FLEDGE est une proposition de la Privacy Sandbox destinée à répondre aux cas d'utilisation des audiences personnalisées et du remarketing. Elle est conçue dans le but d'empêcher les tiers de suivre le comportement de navigation des utilisateurs sur les sites. Le navigateur protège contre le microciblage en n'affichant une annonce que si la même URL de rendu s'affiche auprès d'un nombre suffisant de personnes. Une audience doit compter au moins 50 utilisateurs par création au cours des sept derniers jours pour que l'annonce puisse être diffusée. Cela permet également de protéger les utilisateurs contre le suivi intersites en évitant de signaler les URL affichées qui n'atteignent pas le seuil minimal.
Cette protection, appelée k-anonymat, est assurée par un serveur centralisé géré par Google qui gère les décomptes à l'échelle mondiale. Lorsqu'une création atteint le seuil minimal, elle est autorisée à être diffusée auprès des utilisateurs. Consultez notre explication pour en savoir plus sur le k-seuil et sur la conception du service de k-anonymat dans FLEDGE.
Bien que le service de k-anonymat apporte une protection essentielle de la confidentialité, il peut également exposer des données utilisateur sensibles à ce serveur centralisé, telles que l'adresse IP et la chaîne user-agent du navigateur. C'est pourquoi nous améliorons les mesures de confidentialité de Chrome en collaborant avec Fastly, une plate-forme cloud en périphérie qui fournit des services de diffusion de contenu, de calcul en périphérie, de sécurité et d'observabilité, pour faire fonctionner un relais HTTP Oblivious (relais OHTTP) sur le serveur de k-anonymat de FLEDGE.
Lorsque les données sont transmises via un relais OHTTP, les serveurs k-anonymat de Google ne reçoivent pas les adresses IP des utilisateurs finaux. Le serveur de k-anonymat constitue une étape supplémentaire vers l'implémentation complète de FLEDGE. Notez que cela n'a aucune incidence sur les adresses IP exposées aux origines des éditeurs par le biais du comportement de navigation habituel.
Pour implémenter OHTTP, nous nous sommes associés à Fastly afin de gérer une ressource de relais en notre nom. Le navigateur Chrome de l'utilisateur envoie à ce relais une charge utile chiffrée dans le corps d'un message HTTP POST pour le serveur k-anonymat. Le navigateur chiffre le message à l'aide de clés qu'il récupère directement sur le serveur k-anonymat du domaine Google. Le relais transmettra la requête à une passerelle qui s'exécutera sur les serveurs Google. Le relais ne voit donc pas le contenu de la requête, mais il connaît l'adresse IP de l'utilisateur. À l'inverse, le serveur (et la passerelle) de k-anonymat ne connaissent pas l'identité de l'utilisateur, mais peuvent voir le contenu de la requête.
Google prévoit d'exploiter le serveur de k-anonymat pour le compte de tous les utilisateurs de Chrome qui utilisent FLEDGE. Les vérifications de k-anonymat s'appliquent à toutes les technologies publicitaires tierces et aux propres services publicitaires de Google. L'utilisateur est la personne qui bénéficie du k-anonymat, et le navigateur est le logiciel qui peut choisir de le mettre en œuvre et de l'appliquer.
Les propriétés protégeant la confidentialité de FLEDGE s'appliquent autant à Google qu'à l'écosystème dans son ensemble. Ce serveur sera appelé depuis Chrome et la prise en charge d'Android devrait être prévue plus tard en 2023.
Photo par Ian Battaglia, publiée sur Unsplash