FLoC ou pas FLoC ? Joomla! a choisi son camp

FLoC, Federated Learning of Cohorts en anglais, est une nouvelle technologie développée par Google dans un projet de rendre le Web plus privé. Comme la présence dans la même phrase des termes Google et Web privé s'apparente à un oxymore, il convient de creuser un peu la question et de se méfier de l'entreprise américaine. Sous la pression du RGPD et des diverses directives concernant les cookies et traceurs, Google cherche à remplacer le suivi des utilisateurs via les cookies tiers par d'autres moyens. L'un de ceux-ci consiste à utiliser l'historique de navigation du navigateur, Chrome essentiellement, pour connaître les intérêts et comportements sur le Web de son utilisateur. Ces données sont transmises à Google qui les incorpore à des cohortes, c'est-à-dire des populations de sujets qui répondent à une définition donnée et qui sont suivis dans le temps. Google assure que le nombre (minimum 1000) de sujets dans la cohorte suffit à assurer l'anonymat des individus.

 Mais tout le monde n'est pas aussi convaincu. L'argument principal des opposants à cette procédure est qu'en définitive on propose aux utilisateurs de choisir entre un mode de suivi et un autre mode de suivi, alors que le choix devrait se limiter à être suivi ou pas. Point.

Plusieurs acteurs technologiques du Web ont annoncé leur opposition à la mise en place de cette nouvelle norme. Pour les navigateurs, c'est par exemple le cas de Brave, Vivaldi ou DuckDuckGo, qui pourtant utilisent le même moteur (Chromium) que Chrome. Pour Edge, qui utilise aussi ce moteur, Microsoft n'a pas encore pris de position claire. Les autres navigateurs, Safari ou Firefox, ne sont pas concernés parce qu'ils utilisent leurs propres technologies.

Au niveau des CMS, Wordpress a décidé qu'il bloquerait par défaut les fonctions FLoC à partir de la version 5.8 tandis que Joomla! le fait dès à présent avec la version 3.9.27, sortie le 25 mai dernier. Il s'agit là d'un blocage par défaut pour tous les sites qui tournent sous cette version.

Comment savoir si votre site bloque les requêtes FLoC ?

Si vous voulez vous assurer que le blocage est effectif, vous pouvez le vérifier via les outils de développements de votre navigateur. Dans Firefox par exemple, vous pouvez faire apparaître cette fenêtre en passant par le menu Outils > Outils du navigateur > Outils de développement web. Dans cette fenêtre, qui s'ouvre en général sur le côté droit de la fenêtre principale, affichez l'onglet Réseau puis naviguez vers l'une des pages de votre site.

Sélectionnez HTML. Vous ne devriez avoir qu'une seule ligne, qui correspond au code HTML de la page sur laquelle vous vous trouvez. Si l'affichage est correct, vous avez un code 200 en regard de la ligne. Sélectionnez cette ligne et consultez le volet En-têtes dans la partie inférieure de la fenêtre d'outils (attention, celle-ci est parfois à peine visible. Vous devez la "remonter" pour en voir le contenu). Filtrez les en-têtes sur le terme "permissions" et, si votre site est protégé, vous voyez la ligne :

permissions-policy : interest-cohort=()

 Il s'agit d'un en-tête HTTP d'une "permissions policy", qui est une instruction donnée au navigateur lui indiquant ce qui est autorisé ou pas sur le site. Dans le cas de FLoC, l'absence de contenu entre les parenthèses signifie qu'on n'autorise pas le transfert des données dans les cohortes. Si cette ligne manque dans les en-têtes HTTP, votre site ne bloque pas les requêtes FLoC.

Comme indiqué plus haut, Joomla! bloque à présent cette fonction via un nouveau paramètre dans la configuration générale du site (onglet Paramètres du site). Si vous voulez participer à l'expérience de Google et accepter le suivi, il suffit de mettre le réglage sur Non. A vous de choisir...

Si vous n'utilisez pas Joomla! et que votre CMS ne propose pas ce réglage dans sa configuration, vous pouvez néanmoins activer facilement le blocage via le fichier .htaccess (ou son équivalent si vous utilisez un autre serveur que Apache) en y ajoutant l'instruction suivante :

<IfModule headers_module>
Header set Permissions-Policy "interest-cohort=()"
</IfModule>

Tant que vous y êtes, vous pouvez en profiter pour bloquer d'autres fonctions par mesure de sécurité. Référez-vous à l'article renseigné dans les ressources externes pour plus d'informations sur les options disponibles.