Les projets de Google visant à introduire l’API Web Environment Integrity (WEI) sur Chrome ont été accueillis par de vives réactions de la part des développeurs de logiciels Internet, suscitant des critiques pour avoir limité la liberté des utilisateurs et sapé les principes fondamentaux du Web ouvert.
Les employés de Vivaldi, Brave et Firefox ont adopté une position ferme et opposée à la norme proposée par Google, et certains sont allés jusqu’à l’appeler DRM (gestion des droits numériques) pour les sites Web.
Quelle est la proposition de WEI ?
Web Environment Integrity (WEI) est une nouvelle proposition d’API qui introduit un mécanisme de confiance de site Web qui permet aux sites Web d’évaluer l’authenticité des appareils et du trafic réseau sur les clients (navigateurs) et de bloquer les interactions fausses ou non sécurisées.
Par exemple, ce mécanisme peut être utilisé pour détecter si un humain ou un bot visite un site Web ou si un navigateur particulier sur un type d’appareil spécifique est digne de confiance.
Les sites Web utiliseront l’API pour demander un jeton à un « attestateur » certifié, qui sera signé de manière cryptographique pour empêcher la falsification, aidant le premier à valider que les informations du client sont légitimes.
L’objectif présumé de la proposition WEI est d’aider les sites Web à vérifier l’authenticité de l’appareil et de la pile logicielle à partir desquels ils reçoivent du trafic et à protéger les utilisateurs contre la fraude en dissuadant les activités en ligne malveillantes.
Les exemples de cas d’utilisation incluent la détection de faux engagements sur les réseaux sociaux, les campagnes de phishing, le trafic non humain, les tentatives de piratage de compte en masse, la triche de jeu, les appareils compromis et le forçage brutal des mots de passe.
Google affirme qu’il ne s’agit pas d’un risque pour la confidentialité car cela ne permet pas le suivi des utilisateurs sur plusieurs sites et n’interfère pas avec la fonctionnalité du navigateur ou des plugins/extensions.
Critiques des fournisseurs de navigateurs
Bien que ce qui précède semble positif et utile, le développeur du navigateur Vivaldi, J. Picalausa, a qualifié WEI de « dangereux » dans un article publié plus tôt cette semaine.
« Si une entité a le pouvoir de décider quels navigateurs sont fiables et lesquels ne le sont pas, rien ne garantit qu’elle fera confiance à un navigateur donné », écrit Picalausa.
« Tout nouveau navigateur ne serait par défaut pas digne de confiance jusqu’à ce qu’il ait démontré d’une manière ou d’une autre qu’il est digne de confiance, à la discrétion des attestateurs. »
En outre, Picalausa souligne le flou de la proposition de Google, qui, selon lui, laisse une marge importante pour des abus potentiels comme la collecte de données comportementales auprès des clients.
Le message de Vivaldi explique en outre que choisir de ne pas mettre en œuvre WEI sera compliqué, car Google peut très facilement abuser de sa position dominante sur le marché de la publicité pour imposer son adoption par la majorité des sites, rendant inutiles les projets de navigateur dissidents.
L’équipe du navigateur Brave, cependant, ne craint pas ce scénario car son co-fondateur et PDG, Brendan Eich, a confirmé qu’ils ne prévoyaient pas d’expédier WEI.
En réponse à un fil sur Twitter, Eich a déclaré que le support WEI ne sera pas livré dans Brave, tout comme ils le font avec de nombreux autres mécanismes intrusifs pour la vie privée que Google insère dans le code de Chrome que Brave utilise comme base.
Quant à Mozilla, l’organisation Internet n’a pas encore émis d’avis officiel. Cependant, l’ingénieur de Firefox, Brian Grinstead, a déclaré plus tôt cette semaine que Mozilla s’oppose à la proposition car elle contredit ses principes et sa vision du Web.
« Les mécanismes qui tentent de restreindre ces choix sont préjudiciables à l’ouverture de l’écosystème Web et ne sont pas bons pour les utilisateurs », lit-on dans la déclaration de Grinstead.
« En outre, les cas d’utilisation répertoriés dépendent de la capacité à » détecter le trafic non humain « qui, comme décrit, entraverait probablement de nombreuses utilisations existantes du Web, telles que les technologies d’assistance, les tests automatiques, l’archivage et les moteurs de recherche. »
Actuellement, la proposition d’API WEI de Google est encore dans une phase de développement précoce et peut changer de forme ou être considérablement modifiée si toutes les parties prenantes acceptent sa mise en œuvre.
Aussi, il sera intéressant de voir la réponse des mécanismes législatifs anti-monopolistes et des autorités de la concurrence à cette proposition si Google tente de l’imposer de manière agressive malgré les voix inquiètes et les multiples objections à son encontre.
Breachtrace a contacté Apple et Microsoft pour savoir s’ils prendront en charge cette nouvelle norme, mais n’a pas reçu de réponse pour le moment.