Stratégies de cookie Google Chrome samesite

Google commencera à imposer de nouvelles stratégies de cookies par défaut pour les utilisateurs, à partir de Chrome 80, qui sera lancé début 2020. Cet article explique tout ce que vous devez savoir sur les nouvelles stratégies de cookie SameSite, comment Adobe Target prend en charge ces stratégies et comment vous pouvez utiliser Target pour vous conformer aux nouvelles stratégies de cookie SameSite de Google Chrome.

À partir de Chrome 80, les développeurs web doivent spécifier explicitement quels cookies peuvent fonctionner sur plusieurs sites web. Il s’agit de la première de nombreuses annonces que Google prévoit de faire pour améliorer la confidentialité et la sécurité sur le web.

Étant donné que Facebook est à la pointe en matière de confidentialité et de sécurité, d'autres acteurs majeurs tels qu'Apple, et désormais Google, ont été prompts à profiter de l'opportunité de créer de nouvelles identités en tant que champions de la confidentialité et de la sécurité. Apple a dirigé le pack en annonçant d’abord les modifications apportées à ses politiques de cookies au début de l’année via ITP 2.1 et, plus récemment, ITP 2.2. Dans ITP 2.1, Apple bloque complètement les cookies tiers et conserve les cookies créés sur le navigateur pendant seulement sept jours. Dans ITP 2.2, les cookies ne sont conservés que pendant une journée. L’annonce de Google est loin d’être aussi agressive que celle d’Apple, mais c’est le premier pas vers le même objectif final. Pour plus d’informations sur les politiques d’Apple, voir ITP (Intelligent Tracking Prevention) 2.x d’Apple.

Que sont les cookies et comment sont-ils utilisés ?

Avant d’examiner les modifications apportées par Google à ses stratégies de cookies, nous vous conseillons de définir les cookies et leur mode d’utilisation. En d’autres termes, les cookies sont de petits fichiers texte stockés dans le navigateur web qui sont utilisés pour mémoriser les attributs utilisateur.

Les cookies sont importants car ils améliorent l’expérience de l’utilisateur lorsqu’il navigue sur le Web. Par exemple, si vous effectuez des achats sur un site web d’e-commerce et ajoutez quelque chose à votre panier, mais que vous ne vous connectez pas ou n’effectuez pas d’achat au cours de cette visite, les cookies mémorisent vos articles et les conservent dans votre panier pour votre prochaine visite. Ou imaginez que vous soyez obligé de saisir à nouveau votre nom d'utilisateur et votre mot de passe chaque fois que vous visitez votre site de médias sociaux préféré. Les cookies résolvent également ce problème, car ils stockent des informations qui aident les sites à identifier qui vous êtes. Ces types de cookies sont appelés cookies propriétaires, car ils sont créés et utilisés par le site web que vous avez visité.

Des cookies tiers existent également. Pour mieux les comprendre, prenons l’exemple suivant :

Imaginons qu’une hypothétique société de médias sociaux appelée "Amis" propose un bouton Partager que d’autres sites implémentent pour permettre aux utilisateurs Amis de partager le contenu du site sur le flux Amis. Désormais, un utilisateur lit un article sur un site web d’actualités qui utilise le bouton Partager et clique dessus pour le publier automatiquement sur son compte Amis .

Pour ce faire, le navigateur récupère le bouton Partager les amis de platform.friends.com lorsque l’article d’actualité est chargé. Au cours de ce processus, le navigateur joint les cookies Amis, qui contiennent les informations d’identification de l’utilisateur, à la demande aux serveurs Amis. Cela permet aux amis de publier l’article d’actualité dans leur flux à la place de l’utilisateur sans que celui-ci doive se connecter.

Cela est possible en utilisant des cookies tiers. Dans ce cas, le cookie tiers est enregistré dans le navigateur pour platform.friends.com, de sorte que platform.friends.com puisse effectuer la publication dans l’application Amis pour le compte de l’utilisateur.

Si vous imaginez un instant comment réaliser ce cas d’utilisation sans cookies tiers, l’utilisateur devra suivre de nombreuses étapes manuelles. Tout d’abord, l’utilisateur doit copier le lien vers l’article d’actualité. Deuxièmement, l’utilisateur doit se connecter séparément à l’application Amis. L’utilisateur clique ensuite sur le bouton Créer une publication . Ensuite, l’utilisateur copiait et collait le lien dans le champ de texte, puis, enfin, cliquez sur Publier. Comme vous pouvez le constater, les cookies tiers aident considérablement l’utilisateur à expérimenter, car les étapes manuelles peuvent être considérablement réduites.

Plus généralement, les cookies tiers permettent de stocker des données dans le navigateur d’un utilisateur sans que celui-ci ait à se rendre explicitement sur un site web.

Questions de sécurité

Bien que les cookies améliorent les expériences utilisateur et la publicité, ils peuvent également introduire des vulnérabilités de sécurité telles que les attaques CSRF (Cross-Site Request Forgery). Par exemple, si un utilisateur se connecte à un site bancaire pour payer les factures de carte de crédit et quitte le site sans se déconnecter, puis accède à un site malveillant au cours de la même session, une attaque CSRF peut se produire. Le site malveillant peut inclure du code qui émet une requête au site bancaire qui s’exécute au chargement de la page. Comme l’utilisateur est toujours authentifié sur le site bancaire, le cookie de session peut être utilisé pour lancer une attaque CSRF afin d’initier un événement de transfert de fonds en dehors du compte bancaire de l’utilisateur. En effet, chaque fois que vous visitez un site, tous les cookies sont joints dans la requête HTTP. Et à cause de ces problèmes de sécurité, Google tente maintenant de les atténuer.

Comment Target utilise-t-il les cookies ?

Ceci étant dit, voyons comment Target utilise les cookies. Pour pouvoir utiliser Target en premier lieu, vous devez installer la bibliothèque JavaScript Target sur votre site. Vous pouvez ainsi placer un cookie propriétaire sur le navigateur de l’utilisateur qui visite votre site. Lorsque votre utilisateur interagit avec votre site web, vous pouvez transmettre les données de comportement et d’intérêt de l’utilisateur à Target par l’intermédiaire de la bibliothèque JavaScript. La bibliothèque JavaScript Target utilise des cookies propriétaires pour extraire des informations d’identification sur l’utilisateur à mapper sur le comportement et les données d’intérêt de l’utilisateur. Ces données sont ensuite utilisées par Target pour alimenter vos activités de personnalisation.

Target utilise également (parfois) des cookies tiers. Si vous possédez plusieurs sites web qui se trouvent sur des domaines différents et que vous souhaitez effectuer le suivi du parcours utilisateur sur ces sites, vous pouvez utiliser des cookies tiers en exploitant le suivi inter-domaines. En activant le suivi inter-domaines dans la bibliothèque JavaScript Target, votre compte commencera à utiliser des cookies tiers. Lorsqu’un utilisateur passe d’un domaine à un autre, le navigateur communique avec le serveur principal Target et, dans ce processus, un cookie tiers est créé et placé dans le navigateur de l’utilisateur. Grâce au cookie tiers qui réside sur le navigateur de l’utilisateur, Target peut offrir une expérience cohérente sur différents domaines pour un utilisateur unique.

Pour garantir la protection des utilisateurs lors de l’envoi de cookies à l’ensemble des sites, Google prévoit d’ajouter la prise en charge d’une norme IETF appelée SameSite, ce qui oblige les développeurs web à gérer les cookies avec le composant d’attribut SameSite dans l’en-tête Set-Cookie.

Il existe trois valeurs différentes qui peuvent être transmises à l’attribut samesite : Strict, Lax (Permissif) ou None (Aucun).

Valeur Description
Strict Les cookies avec ce paramètre sont accessibles uniquement lors de la visite du domaine sur lequel il a été initialement défini. En d’autres termes, Strict empêche complètement le cookie d’être utilisé sur plusieurs sites. Cette option est préférable pour les applications nécessitant une sécurité élevée, telles que les banques.
Lax Les cookies avec ce paramètre sont envoyés uniquement sur les requêtes du même site ou sur la navigation de niveau supérieur avec des requêtes HTTP non idempotentes, comme HTTP GET. Par conséquent, cette option serait utilisée si le cookie peut être utilisé par des tiers, mais avec un avantage de sécurité supplémentaire qui protège les utilisateurs contre les attaques CSRF.
None Les cookies avec ce paramètre fonctionnent de la même manière que les cookies aujourd’hui.

En gardant à l’esprit les éléments ci-dessus, Chrome 80 introduit deux paramètres indépendants pour les utilisateurs : "Cookies samesite par défaut" et "Les cookies sans samesite doivent être sécurisés". Ces paramètres seront activés par défaut dans Chrome 80.

Boîte de dialogue SameSite

  • Cookies samesite par défaut : Lorsqu’il est défini, tous les cookies qui ne spécifient pas l’attribut samesite sont automatiquement forcés d’utiliser SameSite = Lax.
  • Les cookies sans samesite doivent être sécurisés : Lorsqu’il est défini, les cookies sans attribut SameSite ou avec SameSite = None besoin d’être sécurisés. Dans ce contexte, toutes les demandes de navigateur doivent respecter le protocole HTTPS. Les cookies qui ne respectent pas cette exigence sont rejetés. Tous les sites web doivent utiliser HTTPS pour répondre à cette exigence.

Target respecte les bonnes pratiques de sécurité de Google

En Adobe, nous voulons toujours prendre en charge les dernières bonnes pratiques du secteur en matière de sécurité et de confidentialité. Nous sommes heureux d’annoncer que Target prend en charge les nouveaux paramètres de sécurité et de confidentialité introduits par Google.

Pour le paramètre "Cookies samesite par défaut", Target continuera à fournir la personnalisation sans aucun impact ni intervention de votre part. Target utilise des cookies propriétaires et continuera à fonctionner correctement lorsque l’indicateur SameSite = Lax est appliqué par Google Chrome.

Pour l’option "Les cookies sans samesite doivent être sécurisés", si vous ne souscrivez pas à la fonctionnalité de suivi inter-domaines dans Target, les cookies propriétaires dans Target continueront à fonctionner.

Cependant, lorsque vous souscrivez à l’utilisation du suivi inter-domaines pour exploiter Target sur plusieurs domaines, Chrome nécessite que les indicateurs SameSite = None et Secure soient utilisés pour les cookies tiers. Cela signifie que vous devez vous assurer que vos sites utilisent le protocole HTTPS. Les bibliothèques côté client dans Target utiliseront automatiquement le protocole HTTPS et associeront les indicateurs SameSite = None et Secure aux cookies tiers dans Target pour s’assurer que toutes les activités continuent de s’exécuter.

Que dois-je faire ?

Pour comprendre ce que vous devez faire pour que Target continue à fonctionner pour les utilisateurs de Google Chrome 80+, consultez le tableau ci-dessous, qui comporte les colonnes suivantes :

  • Bibliothèque JavaScript Target : Si vous utilisez at.js 1.xor at.js 2. xon vos sites.
  • Cookies samesite par défaut = Activé : Si les cookies "samesite par défaut" sont activés pour vos utilisateurs, comment cela vous affecte-t-il et devez-vous prendre des mesures Target pour continuer à fonctionner ?
  • Les cookies sans samesite doivent être sécurisés = Activé : Si l’option "Les cookies sans samesite doivent être sécurisés" est activée pour vos utilisateurs, comment cela vous affecte-t-il et devez-vous prendre des mesures pour Target continuer à fonctionner ?
Bibliothèque JavaScript Target Cookies samesite par défaut = Activé Les cookies sans samesite doivent être sécurisés = Activé
Paramètres at.js 1.** xwith cookie propriétaire. Aucun impact. Aucun impact si vous n’utilisez pas le suivi inter-domaines.
Paramètres at.js 1.** xwith suivi inter-domaines activé. Aucun impact. Vous devez activer le protocole HTTPS pour votre site.
Target utilise un cookie tiers pour effectuer le suivi des utilisateurs et Google exige que les cookies tiers aient SameSite = None et l’indicateur Secure. L’indicateur Secure exige que vos sites utilisent le protocole HTTPS.
at.js 2.x Aucun impact. Aucun impact.

Que doit faire Target ?

Alors, que devions-nous faire dans notre plateforme pour vous aider à vous conformer aux nouvelles politiques de cookies Google Chrome 80+ SameSite ?

Bibliothèque JavaScript Target Cookies samesite par défaut = Activé Les cookies sans samesite doivent être sécurisés = Activé
Paramètres at.js 1.** xwith cookie propriétaire. Aucun impact. Aucun impact si vous n’utilisez pas le suivi inter-domaines.
Paramètres at.js 1.**xwith suivi inter-domaines activé. Aucun impact. Paramètres at.js 1.** xwith suivi inter-domaines activé.
at.js 2.x Aucun impact. Aucun impact.

Quel est l’impact si vous n’utilisez pas le protocole HTTPS ?

Le seul cas d’utilisation qui vous affectera est si vous utilisez la fonctionnalité de suivi inter-domaines dans Target jusqu’à at.js 1.x. Sans passer au protocole HTTPS, qui est une exigence de Google, vous verrez un pic du nombre de visiteurs uniques sur vos domaines, car le cookie tiers que nous utilisons sera ignoré par Google. Et comme le cookie tiers sera supprimé, Target ne pourra pas fournir une expérience cohérente et personnalisée à cet utilisateur lorsque celui-ci navigue d’un domaine à un autre. Le cookie tiers est principalement utilisé pour identifier un utilisateur unique naviguant entre les domaines dont vous êtes propriétaire.

Conclusion

Alors que le secteur s’efforce de créer un site web plus sécurisé pour les consommateurs, Adobe s’engage à aider ses clients à offrir des expériences personnalisées d’une manière qui garantisse sécurité et confidentialité aux utilisateurs finaux. Il vous suffit de suivre les bonnes pratiques mentionnées ci-dessus et de tirer parti de Target pour vous conformer aux nouvelles politiques des cookies SameSite de Google Chrome.

Sur cette page