Catégories
Start-up et applications

Confidentialité en ligne: la realpolitik de la guerre des navigateurs et du futur

J'ai commencé à rassembler mes réflexions sur ce sujet au début de 2020, il y a peu de temps et il y a toute une époque. Les questions de discussions animées à l'époque ont laissé la place à d'autres préoccupations, mais comme vous le savez de première main, de plus en plus de notre vie quotidienne est en ligne, ce qui garantit que l'aspect de la confidentialité et du suivi reste une priorité dans l'ensemble de l'industrie Internet, si oui ou non tu as déjà fatigue de la confidentialité en ligne (ce que je reçois!).

La confidentialité en ligne est l’un de ces sujets qui bouillonnent depuis un certain temps déjà, mais il se passe tellement de choses sous ce terme générique qu’il est difficile de dire quoi. Entre les scandales de confidentialité comme Facebook, les fuites massives de données, la nouvelle réglementation qui se développe et prend forme à travers le monde, les acteurs étatiques et non étatiques malveillants, et les mouvements des principaux fabricants de navigateurs (Google avec Chrome, Apple avec Safari et Mozilla Firefox ), J'admets que même les plus férus de technologie deviennent honnêtement assez confus ici.

Faisant partie de Dynamic Yield, une plate-forme d’optimisation de l’expérience, j’ai été témoin de première main des préoccupations croissantes de nos clients et de l’industrie martech. Nous avons souvent eu besoin d'articuler clairement les différences entre réalité et rumeur, réglementation et sentiment. On ne peut pas survivre parfaitement en tant que vendeur en étant légalement à droite – vous devez répondre aux sentiments du terrain pour rester pertinent. En tant que fournisseur, vous mettrez à un moment donné vos idées abstraites d'éthique à l'épreuve, en prenant des décisions claires sur ce que vous habitude faire pour le profit.

Mon objectif ici est de vous donner un aperçu clair de ce sujet, en me concentrant sur le web:

  • Où sont les choses avec les principaux fabricants de navigateurs, et (à mon avis) pourquoi?
  • Les considérations auxquelles les vendeurs et les marques doivent prêter attention afin de devenir à l'épreuve du temps.

Rencontrez les joueurs: Google Chrome
En janvier, un sujet brûlant dans de nombreuses publications couvrant martech et adtech était la sortie imminente de la version 80 de Chrome.Plus important encore, elle imposait des contraintes accrues sur les cookies tiers, conformément à quelques soucis de confidentialité. annonces provenant des cadres de Google au cours des mois précédents.

Voici ce qu'était le message:

Espérons que d'ici deux ans, les cookies tiers aller dans le sens du Dodo à mesure que de nouveaux mécanismes standards sûrs et sécurisés émergent pour les remplacer. Les mauvais acteurs auraient beaucoup plus de mal, tandis que les revenus publicitaires légitimes continueraient de couler sans entrave. Bien sûr, tout cela est aussi long que nous laissons Google montrer la voie – Chrome 80 étant une étape concrète pour y parvenir.

En regardant ce qui était réellement livré, cependant, indique autre chose. En effet, Google a franchi une étape importante en termes de sécurité, comme dans la protection contre les pirates malveillants souhaitant accéder à vos comptes utilisateurs connectés via ce que l'on appelle des attaques de contrefaçon de requêtes intersites (CSRF). Il a comblé une lacune qui n'aurait jamais dû être là dès le départ, si la naissance du Web avait été moins aléatoire qu'elle ne l'était en réalité. Tout site Web respectable a déjà mis en place des contre-mesures, mais nous savons que des erreurs de développeur petites mais destructrices sont commises même dans les meilleures familles.

Dans l'ensemble, c'est un bon changement: les cookies créés par mybank.com ne peut pas être utilisé par un site Web malveillant phishingport.com domaine sauf si spécifiquement marqué comme tel. Qui a intrinsèquement besoin d'un tel comportement, demandez-vous? Eh bien, principalement des trackers de toutes sortes, dont il y en a probablement des milliers. Chrome n'empêche en fait personne de créer de tels cookies inter-sites, comme au bon vieux temps. Il vous suffit de les marquer explicitement comme tels, offrant ainsi une meilleure sécurité autour de tous les autres cookies. Et pour faire bonne mesure, ils ont également forcé ces cookies à être livrés uniquement via des connexions cryptées. Mais ces changements garantissent-ils en eux-mêmes une certaine confidentialité?

Eh bien pas vraiment. Google promet de fournir des contrôles supplémentaires qui vous permettraient d'effacer ou de bloquer ces cookies de promiscuité (tout en cassant occasionnellement quelque chose d'inattendu?), Mais on ne sait pas quand ni comment cela serait disponible. Ma supposition: enfoui trois niveaux profondément dans "Paramètres", où des éléments similaires apparaissent aujourd'hui – au moins jusqu'à ce qu'une fonctionnalité de remplacement de cookie soit largement adoptée.

Ce que je pense que Google tente ici, c'est de confondre confidentialité et sécurité, ou piratage et suivi.

En capitalisant sur ses bons résultats en matière de sécurité, Google essaie de nous assurer qu'il prendra également soin de notre vie privée, sous une forme d'autorégulation de l'industrie. Google a beaucoup investi pour rendre le Web plus sécurisé, notamment avec ses efforts incessants pour que tous les sites Web prennent en charge le cryptage via HTTPS. Une grande partie des activités de Google repose sur le fait que nous nous sentons suffisamment en sécurité sur le Web. Ils ont un tas de idées bonnes mais complexes sur la manière de maintenir la publicité ciblée et les mesures de conversion dans le respect de la vie privée. La clé de leur approche, cependant, réside dans quelque chose qu'ils mentionnent à maintes reprises, à savoir: nous devons le faire de manière responsable.

Dans Google propres mots: «Certains navigateurs ont réagi à ces préoccupations en bloquant les cookies tiers, mais nous pensons que cela a des conséquences involontaires qui peuvent avoir un impact négatif à la fois sur les utilisateurs et sur l'écosystème Web. En sapant le modèle commercial de nombreux sites Web financés par la publicité, approches brusques des cookies (c'est moi qui souligne) encouragez l'utilisation de techniques opaques telles que la prise d'empreintes digitales (une solution de contournement invasive pour remplacer les cookies), qui peuvent en fait réduire la confidentialité et le contrôle des utilisateurs. "

Fidèle à leur douce approche «ne secouez pas le bateau», Google a annoncé le 3 avril une restauration temporaire des modifications apportées aux cookies ont déjà été déployées dans le monde entier, de sorte que rien ne se brise involontairement pour nous tous qui travaillons et achetons maintenant à domicile.

Qui sont donc ces navigateurs irresponsables sans nom qu'ils ont mentionnés?

Avec un 36% de part de marché aux États-Unistates, et environ la moitié dans le monde en février 2020, c'est Apple Safari tout d'abord. Apple a évolué avec quelques itérations de son ITP (Internet Tracking Prevention) depuis 2017, imposant unilatéralement de nouvelles limitations aux cookies, puis les annulant ou les peaufinant, avec peu de visibilité sur leur processus de prise de décision.

Depuis le lancement d'ITP 1.0, et jusqu'à la version actuelle (2.3), Apple a été dans un jeu du chat et de la souris avec des trackers intersites, chaque nouvelle itération visant à lutter contre les dernières méthodes de contournement des règles établies par Apple. À titre d'exemple nettement «brutal», non seulement ils bloquent les cookies tiers par défaut, mais ils ont également déployé un changement limitant la durée de vie de certains cookies propriétaires à seulement sept jours.

Comme ils l'ont découvert, de nombreux scripts de suivi chargés par des sites Web reposaient sur la possibilité de définir des cookies du côté client (plutôt que dans une réponse côté serveur de ce tiers) – rendant effectivement ces cookies «de première partie». Étant donné que Safari n’a aucun moyen de savoir quels cookies définis dans le client sont «vraiment» propriétaires, ils les ont tous limités. Désormais, les seuls cookies durables sont ceux définis par les serveurs du domaine du client dans leur réponse au navigateur.

Apple a sans aucun doute collecté des statistiques complètes sur la façon dont les cookies sont utilisés sur un très grand corpus de sites Web et a constaté que la plupart des utilisateurs ne remarqueront probablement rien de cassant.

Personne en dehors d'Apple ne sait ce que la prochaine itération d'ITP pourrait apporter, et quels sites Web devraient modifier à la hâte leur code pour éviter que certaines fonctionnalités ne se cassent. Une chose dont je suis sûr: Apple n'a pas l'intention de «briser le Web» d'une manière qui inciterait les gens à changer de navigateur. Tous les changements qu'ils apportent sont calculés pour (principalement) atteindre leurs objectifs. Si Apple devait également interdire purement et simplement les cookies propriétaires installés sur le serveur, le Web se briserait essentiellement car la plupart des mécanismes de connexion au site Web sont basés sur eux.

Idéologie et realpolitik
L'idéologie fonctionne toujours mieux lorsqu'elle est alignée sur l'intérêt personnel; Je pense que cela est vrai pour Google, Apple et pratiquement tous les acteurs commerciaux (et sans doute, les gens en général). Cependant, personne n’étiquera automatiquement le mal. À mon humble avis, ce qui compte, c’est de se conformer à des directives éthiques claires exactement dans les moments où il est particulièrement tentant de les contourner.

Quels sont les intérêts d’Apple, alors? Bien qu'ils ne souhaitent pas interrompre votre navigation, ils ont clairement intérêt à ce que vous utilisiez des applications natives et à ce que leurs revenus soient réduits grâce aux applications payantes et aux achats intégrés. Cependant, maintenir le flux de revenus publicitaires en cours pour les fabricants d'applications financées par la publicité a également été important pour eux – par conséquent, les règles semblent toujours être différentes et plus clémentes pour les applications que pour le Web.

Cet ancien identifiant pour la publicité (IDFA) qui identifie de manière unique tout appareil iOS et visible par toutes les applications de votre appareil? Il était activé par défaut jusqu'à la sortie d'iOS 14 le mois dernier. Et malgré les politiques d'Apple, certains des SDK tiers les plus populaires utilisés par les applications sont connus pour collecter également des données utilisateur au profit du créateur de SDK. Ils sont probablement des chefs de file en matière de protection de la vie privée, mais certainement pas avec cet «esprit unique» auquel ils nous ont peut-être fait croire.

Bien que je ne puisse pas prédire ce qu'Apple fera à l'avenir, je pense que les deux sociétés concurrentes resteraient très prudentes avec les revenus publicitaires, dans les canaux spécifiques où cela compte pour chaque entreprise. Il reste à voir dans quelle mesure ils s'entendront sur les nouvelles normes de confidentialité pour le Web.

Regard vers l'avenir: le rôle des navigateurs
En mettant mon ancien chapeau d'architecte logiciel pendant une minute, il est clair que le problème de confidentialité sur le Web remonte au protocole HTTP lui-même. Contrairement aux jardins fermés étroitement contrôlés de l'App Store ou de Facebook, il n'a pas été façonné par les intérêts des entreprises. Le groupe d'experts qui s'est réuni pour travailler sur les spécifications a prêté attention à des centaines de détails; apparemment, ils ne prévoyaient tout simplement pas la vie privée comme la grande souffrance future. Faute de spécification, des solutions ad hoc ont surgi pour combler le vide.

Pour créer un site Web plus privé, je pense que la négociation de la confidentialité en tant qu'élément fondamental de toute connexion client-serveur serait essentielle. En examinant les modèles d'autorisations d'applications d'Apple et de Google, il a fallu plusieurs itérations pour peaufiner et ajuster chaque modèle pour le rendre plus clair, plus simple et plus «sain» pour l'utilisateur. Une solution similaire doit également évoluer pour le Web, même avec autant de parties prenantes et d'intérêts à la table.

Qu'est-ce que cela signifie pour les marques et les vendeurs?
En tant que marque, vous pouvez supposer que vous devrez faire davantage pour intégrer des outils tiers afin de garantir leur fonctionnement fiable sur tous les appareils. Plus précisément, vous auriez de plus en plus besoin de modifier votre propre base de code pour laisser ces outils fonctionner «en votre nom», avec vos cookies propriétaires.

Compte tenu de cet effort supplémentaire et du niveau de confiance que vous devez avoir dans ces outils, voici quelques mesures à prendre:

  1. Choisissez judicieusement vos fournisseurs et efforcez-vous de utiliser moins d'outils. L'ère de déposer des dizaines de scripts tiers sur votre page d'accueil touche à sa fin. Tout outil externe doit avoir une proposition de valeur claire et la réputation pour la soutenir et gagner votre confiance.
  2. Renseignez-vous! Renseignez-vous et soyez informé, afin de pouvoir poser les vraies questions difficiles à vos fournisseurs.
  3. Envisagez de passer progressivement des intégrations basées sur des scripts client à l'utilisation des API des fournisseurs, pour avoir un contrôle total sur le moment et la manière dont vous utilisez le produit d'un fournisseur.

Si vous êtes un fournisseur, jouez la prudence et adhérez aux meilleures pratiques actuelles. Le client (et son personnel informatique et de sécurité) devrait être plus impliqué, et certaines des fonctionnalités prêtes à l'emploi que vous proposez actuellement devront peut-être être éliminées jusqu'à ce qu'un remplacement moderne soit viable. Dans un tel cas, assurez-vous que le cœur de votre proposition de valeur est toujours en place et commencez à éduquer les clients tôt.

Notez que nous n'avons pas abordé l'aspect de l'évolution de la réglementation dans ce post (RGPD, CCPA, etc.), qui est un tout autre domaine complexe. À mon avis, c'est un autre moteur qui pousse les marques à réduire la jungle des outils et à investir davantage pour que leurs outils de base fonctionnent bien. Croyez-le ou non, n'importe quel fournisseur est également dans une position similaire, nous avons donc ressenti le même besoin.

Pour qu'un Web plus privé se matérialise, les marques, les vendeurs et les navigateurs devraient tous participer de manière proactive. Le vieil adage «pas de déjeuner gratuit» s'applique toujours.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *