État de l'implémentation
- État de la plate-forme Chrome
- En phase d'évaluation : de Chrome 84 à 101 (désormais terminée).
- Intégration des outils pour les développeurs Chrome
Que sont les jetons d'état privés ?
Les jetons d'état privés permettent la transmission de la confiance en l'authenticité d'un utilisateur d'un contexte à un autre. Ils contribuent ainsi à lutter contre la fraude sur les sites Web et à distinguer les robots des humains, sans suivi passif.
- Un site Web émetteur peut émettre des jetons pour le navigateur Web d'un utilisateur qui prouve sa fiabilité, par exemple en utilisant son compte de manière continue, en effectuant une transaction ou en obtenant un score reCAPTCHA acceptable.
- Un site Web bénéficiaire peut confirmer qu'un utilisateur n'est pas un faux en vérifiant s'il possède des jetons d'un émetteur auquel le bénéficiaire fait confiance, puis en échangeant les jetons si nécessaire.
Les jetons d'état privé sont chiffrés et ne permettent pas d'identifier un individu ni de relier des instances fiables et non fiables afin de découvrir l'identité de l'utilisateur.
Pourquoi avons-nous besoin des jetons d'état privés ?
Le Web a besoin de moyens pour établir et transmettre des signaux de confiance qui montrent qu'un utilisateur est bien celui qu'il prétend être, et non un robot se faisant passer pour un humain ou un tiers malveillant escroquant une personne ou un service réels. La protection contre la fraude est particulièrement importante pour les annonceurs, les fournisseurs d'annonces et les CDN.
Malheureusement, de nombreux mécanismes existants pour évaluer et propager la fiabilité (par exemple, pour déterminer si une interaction avec un site provient d'un véritable être humain) utilisent des techniques qui peuvent également être utilisées pour le fingerprinting. Les mécanismes permettant de transmettre la confiance doivent préserver la confidentialité, ce qui permet de propager la confiance sur les sites sans suivre les utilisateurs individuellement.
Avec l'API Private State Token, un site Web peut émettre des jetons cryptographiques pour un utilisateur de confiance, qui peuvent ensuite être utilisés ailleurs. Les jetons sont stockés de manière sécurisée par le navigateur de l'utilisateur et peuvent ensuite être utilisés dans d'autres contextes pour confirmer l'authenticité de l'utilisateur. Cela permet de transférer la confiance d'un utilisateur sur un site Web (tel qu'un site de réseau social ou un service de messagerie) vers un autre site Web (tel qu'un éditeur ou une boutique en ligne) sans identifier l'utilisateur ni associer les identités sur les sites.
Comment fonctionnent les jetons d'état privés ?
Dans cet exemple, un site Web d'éditeur souhaite vérifier qu'un utilisateur est une personne réelle et non un robot avant d'afficher une annonce.
- Un utilisateur accède à un site Web (appelé émetteur) et effectue des actions qui amènent le site à croire que l'utilisateur est une personne réelle, comme effectuer des achats, utiliser un compte de messagerie ou réussir un test reCAPTCHA.
- Le site de l'émetteur utilise l'API JavaScript Private State Token pour déclencher une demande de jetons de confiance pour le navigateur de l'utilisateur.
- Le site de l'émetteur répond avec des données de jeton.
- Le navigateur de l'utilisateur stocke les données du jeton de confiance de manière sécurisée.
- L'utilisateur accède à un autre site Web (celui d'un éditeur d'actualités, par exemple) qui souhaite vérifier qu'il s'agit bien d'un être humain, par exemple lors de l'affichage d'annonces.
- Le site utilise l'API Private State Token pour vérifier si le navigateur de l'utilisateur a stocké des jetons de confiance pour les émetteurs auxquels le site fait confiance.
- Des jetons d'état privés sont trouvés pour l'émetteur que l'utilisateur a consulté précédemment.
- Le site de l'éditeur envoie une demande à l'émetteur pour échanger les jetons de confiance.
- Le site de l'émetteur répond avec un enregistrement de l'échange.
- Le site de l'éditeur envoie une requête à une plate-forme publicitaire, y compris l'enregistrement de l'échange, pour montrer que l'utilisateur est considéré comme une personne réelle par l'émetteur.
- La plate-forme publicitaire fournit les données nécessaires à l'affichage d'une annonce.
- L'annonce s'affiche sur le site de l'éditeur.
- Une impression de vue d'annonce est comptabilisée.
Des outils sont-ils disponibles pour les jetons d'état privés ?
Les outils pour les développeurs Chrome activent l'inspection depuis les onglets "Réseau" et "Application". En savoir plus sur cette intégration des outils pour les développeurs et sur les jetons d'état privés
Comment les sites Web gèrent-ils les jetons provenant de plusieurs émetteurs de confiance ?
Le site peut vérifier si le navigateur d'un utilisateur contient des jetons valides avec document.hasTrustToken() pour un émetteur à la fois. Si la valeur renvoyée est true et qu'un jeton est disponible, le site peut l'utiliser et cesser de rechercher d'autres jetons.
Le site Web doit décider quels émetteurs de jetons vérifier et dans quel ordre.
Cas d'utilisation
Les jetons d'état privés (PST) sont compatibles avec différents cas d'utilisation antifraude. À la base, PST peut servir de signal de confiance supplémentaire, car l'API est capable d'encoder des informations qui peuvent aider à transmettre la confiance d'un contexte à un autre. À mesure que les cookies tiers disparaissent, nous reconnaissons qu'il sera essentiel de s'assurer que les cas d'utilisation tels que les suivants peuvent toujours fonctionner selon les besoins. Tous les cas d'utilisation de PST nécessitent une collaboration entre les émetteurs et les bénéficiaires. Vous pouvez envisager d'utiliser PST si vos cas d'utilisation sont semblables à l'un des suivants :
- Services antifraude : la prévention de la fraude est un cas d'utilisation légitime que le Web devrait prendre en charge, mais elle ne devrait pas nécessiter d'identifiant stable, global et par utilisateur. Dans les contextes tiers, la PST peut être utilisée pour segmenter les utilisateurs en ensembles fiables et non fiables.
- Analyse de la fraude publicitaire : PST peut être utile pour analyser les clics, les impressions et les systèmes de robots frauduleux dans les services de technologie publicitaire.
- Détection des robots : une fois que vous avez analysé si un navigateur est un robot ou non, PST peut vous aider à encoder ces informations pour les partager d'un contexte à un autre.
- Paiements sécurisés : pour détecter les menaces plus difficiles à identifier dans un contexte tiers avec des informations limitées (comme le carding), PST peut être utilisé comme signal supplémentaire pour transmettre la confiance.
- Services anti-abus dans l'e-commerce : il est très important de détecter les robots dans les interactions d'e-commerce (clics, paiement, achat, notes de produits, chatbots, retours) pour éviter le scraping de pages et les interactions non humaines. Cela peut constituer un signal supplémentaire important pour détecter les agents automatisés pour les fournisseurs tiers de solutions antifraude sur les plates-formes d'e-commerce.
- Services CDN : les PST fournissent un mécanisme permettant de faciliter la détection et le signalement du trafic frauduleux.
Cette liste de cas d'utilisation n'est pas exhaustive et ne présente pas toutes les fonctionnalités antifraude qui peuvent bénéficier des jetons d'état privé. Cette liste n'est pas non plus mutuellement exclusive. Le PST peut être utile pour plusieurs workflows antifraude.
Parcours utilisateur
L'émission et l'utilisation sont les principaux composants des jetons d'état privés. Bien que les cas d'utilisation précédents soient les principaux domaines dans lesquels les PST sont acceptées, vous pouvez considérer les moments suivants de certains parcours utilisateur comme des cas où vous souhaiteriez réellement émettre ou échanger des jetons :
- Émettre des jetons lors des flux de gestion de compte (connexion, inscription, réinitialisation du mot de passe, etc.)
- Émettre des jetons après confirmation d'une authentification multifacteur (MFA)
- Émettre des jetons après des actions à haut risque, comme la suppression de l'historique des paiements
- Échanger des jetons pour la confirmation multisite avant les actions à risque modéré
- Échanger des jetons pour la confirmation multisite avant les actions à haut risque
Respect des lois sur la confidentialité électronique
L'émission de jetons d'état privé implique le stockage d'informations sur l'équipement terminal d'un utilisateur. Il s'agit donc d'une activité soumise aux lois sur la confidentialité électronique dans l'Espace économique européen (EEE) et au Royaume-Uni, qui nécessitent généralement le consentement de l'utilisateur. En tant qu'émetteur, il vous incombe de déterminer si votre utilisation de l'API Private State Tokens est strictement nécessaire pour fournir un service en ligne explicitement demandé par l'utilisateur et, par conséquent, exempté de l'obligation de consentement. Pour en savoir plus, nous vous invitons à consulter nos questions fréquentes sur la conformité liée à la confidentialité concernant la Privacy Sandbox.
Interagir et envoyer des commentaires
- Essai Origin Trial : il est désormais terminé.
- GitHub : lisez la proposition, posez des questions et suivez la discussion.
- W3C : discutez des cas d'utilisation dans le secteur au sein du groupe de travail "Improving Web Advertising".
- IETF : fournir des informations techniques pour le protocole sous-jacent dans le groupe de travail Privacy Pass de l'IETF.
- Assistance pour les développeurs : posez des questions et participez à des discussions sur le dépôt d'assistance pour les développeurs Privacy Sandbox.
- Questions sur la phase d'évaluation : signalez un bug Chromium ou répondez au formulaire de commentaires qui vous est envoyé en tant que participant à la phase d'évaluation.