Google a récemment annoncé le déploiement très prochainement de la technologie FLoC, qui doit servir, dans les grandes lignes, à tracer les utilisateurs de Chromium et ses dérivés (dont Google Chrome) pour leur servir de la publicité ciblée sans passer par les cookies. Je ne reviendrai pas sur la question du pourquoi c'est une terrible nouvelle pour les utilisateurs et pour le Web ouvert, d'autres l'ont fait mieux que moi :
- en anglais, sur le blog de l'Electronic Frontier Foundation : Google’s FLoC Is a Terrible Idea ;
- en français, sur le blog des Tilleuls : Pourquoi Google FLoC est problématique pour la sécurité des utilisateurs du web.
Étant donné que cette fonctionnalité est activée par défaut, et qu'on peut être à peu près certains que les utilisateurs ne penseront probablement pas à la désactiver, souvent parce qu'ils ignoreront son existence (Google s'étant arrangé pour communiquer surtout auprès de la communauté tech ainsi que ses annonceurs), et en attendant que les CNIL européennes s'y intéressent, il est possible également de « désactiver » le traçage de nos visiteurs sur nos sites en ajoutant un entête supplémentaire au retour des requêtes HTTP :
Permissions-Policy "interest-cohort=()"
Je mets des guillemets autour de « désactiver », car en réalité, ça ne désactive rien, ça se contente de dire au système de traçage de mettre le visiteur dans la « cohorte » commune à tous les utilisateurs de Chromium. Donc filtrage minimal, mais traçage quand même.
Si vous avez un serveur sur lequel vous hébergez plusieurs sites, sachez que vous n'avez pas besoin d'ajouter manuellement cet entête à chacun de vos sites, il existe une solution qui tient en une ligne et qui influera sur la totalité de vos sites actuels et futurs :
- sur Apache, ajoutez cette ligne dans le fichier /etc/apache2.conf :
Header set Permissions-Policy "interest-cohort=()"
- sur Nginx, ajoutez ceci dans la section
http
du fichier /etc/nginx.conf :add_header Permissions-Policy 'interest-cohort=()';
Enfin, relancez le serveur Web pour qu'il en tienne compte (service (apache2|nginx) reload
).
Si vous allez voir sur vos sites, vous pourrez voir que les entêtes contiennent désormais le champ adéquat.
Vous pouvez aussi vérifier que votre site est correctement configuré à l'aide de l'outil Am I FLoCed? proposé par l'EFF.
Évidemment, une solution encore meilleure serait d'arrêter d'utiliser Chrome, mais étant donné sa part de marché, ça se fera difficilement du jour au lendemain…