Alors que les fournisseurs de navigateurs s’efforcent d’offrir leurs utilisateurs davantage de protection de la vie prive, l’adresse IP de l’utilisateur continue de permettre d’associer les activits des utilisateurs travers les origines, ce qui ne serait pas possible autrement. Ces informations peuvent tre combines au fil du temps pour crer un profil d’utilisateur unique et persistant et suivre l’activit d’un utilisateur sur le web, ce qui reprsente une menace pour sa vie prive. De plus, contrairement aux cookies de tiers, il n’existe pas de moyen direct pour les utilisateurs de se dsengager de ce type de suivi secret.
En plus d’tre utilises comme vecteur possible de traage, les adresses IP ont jou et continueront de jouer un rle essentiel dans l’acheminement du trafic, la prvention de la fraude et des abus, et l’excution d’autres fonctions importantes pour les oprateurs de rseaux et les domaines.
Par consquent, toute solution relative la confidentialit des adresses IP doit tenir compte la fois de la vie prive des utilisateurs et de la scurit et de la fonctionnalit du web. La prsente proposition se concentre initialement sur les efforts o les adresses IP sont le plus susceptibles d’tre utilises comme vecteur de traage dans le contexte d’une tierce partie.
La protection des adresses IP voluera et s’tendra au fil du temps en fonction des changements de l’cosystme, afin de continuer protger la vie prive des utilisateurs contre le suivi intersites.
Le suivi intersites et le rle des adresses IP
Il existe plusieurs dfinitions du terme « suivi » dans l’cosystme du web. Dans un premier temps, nous utiliserons la dfinition de Mozilla pour le suivi intersites, car elle a servi d’inspiration pour les politiques d’autres navigateurs.
Mozilla dfinit le suivi comme « …la collecte de donnes concernant l’activit d’un utilisateur particulier sur plusieurs sites web ou applications (c’est–dire les premires parties) qui n’appartiennent pas au collecteur de donnes, et la conservation, l’utilisation ou le partage de donnes drives de cette activit avec des parties autres que la premire partie sur laquelle elles ont t collectes« .
Les navigateurs s’opposent au suivi intersite. Pour Chrome, il s’agit d’liminer progressivement les cookies tiers et de limiter les empreintes digitales, tout en veillant ce que le web reste sain et dynamique. L’un des moyens de limiter l’empreinte digitale consiste limiter les sources d’informations identifiables telles que les adresses IP.
Une adresse IP est un identifiant intersite efficace car elle est hautement unique, relativement stable, peu coteuse collecter et les applications d’adresses IP par les sites web ne sont pas dtectables par le navigateur. Il est donc important de limiter l’accs aux adresses IP pour empcher d’autres mthodes de suivi intersites que les cookies tiers.
Compte tenu de l’impact des adresses IP sur le suivi, il serait logique de se concentrer d’abord sur les tiers identifis comme utilisant potentiellement les adresses IP pour le suivi intersites l’chelle du web. Nous explorerons des mthodes similaires celles d’autres navigateurs et des listes existantes qui identifient ces tiers.
L’volution de l’attention porte par Chrome au suivi des tiers est le fruit des commentaires reus sur la proposition Gnatcatcher. Chrome souhaite se concentrer sur les comportements les plus susceptibles d’utiliser la proprit intellectuelle pour suivre les utilisateurs sur diffrents sites d’une manire qui pourrait ne pas correspondre aux attentes des utilisateurs en matire de respect de la vie prive. Chrome travaillera avec l’cosystme pour aider prserver la vie prive tout en ne brisant pas les utilisations cls sur le web.
Proposition
Chrome rintroduit une proposition visant protger les utilisateurs contre le suivi intersite via les adresses IP. Cette proposition est un proxy de confidentialit qui anonymise les adresses IP pour qualifier le trafic comme dcrit ci-dessus.
Objectifs
- Amliorer la protection de la vie prive des utilisateurs en vitant que leur adresse IP ne soit utilise comme vecteur de suivi.
- Minimiser les perturbations du fonctionnement normal des serveurs, y compris l’utilisation des adresses IP pour lutter contre les abus par des sites tiers, jusqu’ ce que d’autres mcanismes soient mis en place.
Proxy de confidentialit
Exigences fondamentales
- l’origine de la destination ne voit pas l’adresse IP d’origine du client
- le proxy et les intermdiaires du rseau n’ont pas connaissance du contenu du trafic.
Pour rpondre ces exigences, la prsente proposition donne la priorit l’acheminement du trafic des tiers ligibles par le biais du mandataire de protection de la vie prive.
Celui-ci utilisera CONNECT et CONNECT-UDP (avec MASQUE) pour transmettre le trafic. Il existe un tunnel crypt de bout en bout via TLS, de Chrome au serveur de destination.
Nous envisageons d’utiliser deux sauts pour amliorer la confidentialit. Un deuxime proxy serait gr par un CDN externe, tandis que Google grerait le premier saut. Cela garantit qu’aucun proxy ne peut voir la fois l’adresse IP du client et la destination. CONNECT et CONNECT-UDP prennent en charge le chanage des mandataires.
Anti-abus
Le trafic de tiers par procuration pose plusieurs problmes de lutte contre l’abus :
- la dfendabilit du proxy, un proxy compromis pouvant tre utilis pour dployer des attaques
- perturbation des dfenses DoS existantes
- perturbation des dfenses existantes pour la dtection des fraudes et du trafic non valide.
Pour limiter l’utilisation abusive du proxy, nous envisageons l’ensemble non exhaustif de protections anti-abus suivant :
- l’utilisateur s’authentifie auprs du proxy
- cela ncessitera un compte d’utilisateur
- les jetons d’authentification seront mis et changs par le proxy
- le proxy ne devrait pas tre en mesure d’tablir une corrlation entre le trafic et le compte de l’utilisateur
- des signatures aveugles seront utilises
- limiter les abus en rcoltant les jetons d’authentification
- limitation du nombre de jetons par compte
- expiration des jetons
Outre les mesures prventives, nous cherchons galement permettre aux sites web de signaler les dnis de service et autres abus. En outre, nous tudions activement de nouvelles dfenses anti-abus pour permettre aux services tiers de prvenir les abus et les fraudes.
GoIP
La golocalisation base sur l’IP est utilise par un large ventail de services dans le cadre du trafic tiers proxy afin de se conformer aux lois et rglementations locales et d’offrir un contenu pertinent aux utilisateurs, tel que : la localisation du contenu (par exemple, la langue), l’attribution de cache local et le ciblage gographique des publicits. Pour rpondre ces besoins, le proxy de confidentialit attribuera des adresses IP qui reprsentent l’emplacement approximatif de l’utilisateur, y compris le pays.
plus long terme
Les solutions long terme volueront et seront labores en collaboration avec l’cosystme. Nous collaborerons avec les FAI, les CDN, les tiers et les sites de destination en vue d’atteindre l’tat final des mandataires de protection de la vie prive sur le web. Par exemple, les FAI et les CDN sont bien placs pour exploiter des proxys de protection de la vie prive.
Au fur et mesure de l’volution de la protection de la proprit intellectuelle, nous pensons que la politique aura un rle jouer dans la solution globale visant rsoudre le problme du contournement par les sites web. Le cas chant, nous laborerons une politique et demanderons l’avis de l’cosystme. Notre intention, dans le cadre de la proposition, est d’encourager les services web rendre compte de l’utilisation et du partage des adresses IP des clients, compte tenu de la sensibilit de l’IP en tant que donne d’identification. En crant de la transparence autour de l’utilisation des adresses IP, nous esprons promouvoir la responsabilit de l’industrie concernant la faon dont les adresses IP sont accessibles et utilises dans l’cosystme du web.
Nous vous invitons nous faire part de vos commentaires sur cette proposition, notamment en ce qui concerne certaines des questions ouvertes que nous examinons.