Votre manette permettait de vous traquer sur Chrome, mais Google va y remédier

Firefox en a fait autant

 
Détournable de son objectif premier, l’API Gamepad peut permettre un suivi des utilisateurs sur le web. Après Firefox, Google prend donc la décision de le restreindre sur Chrome… en attendant un correctif.
Manettes Xbox, pour illustration // Source : Arnaud Gelineau – Frandroid

Utilisées depuis des années par de nombreux navigateurs, les APIs permettant de prendre en charge les manettes de jeu peuvent être détournées de leur objectif initial pour permettre un suivi des utilisateurs sur le web. Comment ? En utilisant la méthode du « fingerprinting ». Sur Google Chrome, l’API Gamepad génère en effet un identifiant spécifique à la manette de jeu connectée, ainsi qu’une liste des boutons pris en charge. Ces informations peuvent être comparées à d’autres données collectées, afin d’établir un profil spécifique qui suffira pour suivre l’utilisateur de site en site.

Conscient du problème, Google a décidé cette semaine de restreindre l’API Gamepad employé par Chrome depuis 2012, en attendant qu’un correctif permette de contrecarrer la méthode de suivi qui a su en tirer parti. Pour rappel, Firefox en a fait autant… pour les mêmes raisons.

Google travaille sur deux améliorations de l’API Gamepad

Comme le rapporte XDA Developers, Google travaille sur deux solutions complémentaires qui devraient permettre d’empêcher le fingerprinting avec l’API Gamepad.

On apprend qu’à l’avenir, l’API ne fonctionnera plus que sur les sites supportant le standard HTTPS. Google ajoutera par contre un paramètre permanent #restrict-gamepad-access dans chrome://flags. L’idée sera de permettre aux développeurs de revenir sur ce changement, notamment pour tester leurs jeux sur une page ou un serveur local sans mettre en place un certificat SSL, lit-on. En parallèle, et sans trop en dire pour l’instant, Google souhaite aussi que l’API puisse se comporter différemment d’un point de vue HTML.

Notons quand même que le suivi à l’aide de l’API Gamepad est vraisemblablement peu usité. Pour être efficace, il implique en effet qu’une manette soit connectée, ce qui réduit la quantité d’utilisateurs pouvant être suivis, la quantité de données collectées… et donc la pertinence de cette méthode de tracking.

Google vise néanmoins à rendre Chrome toujours plus sécurisé. Verrouiller un peu plus l’API Gamepad s’inscrit dans cette démarche. On ignore par contre quand les changements en gestation chez Google seront déployés à grande échelle sur son navigateur.


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.