En juin 2017, Apple introduisait sur son navigateur Safari une nouvelle fonctionnalité dite de Blocage Intelligent du Suivi (BIC). Objectif de l'éditeur logiciel ? Davantage protéger la vie privée des utilisateurs de son navigateur. Le dispositif fut complété en mars 2018 par une première mise à jour, la faisant passer en version 1.1. En juin 2018 de nouvelle améliorations associées à la version 2.0 étaient annoncées. S'agit-il d'une mise à jour mineure, à l'image de la version 1.1, ou d'une évolution conséquente du système initialement introduit en 2017 ?
Rapide rappel concernant la politique de gestion des cookies tiers de Safari
Avant même l'introduction du BIC, la politique d'Apple vis à vis des cookies tiers avait été historiquement hostile et avant-gardiste. En effet, Safari est paramétré pour refuser le dépôt de cookies dans un contexte tiers depuis des années. Il existait cependant une faille que le BIC version 1.0 devait combler : les cookies définis dans un contexte propriétaire pouvaient être lus et modifiés ultérieurement dans un contexte tiers.
Avec la version 1.0 du BIC cet état de fait devait perdurer, mais uniquement durant les 24H suivant le dépôt initial du cookie OU la visite du domaine concerné par l'utilisateur. Au bout de 24H les cookies se trouvaient enclos dans une boîte noire, limitant leur consultation et leur modification à une visite directe du domaine où ils avaient été définis. Au bout de 30 jours, Safari les supprimait purement et simplement. La version 1.1 du BIC introduisit une API navigateur permettant à un site de demander l'autorisation à l'utilisateur de lire et modifier les cookies déposés sur un site B, depuis un site A, afin de permettre de mettre fin au partitionnement des informations, autrement que par une visite directe du domaine concerné.
L'introduction du BIC eut des répercussions significatives sur les acteurs du monde logiciel dont les systèmes de mesure reposaient sur les cookies tiers. Les outils de retargeting furent fortement impactés, ainsi que les moteurs de recherche disposant de leur propre réseau publicitaire tels que Bing ou Google, qui durent mettre à jour leurs codes de suivi et leur architecture de collecte et de traitement des données afin de contourner la mesure.
Pourquoi une version 2 ?
Les BIC version 1.0 et 1.1 avaient certes augmenté significativement le niveau de protection des utilisateurs, mais il les laissait vulnérables durant les 24H suivant le dépôt initial du cookie. Par ailleurs, il n'adressait pas réellement le cas de figure classique du dépôt de cookie par redirection, l'une des méthodes de suivi historique des clics qui consiste à rediriger durant une fraction de seconde l'utilisateur ayant cliqué sur un lien vers le site C, localisé sur le site A, vers un site B afin que l'éditeur logiciel propriétaire du site B soit informé du clic.
En juin, Apple décidait de remédier à ces manques et frappait fort avec une version 2. Le nouveau système met fin au délai de grâce de 24H. Les équipes de Safari justifient ce choix en expliquant que ce laps de temps avait initialement été octroyé afin de permettre aux responsables de sites de réaliser une transition en douceur vers un recours à l'API de Safari introduite avec la version 1.1.
Apple va plus loin en annonçant être en capacité de détecter les redirections ayant pour seule vocation la collecte d'informations et d'en profiter pour supprimer toute donnée stockée à cette occasion sur le domaine concerné du navigateur de l'utilisateur. Le système de suivi des clics par redirection devient donc caduc en l'absence du dépôt d'une clé de réconciliation sur la page de destination du visiteur. Enfin, fort de son système de détection intelligent, c'est à dire ne reposant pas sur une liste finie de noms de domaine, le BIC dans sa version 2.0 sera capable de classer comme étant des domaines dédiés au suivi, tous les domaines impliqués dans une chaîne de redirection qui seraient lié directement ou indirectement à un domaine ayant lui même été classé comme étant dédié au suivi.
En conclusion
Le BIC en version 2 rend purement et simplement obsolète le recours aux cookies tiers à des fins de suivi sur le navigateur Safari. L'utilisation de clés de réconciliation afin de rapprocher des données collectées sur divers domaines s'avère désormais indispensable. Les systèmes de mesure par redirection ne vont pas disparaître, mais leur rôle se cantonnera de plus en plus à l'ajout de cette clé de réconciliation à la page de destination, plutôt qu'au dépôt et à la mise à jour d'un cookie tiers. S'il serait exagéré de parler de l'extinction à venir des cookies tiers, étant donné la part de marché actuelle de Safari, la tendance pourrait s'accélérer si les équipes de Mozilla devaient décider de suivre la voie tracée par Apple.