La « boite à cookies » de Firefox est plus importante pour vous qu’il n’y parait. L’objectif ? Éviter que les sites ne voient les autres cookies.

Si Google a dans l’idée de mettre fin aux cookies tiers dans Chrome, Mozilla a un autre plan : enfermer chaque cookie déposé dans une « boîte à cookies », de façon à ce que chaque site ne puisse accéder qu’au sien et surtout pas à ceux des autres. Et ce plan, Mozilla vient de commencer à l’exécuter depuis le 14 juin pour Firefox, avec une généralisation d’ici au 23 août.

Derrière la métaphore de la boîte à cookies se cache en fait un dispositif dont le nom véritable est la « protection totale contre les cookies » (ou TCP, pour Total Cookies Protection). Il s’agit d’un mécanisme qui est désormais activé par défaut pour tous les nouveaux internautes à partir du 14 juin. Pour les autres, il sera allumé petit à petit jusqu’au 23 août.

Les cookies, ou témoins de connexion, sont des fichiers stockés sur le PC (ou le téléphone) par le navigateur. Les objectifs qu’ils remplissent sont divers : ils servent par exemple à reconnaître un visiteur, pour lui éviter d’avoir à se reconnecter. Ils servent aussi à des fins publicitaires et de pistage — c’est pour cela qu’ils sont aussi décrits comme des traceurs.

Pour le titre autrement, TCP cloisonne les cookies et les sites, pour prévenir certains débordements qui mettent à mal la confidentialité de la navigation. Il n’est plus possible, avec ce système, d’aller prendre du renseignement dans d’autres cookies, car ils sont tous dans leur propre boîte à cookies, à l’abri des regards indiscrets.

Chaque cookie dans sa boîte et les sites seront bien cloisonnés

Ces boîtes à cookies sont très utiles pour réduire les possibilités de collecte d’informations sur les internautes — ces récoltes peuvent servir dans le cas de la publicité ciblée. En se basant sur les habitudes de navigation, les annonceurs cernent plus efficacement les centres d’intérêt du public et peuvent ainsi pousser des réclames qui touchent mieux au but.

Si les boîtes à cookies de Firefox existaient déjà dans un mode spécial de Firefox (le mode strict, qui règle le navigateur avec les options les plus poussées contre le traçage des activités), le projet en lui-même a mis énormément de temps à voir le jour pour le grand public et pour arriver par défaut. Les réflexions sur ce thème remontent à… 2010. Une éternité, en temps web.

boîte à cookies
Plus de pot commun : chacun n’a droit qu’à sa propre boîte. // Source : Meghan Newell

« Pour illustrer l’ampleur de ce changement, voici la proposition initiale de partitionnement de l’état dans Firefox, datant de 2010 – il y a 12 ans ! Ils espéraient l’intégrer par défaut dans Firefox 4. Il y a seulement 97 versions de cela ;) », écrit Steven Englehardt, un ancien de Firefox, aujourd’hui employé par le moteur de recherche DuckDuckGo.

Aujourd’hui, Mozilla se félicite pour ce pas enfin effectué. « Avec ce déploiement, Firefox devient le premier et le seul grand navigateur à offrir une protection complète contre les cookies de suivi tout en isolant les sites, ce qui représente un énorme pas en avant dans la protection de la vie privée et la sécurité des internautes », lit-on dans le communiqué.

Mais si on dézoome quelque peu, on se rend compte que d’autres navigateurs avant lui organisent déjà le partitionnement du stockage des cookies tiers. On peut citer Brave (qui n’est certes pas l’un des grands navigateurs du marché), mais aussi Safari, qui est au contraire l’un des poids lourds du secteur. Il est exact en revanche que Chrome et Edge ne suivent pas cette approche.

Même si elle peut être jugée tardive, la démarche de Mozilla est favorable aux internautes — l’organisation explique que cette boîte à cookies assure les arrières de celles et ceux qui, par habitude, cliquent sur le bouton « accepter tous les cookies » sans percevoir tous les enjeux que cela recouvre. C’est un filet de sécurité pour les internautes qui n’y connaissent pas grand-chose

En outre, cela n’interdit pas les cookies tiers. Ces derniers peuvent toujours être déposés. Simplement, chaque site doit désormais se contenter de sa propre boîte à cookies : il n’est plus possible d’aller se goinfrer en données ailleurs. Cette politique rejoint l’arrivée d’un mode de sécurité pour isoler les sites entre eux, mais aussi les mesures prises sur les cookies depuis des années.