensemble
    • Plus que le fait qu’elle ait été ignorée, le plus important est qu’elle ajoutait une manière supplémentaire de réduire l’espace d’empreinte
  • Il était temps de la supprimer. Elle n’a jamais produit de résultats significatifs pour la protection de la vie privée et a même eu l’effet inverse, en fournissant un signal supplémentaire permettant d’identifier les utilisateurs de manière unique et d’améliorer le suivi.
    Cela dit, la protection contre le pistage dans son ensemble ressemble par défaut à un combat perdu d’avance. Allez sur https://amiunique.org/ et vous comprendrez pourquoi.
    J’utilise toutes les protections possibles dans Firefox, le mode de protection contre le pistage « strict » et uBlock Origin, mais il est impossible d’éviter le pistage first-party.
    Un exemple frappant : les navigateurs d’aujourd’hui peuvent exposer aux sites web le nombre de cœurs CPU de l’appareil. À lui seul, cet élément permet déjà d’écarter 80 à 90 % des utilisateurs, et combiné à l’user agent, à l’IP et à la langue, il devient presque un identifiant unique.
    https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...

    • Ce serait bien d’avoir par défaut un environnement JavaScript suffisamment basique pour apparaître identique chez tous les utilisateurs.
      Idéalement dans tous les navigateurs, ou au moins dans Firefox, lorsqu’un site tente d’utiliser des fonctionnalités avancées susceptibles de permettre le pistage, une icône devrait apparaître dans la barre d’adresse, avec la possibilité d’autoriser au cas par cas.
      En quelque sorte, pas NoScript, mais Low script.
    • L’objectif ne devrait pas être de paraître non unique. Il y a trop de petits éléments qui peuvent vous révéler.
      Même si vous traitez tous les éléments aujourd’hui d’une manière ou d’une autre, la prochaine mise à jour du navigateur peut activer un nouveau signal, et on ne peut pas non plus croire qu’amiunique.org observe tous les points de données d’identification. Au final, c’est une course aux armements qu’on ne peut que perdre.
      Ce qu’il faut, c’est être unique différemment pour chaque site visité. C’est encore mieux si JavaScript est désactivé par défaut, de sorte que le site ne puisse tout simplement pas collecter 90 % des points de données exposés par le navigateur.
      La protection la plus forte consisterait probablement à changer d’adresse IP avec un VPN, et à randomiser l’user agent ainsi que d’autres indices.
    • Il y a deux problèmes orthogonaux. Ce dont on parle surtout, c’est de la nécessité de rendre le pistage pratiquement difficile pour les personnes qui ne veulent pas être pistées.
      Ce qu’il faut faire en parallèle, c’est le rendre illégal.
      DNT ressemble à une tentative « précipitée » d’atteindre ce second objectif sans fondement juridique.
    • L’information selon laquelle le navigateur expose aux sites web le nombre de cœurs CPU de l’appareil pouvait déjà être déduite avant l’introduction de navigator.hardwareConcurrency.
      J’avais publié un polyfill par attaque temporelle qui permettait d’inférer cette information, et navigator.hardwareConcurrency avait d’abord été proposé comme substitut.
      En plus de l’utilité intrinsèque de cette API, les éditeurs de navigateurs estimaient qu’elle permettrait d’économiser de la batterie, puisque les sites web n’auraient plus besoin de benchmarker l’appareil de l’utilisateur pour connaître cette valeur.
  • La suppression de cette fonctionnalité nuit à l’autonomie des utilisateurs. Les utilisateurs de Firefox devront faire face à des invites de consentement plus pénibles.
    La configuration par défaut de Transcend Consent Management exclut l’utilisateur de toutes les finalités de pistage non essentielles et supprime aussi automatiquement l’invite de consentement si DNT est activé, mais si seul GPC est activé, elle ne refuse que la « vente/le partage d’informations ».
    En supprimant ce signal centralisé de confidentialité, certains utilisateurs ne pourront plus exprimer par défaut un refus total auprès de Transcend Consent Management sans interagir avec des bannières agaçantes.
    À mon avis, ce changement a été imposé sans examen ni retours adéquats de la communauté web. Mozilla l’a traité trop vite, si bien que peu de personnes ont remarqué le problème avant la fermeture du ticket[1]. Pour ne rien arranger, Bugzilla est configuré de sorte qu’une fois le ticket fermé, les personnes qui ne sont pas employées par Mozilla ne peuvent plus ajouter de commentaires.
    J’avais transmis un retour similaire lorsque l’équipe Chrome a proposé de supprimer DNT en 2023[2]. Ils ont pris ces retours en compte et, pour l’instant, DNT est toujours présent dans Chrome, tandis que sa suppression est reportée indéfiniment.

    1. https://bugzilla.mozilla.org/show_bug.cgi?id=1928087
    2. https://issues.chromium.org/issues/41440843#comment12
    • Le fait qu’un outil de gestion du consentement — et probablement un outil peu répandu — comprenne et utilise ce flag n’est pas un argument solide pour conserver la fonctionnalité.
      Il existe de meilleures méthodes de protection de la vie privée qui ne reposent pas sur un flag volontaire envoyé aux annonceurs en espérant qu’ils l’acceptent.
    • Cela ne nuit pas à l’autonomie des utilisateurs. Parce que personne ne le respecte.
      Surtout en matière de vie privée et de sécurité, les fonctionnalités qui donnent une fausse impression d’efficacité sont au contraire nuisibles.
      Personne ne devrait avoir l’impression de ne pas être pisté parce qu’il a activé Do Not Track. C’est faux.
      C’est pourquoi sa suppression est la bonne décision.
  • GPC est fondamentalement identique à DNT, mais selon [1], « GPC améliore DNT à plusieurs égards »
    Soutien juridique : contrairement à DNT, GPC est appuyé par davantage de lois, comme le CCPA, qui exigent des entreprises qu’elles respectent ce type de signal
    Objectif plus précis : DNT couvrait le suivi dans son ensemble, tandis que GPC se concentre sur l’arrêt de la vente ou du partage de données, ce qui le rend plus pertinent pour les exigences actuelles en matière de vie privée
    Meilleures chances d’adoption : GPC a été conçu avec les contributions des régulateurs, des défenseurs de la vie privée et des leaders du secteur, afin de s’aligner sur les lois existantes et de combler les lacunes fonctionnelles précédentes
    Mais, sur le fond, c’est quasiment la même chose
    Donc, plutôt que « Firefox supprime DNT », cela ressemble davantage à « Firefox abandonne la première version inefficace de GPC »
    [1]: https://www.cookiebot.com/en/global-privacy-control/

    • Le fait que GPC soit soutenu par des lois comme le CCPA vient-il du fait qu’il est désactivé par défaut ? Au final, c’est exactement pareil en ce que c’est un en-tête contenant une valeur prédéfinie
      Ce que je demande, c’est de ne pas être suivi. Le suivi vient avant la vente. Je ne veux pas refuser la vente, je veux refuser le suivi
      On parle de « lacunes fonctionnelles », mais la seule différence entre GPC et DNT, c’est que DNT envoie DNT: 1 et que GPC envoie Sec-GPC: 1
      Les entreprises qui ne respectaient pas DNT ne vont pas respecter GPC. La seule différence ici, c’est que GPC n’est pas activé par défaut dans IE, alors que DNT l’est
  • Si j’ai bien compris, DNT est en train d’être abandonné au profit de la nouvelle proposition « Global Privacy Control » : https://w3c.github.io/gpc/
    Donc Firefox enverra désormais éventuellement Sec-GPC: 1, via un réglage différent de celui utilisé pour DNT, au lieu de l’en-tête DNT: 1
    Je ne vois pas trop pourquoi ce serait considéré comme un changement utile. En tant qu’exploitant d’un site web qui avait autrefois implémenté l’activation d’un code d’anonymisation lorsqu’un en-tête DNT était présent, je peux ajouter du code pour vérifier aussi Sec-GPC, mais ça ressemble à du changement pour le changement
    Si la même option est cochée dans le navigateur, Mozilla pourrait simplement envoyer les deux en-têtes ; il est aussi absurde de forcer les sites web à vérifier les deux. Je comprends qu’on veuille un engagement plus fort pour Sec-GPC que pour DNT, mais comme le second est un sous-ensemble du premier, il suffirait de mettre à jour la description de la case à cocher côté client et d’envoyer les deux, non ?

  • Le signal « Do Not Track » était plus utile comme signal d’empreinte supplémentaire que pour empêcher le suivi
    J’espère que quelque chose de plus robuste pourra maintenant être poussé

  • Prévu pour être abandonné en 2018, supprimé en 2024. Pour une fonctionnalité utilisée à l’exact opposé de son objectif, ce calendrier ne devrait surprendre personne

  • Je pense qu’il aurait fallu le conserver et que l’UE aurait dû rendre juridiquement abusif le fait de l’ignorer. Ainsi, on n’aurait pas eu besoin de ces fichues bannières de cookies

    • L’ignorer signifie qu’il faut obtenir un consentement explicite, et les sites web le font déjà
  • Son taux d’utilisation était si faible que cette fonctionnalité servait à suivre les gens

    • La solution évidente aurait probablement été de l’activer par défaut