La nouvelle a été largement relayée notamment par la presse économique: Google va interdire d'ici 2 ans les cookies tiers. Quoi ? Il n'y aura plus de cookies dans Chrome ? Tentative d'explication de cette décision dans ce billet.
Les cookies sont aussi vieux qu'Internet et que le protocole HTTP qui permet de naviguer d'un site à l'autre. Les cookies sont des éléments essentiels du fonctionnement du web. Ils permettent, par exemple, d'éviter de devoir vous connecter systématiquement sur les sites web que vous utilisez et de pouvoir ainsi conserver vos préférences et vos achats d'une visite à l'autre.
Un cookie est un élément assez anodin. Très concrètement, un cookie est renvoyé par un serveur web auquel vous vous connectez. Il est contenu dans l'entête de la réponse HTTP qui est reçue par le navigateur. Par exemple:
HTTP/1.0 200 OK Content-type: text/html Set-Cookie: customerid=12345
Ici ces lignes disent au navigateur qu'il faut créer un cookie s'appelant "customerid" et lui donner la valeur "12345". En recevant ça, le navigateur stocke gentiment cette information dans son cache de cookies et renverra cette valeur la prochaine fois que vous accèderait à ce site. Avec cet identifiant, lors de votre prochaine visite, le site saura qui vous êtes et vous renverra une page adaptée à vos préférences et à votre contexte.
C'est simple et c'est très pratique, à la fois pour l'utilisateur et pour les développeurs car tous les frameworks de développement web permettent facilement de gérer des cookies et leur contexte associé.
Et si vous décidez de faire le ménage dans votre historique web, il suffit de vider votre cache et les cookies disparaîtront avec.
Il n'y aurait donc pas de quoi s'inquiéter de l'utilisation des cookies si leur comportement n'avait pas été détourné pour un autre usage. C'est ce qu'on appelle les cookies tiers.
Supposons que vous vous connectiez au site du New York Times, vous recevez un cookie du New York times ce qui est normal. Mais, surprise, vous pouvez aussi recevoir en même temps des cookies de plein d'autres fournisseurs: Google, AdSense, Criteo, … Ce sont les fameux "cookies tiers" puisqu'ils sont fournis par un site "tier" de celui que vous visitez.
Comment est-ce possible ? Tout simplement parce que le développeur de la page du New York Times a intégré dans la page des liens sur des éléments (généralement des images) provenant d'autres sites. Et le serveur de ces images, à laquelle le navigateur accède en HTTP, renvoi en même temps que l'image un cookie pour vous identifier. Voici par exemple un cookie renvoyé par le fournisseur BlueKai lors de la visite du New York Times.
Flagrant délit de pistage via cookie tiers (voir le "Set-Cookie" dans le Header), sans même avoir obtenu un consentement !
Pourquoi vous envoyer un cookie tier ? Tout simplement pour savoir les sites que vous visitez. Le fournisseur du cookie est une société de web marketing qui a négocié non seulement avec le New York Times mais aussi avec de très nombreux autres fournisseurs de contenus web. Du coup, le cookie est renvoyé à votre navigateur à chaque fois que vous visitez un site affilié et ce fournisseur peut donc savoir tous les sites que vous visitez et vous proposer une offre publicitaire beaucoup plus ciblée. C'est ainsi qu'après avoir visité un site de meuble affilié à ce fournisseur vous aurez la surprise, en arrivant sur le site du New York Times, de voir une publicité sur le meuble que vous avez consulté ! Merci le cookie tier.
Pour simplifier, grâce aux cookies tiers, c'est un peu comme si vous montriez votre historique de navigation aux sociétés de web marketing. C'est pour cela qu'on parle de "pistage" lorsqu'on parle des cookies tiers. Avez-vous vraiment envie d'être pisté ?
Tout le monde ne fait pas la différence entre cookie "normal" et un cookie tier. Même si tout les navigateurs permettent maintenant de désactiver explicitement les cookies tiers, il est donc important que votre navigateur ait un comportement par défaut qui soit adapté.
Sans surprise, le plus efficace contre les cookies tiers est le navigateur Firefox. En effet, depuis Septembre 2019, les cookies tiers sont interdits par défaut dans Firefox. Cela n'empêche pas la page de fonctionner mais les valeurs des cookies tiers qui sont reçues ne sont pas enregistrées dans le navigateur ce qui rend impossible le pistage. Firefox signale d'ailleurs cette tentative de pistage si vous cliquez sur l'URL du site.
Et force est de constater qu'il y en a beaucoup !
Apple a une position intermédiaire sur les cookies tiers avec la mise en place dans Safari en 2017 d'un Intelligent Tracking Prevention. Concrètement, Safari accepte les cookies tiers mais leur donne une durée de vie limitée de 24h. Ainsi si vous avez visité votre site de meuble, vous aurez la publicité sur le site du New York Times uniquement si vous y allez dans les 24h. Globalement le fournisseur de cookies tiers n'accédera donc qu'à votre historique de navigation des dernières 24h.
C'est à moitié satisfaisant mais dans l'esprit d'Apple ça permet quand même de bénéficier d'un ciblage pertinent pour l'utilisateur sans être trop intrusif.
Qu'en est-il pour Chrome, le navigateur le plus utilisé ?
Sachant que le business model de Google est basé sur la publicité, il ne vous surprendra pas d'apprendre que les cookies tiers sont par défaut actifs dans Chrome: c'est open bar !
D'ailleurs, à l'annonce de l'abandon des Cookies Tiers dans Chrome en 2022, c'est tout l'écosystème publicitaire du web qui a été secoué. La preuve, la chute en bourse de la société Critéo le jour de l'annonce:
Pourquoi Google prend subitement cette décision ?
Evidemment parce que la protection de la vie privée est un sujet de plus en plus sensible et qu'une entreprise comme Google ne peut pas l'ignorer.
Mais aussi parce que Google connait suffisamment d'informations sur vous sans avoir besoin de cookies tiers.
D'abord à travers vos accès à tous les services de Google: recherches dans le moteur de recherche, activité Gmail, vidéos YouTube, …
Ensuite parce que si vous utilisez Chrome, vous êtes généralement connecté à votre compte Google directement à travers le navigateur, Google a donc accès à tous les sites que vous visitez même s'ils ne sont pas affiliés à l'écosystème Google.
Et je ne parle pas de votre activité mobile si vous avez un téléphone Android !
Bref, Google n'a pas besoin des cookies tiers, il pourrait même les désactiver dès aujourd'hui. En annoncant leur abandon en 2022, il ne fait simplement que ménager son écosystème.
Voilà, j'espère que vous aurez compris les enjeux derrière les cookies et les possibilités de pistage que permettent les cookies tiers.
Il n'est pas nécessairement très grave d'être pisté mais il est préférable de savoir qu'on l'est !
Il semble donc bénéfique que Google décide de supprimer les cookies tiers dans 2 ans mais d'ici là si vous voulez éviter d'être pisté, il est préférable de les désactiver dans votre navigateur, voire, si votre navigateur est Chrome… de changer de navigateur.