FLEDGE est une proposition de la Privacy Sandbox qui cible une audience personnalisée et les cas de remarketing. Elle est conçue pour empêcher les tiers de suivre les habitudes de navigation de l'utilisateur sur les sites. Le navigateur protège contre le microciblage en ne diffusant une annonce que si la même URL de rendu est diffusée auprès d'un nombre suffisamment élevé de personnes. Pour que l'annonce puisse s'afficher, nous aurons besoin d'une foule de 50 utilisateurs par création au cours des sept derniers jours. Cela permet également de protéger les utilisateurs contre le suivi intersites en empêchant de signaler les URL affichées qui ne répondent pas au seuil minimal.
Cette protection est appelée "k-anonymité". Elle est activée par un serveur centralisé géré par Google qui gère les totaux globaux. Une fois qu'une création atteint le seuil minimal, elle peut être diffusée auprès des utilisateurs. Pour en savoir plus sur le seuil k et la conception du service d'anonymat k dans FLEDGE, consultez notre vidéo explicative.
Bien que le service d'anonymat k fournisse une protection de la confidentialité clé, il peut également exposer des données utilisateur sensibles à ce serveur centralisé, telles que l'adresse IP et la chaîne User-Agent du navigateur. C'est pourquoi nous améliorons les mesures de confidentialité de Chrome en collaborant avec Fastly, une plate-forme cloud de périphérie qui fournit des services de diffusion de contenu, de calcul de périphérie, de sécurité et d'observabilité, pour exploiter un relais HTTP (relais OHTTP) dans le cadre du serveur d'anonymat 𝑘 de FLEDGE.
Les données étant relayées via un relais OHTTP, les serveurs d'anonymat k de Google ne reçoivent pas les adresses IP des utilisateurs finaux. Le serveur d'anonymat k est une étape incrémentielle vers l'implémentation complète de FLEDGE. Notez que cela n'a aucune incidence sur les adresses IP exposées aux origines des éditeurs via le comportement de navigation habituel.
Pour implémenter OHTTP, nous avons conclu un partenariat avec Fastly afin qu'il gère une ressource de relais en notre nom. Le navigateur Chrome de l'utilisateur envoie une charge utile chiffrée dans le corps d'un message HTTP POST pour le serveur d'anonymat k à ce relais. Le navigateur chiffre le message à l'aide de clés qu'il récupère directement auprès du serveur d'anonymat k du domaine Google. Le relais transmettra la requête à une passerelle qui s'exécutera sur les serveurs Google. Le relais ne voit donc pas le contenu de la requête, mais connaît l'adresse IP de l'utilisateur. À l'inverse, le serveur (et la passerelle) d'anonymat k ne connaissent pas l'identité de l'utilisateur, mais peuvent voir le contenu de la requête.
Google a l'intention d'exploiter le serveur d'anonymat k au nom de tous les utilisateurs de Chrome qui utilisent FLEDGE. Les vérifications d'anonymat k s'appliquent à toutes les technologies publicitaires tierces et aux propres services publicitaires de Google. L'utilisateur est la personne qui bénéficie de l'anonymat k, et le navigateur est le logiciel qui peut choisir de l'implémenter et de l'appliquer.
Les propriétés de confidentialité de FLEDGE s'appliquent également à Google et à l'écosystème plus large. Ce serveur sera appelé à partir de Chrome, et la compatibilité avec Android est prévue pour la fin de l'année 2023.
Photo par Ian Battaglia, publiée sur Unsplash