Jetons de confiance

Trust Tokens est une nouvelle API qui permet d'aider à lutter contre la fraude et à distinguer les bots des vrais humains, sans suivi passif.

Published on Updated on

Translated to: English, Español, Português, 한국어, 中文, Pусский, 日本語, Deutsch

État d'implémentation

Que sont les jetons de confiance (Trust Tokens) ?

Les jetons de confiance permettent de transmettre la confiance dans l'authenticité d'un utilisateur d'un contexte à un autre, pour aider les sites à lutter contre la fraude et à distinguer les bots des vrais humains, sans suivi passif.

  • Un site web émetteur peut émettre des jetons sur le navigateur web d'un utilisateur qui montre qu'il est digne de confiance, par exemple en utilisant continuellement son compte, en effectuant une transaction ou en obtenant un score reCAPTCHA acceptable.
  • Un site web récepteur peut confirmer qu'un utilisateur n'est pas un faux en vérifiant s'il possède des jetons d'un émetteur auquel il a confiance, puis en échangeant des jetons si nécessaire.

Les jetons de confiance sont chiffrés, il n'est donc pas possible d'identifier un individu ou de connecter des instances approuvées et non approuvées pour découvrir l'identité de l'utilisateur.

Caution

Les jetons de confiance ne remplacent pas la validation reCAPTCHA ou d'autres mécanismes permettant de déterminer si un utilisateur est ou non celui qu'il prétend être.

Les jetons de confiance sont un moyen de transmettre la confiance accordée à un utilisateur, et non d'établir la confiance envers un utilisateur.

Pourquoi les jetons de confiance sont-ils nécessaires ?

Le web a besoin de moyens d'établir et de transmettre des signaux de confiance qui montrent qu'un utilisateur est bien ce qu'il prétend être, et qu'il ne s'agit pas d'un bot qui se fait passer pour un humain ou d'un tiers malveillant fraudant une personne ou un service réel. La protection contre la fraude est particulièrement importante pour les annonceurs, les fournisseurs d'annonces et les réseaux de diffusion de contenu (CDN).

Malheureusement, de nombreux mécanismes existants pour évaluer et propager la fiabilité (pour déterminer si une interaction avec un site provient d'un humain réel, par exemple) tirent parti de techniques qui peuvent également être utilisées pour le fingerprinting. Les mécanismes pour transmettre la confiance doivent préserver la confidentialité, permettant à la confiance de se propager à travers les sites sans suivi individuel des utilisateurs.

Avec l'API Trust Tokens, un site web peut émettre des jetons cryptographiques à un utilisateur en qui il a confiance, qui peuvent ensuite être utilisés ailleurs. Les jetons sont stockés en toute sécurité par le navigateur de l'utilisateur et peuvent ensuite être utilisés dans d'autres contextes pour confirmer l'authenticité de l'utilisateur. Cela permet de transmettre la confiance d'un utilisateur sur un site web (tel qu'un réseau social ou un service de messagerie) à un autre site web (tel qu'un éditeur ou une boutique en ligne), le tout sans identifier l'utilisateur ni lier les identités entre les sites.

Key Term


Le fingerprinting permet aux sites d'identifier et de suivre les utilisateurs individuels en obtenant des données sur leur appareil, leur système d'exploitation et la configuration du navigateur (telles que les préférences de langue, l'user-agent et les polices disponibles) ou les changements d'état de l'appareil. Cela peut être fait sur le serveur en vérifiant les en-têtes de requête ou sur le client avec JavaScript.

Le fingerprinting utilise des mécanismes que les utilisateurs ne connaissent pas et ne peuvent pas contrôler. Des sites tels que Panopticlick et amiunique.org montrent comment les données de fingerprinting peuvent être combinées pour vous identifier en tant qu'individu.

Comment fonctionnent les jetons de confiance ?

Dans cet exemple, un site web d'éditeur souhaite vérifier si un utilisateur est un véritable humain, et non un bot, avant d'afficher une annonce.

  1. Un utilisateur visite un site web (appelé émetteur) et effectue des actions qui amènent le site à croire que l'utilisateur est un véritable être humain, comme effectuer des achats, utiliser un compte de messagerie ou terminer avec succès la validation reCAPTCHA.
  2. Le site émetteur utilise l'API JavaScript Trust Tokens pour déclencher une demande de jetons de confiance au navigateur de l'utilisateur.
  3. Le site émetteur répond avec les données du jeton.
  4. Le navigateur de l'utilisateur stocke en toute sécurité les données du jeton de confiance.
  5. L'utilisateur visite un autre site web (tel qu'un site d'actualités) qui souhaite vérifier s'il s'agit d'un véritable être humain, par exemple, lors de l'affichage d'annonces.
  6. Le site utilise l'API Trust Tokens pour vérifier si le navigateur de l'utilisateur dispose de jetons de confiance stockés pour les émetteurs auxquels ce site fait confiance.
  7. Des jetons de confiance sont trouvés (émis par l'émetteur que l'utilisateur a visité précédemment).
  8. Le site d'éditeur effectue une requête à l'émetteur pour récupérer les jetons de confiance.
  9. Le site émetteur répond avec un enregistrement du jeton.
  10. Le site d'éditeur effectue une requête à une plate-forme publicitaire incluant l'enregistrement du jeton pour montrer que l'utilisateur est reconnu par l'émetteur comme un véritable être humain.
  11. La plate-forme publicitaire fournit les données nécessaires à l'affichage d'une annonce.
  12. Le site d'éditeur affiche l'annonce.
  13. Une impression de vue d'annonce est comptabilisée.

Pour plus de détails sur les appels JavaScript dans cet exemple, consultez Exemple d'utilisation de l'API.

Interagir et donner son avis

En savoir plus

Last updated: Improve article

We serve cookies on this site to analyze traffic, remember your preferences, and optimize your experience.