Google Chrome vous mélange les pinceaux

October 8, 2018 · 4 minutes de lecture    sécurité

Vous en avez peut-être entendu parler récemment, Chrome a effectué un changement dans la gestion des logins qui faut beaucoup de bruit. Voici un petit résumé du problème.

Chrome et ses deux authentifications

Depuis quelques années, Chrome embarque une fonctionnalité permettant de logger votre session Google dans Chrome, ce qui permet de synchroniser vos sessions Chrome (extensions, marque-pages, mots de passe etc.) entre plusieurs ordinateurs ou smartphones. Bien sur, cela donne également nettement plus d’informations personnelles à Google.

Il y a donc au final deux facons de se logger dans son compte Google avec Chrome :

  • En se loggant sur mail.google.com directement, dans ce cas-là aucune information sur votre navigateur n’es partagée avec google
  • En se loggant dans l’interface de Chrome directement, ce qui synchronise toutes les données.

Et pendant longtemps ces deux facons de se logger impliquaient une différence claire dans l’interface de Chrome.

Connexion dans Google

Connexion dans Chrome

Depuis fin septembre, Google a opéré un changement majeur et discret, puisque se logger dans Gmail vous logge directement dans Chrome. Ici par exemple, j’ai juste visité mail.google.com et entré mon login, mot de passe et clé temporaire, et me voici loggé dans Chrome :

Cela ne synchronise pas directement toutes vos données avec Google, mais vous êtes à un mauvais clic de le faire : il suffit de cliquer sur le bouton “Synchroniser en tant que …” pour que Chrome envoie toutes vos données aux serveurs de Google :

Ce changement implique également que supprimer toutes vos données de navigation (Cookies etc.) ne supprime plus les cookies des domaines Google. Par exemple ici sur mon Windows 7, après avoir effacé toutes les données de navigation, il reste tous les cookies des domaines Google :

De fait, Google peut maintenant suivre votre navigation, y compris une fois que vous avez supprimé toutes les données, puisque les cookies de Google restent.

Abus de position dominante ?

Ce changement pose un problème majeur de confiance dans les développements futurs de Chrome. Depuis le lancement du projet, Chrome a été présenté et concu comme un navigateur permettant de lutter contre la domination de Microsoft avec Internet Explorer et donc de permettre une accès plus direct aux services de Google et d’avoir un impact sur la standardisation du web. Le projet en lui-même ne générait pas de revenu directement mais permettait à des millions de personnes d’utiliser les services Google.

Cette modification récente laisse entrevoir un changement de position de Google qui commence à utiliser la position dominante de Chrome pour pousser les utilisateurs à partager plus de données mais également favoriser le tracage des utilisateurs par les services de Google. Ca contrevient à une règle majeure : Chrome ne devrait pas agir différement avec les sites de Google qu’avec les autres sites.

Cela laisse donc craindre des changements futurs problématiques pour Chrome. Et si Google reproduit la même facon de faire, cela se fera sans information aux utilisateurs et avec une interface ne permettant pas de comprendre clairement les changements en cours.

Que faire ?

Changer de navigateur

Pour beaucoup d’utilisateurs, cela a été une raison suffisante pour change de navigateur. Pour cela, vous avez deux options : Chromium ou Firefox.

Sous Linux, la plupart des distributions proposent Chromium directement dans le gestionnaire de package. Sous Windows ou Mac, il est plus compliqué d’avoir Chromium, la seule solution étant de télécharger la dernière version non-stable ici, ce qui est problématique car la version non-stable contient pas mal de nouvelles fonctionnalités non-testées et donc contenant pas mal de bugs.

Pour Firefox, il est facilement téléchargeable sous Windows ou Mac OS. Firefox était réputé pour être lent mais la version 57 sortie l’année dernière a considérablement amélioré sa vitesse de chargement. Il est aujourd’hui très rapide et en développement actif par Mozilla.

Configurer correctement Chrome

La seconde option consiste à désactiver cette nouvelle fonctionnalité dans les options de Chrome. Pour cela, allez sur la page chrome://flags/#account-consistency, et désactivez la fonctionnalité appelée “Identity consistency between browser and cookie jar” :

Il vous suffit ensuite de redémarrer votre navigateur.

N’hésitez pas à me contacter sur Twitter si vous avez des questions.