Les navigateurs Google Chrome et Apple Safari ont tous deux révisé leur système d’extensions d’une manière qui a contrarié les bloqueurs de publicité. Les motivations des deux géants étaient sans doute différentes, tout comme les conséquences politiques.

Crédit : Patrick Emerson // Flickr

Pour Google, ce début d’année 2019 s’était inauguré par un concert de casseroles. La firme avait apporté des changements au système d’extensions dans son navigateur Chrome. Ces décisions logicielles ont empêché beaucoup de bloqueurs de publicité de fonctionner correctement. Beaucoup y ont vu une manière pour Google de défendre ses revenus publicitaires, et face à la levée de boucliers, le géant a dû réviser certains détails.

Des réformes logicielles très similaires ont eu lieu chez Apple à partir de l’été 2018, sur le navigateur Safari. Avec la sortie de Safari 13 la semaine dernière, l’ancien système d’extension a définitivement été mis au placard. Plusieurs bloqueurs de publicité ont dû rabaisser leurs fonctionnalités sur le navigateur à la pomme depuis un an. Le bruit médiatique a cette fois-ci été beaucoup plus feutré.

Google et Apple avaient tous les deux des raisons légitimes de réviser leurs systèmes d’extensions de navigateur. L’objectif principal de ces mesures n’était sans doute pas d’entraver les bloqueurs de publicités, ceux-ci étant avant tout des victimes collatérales. Que les deux géants se préoccupent ou non de leurs déboires, voire trouvent un intérêt à accentuer ces tribulations, c’est une tout autre histoire.

Quand Google déclare la guerre aux malwares…

Google Chrome, c’est 65 % du marché des navigateurs web. Si on compte également la version open source Chromium — sur laquelle sont basés des acteurs tels qu’Opéra, Vivaldi, Kiwi ou Brave — le géant de Mountain View tient un petit empire. Qui dit grande population d’utilisateurs, dit nécessité d’être efficace dans son maintien de l’ordre.

Les extensions d’un navigateur web, ce sont comme de petites applications qui se greffent au logiciel principal. Comme pour toutes les applications, elles existent en très grand nombre et à des niveaux de qualité divers. Et surtout, certaines dissimulent des malwares derrière une apparence anodine. Les plateformes font des efforts pour supprimer les extensions malveillantes, usant par exemple du machine learning pour détecter les comportements suspects, mais c’est une lutte sans fin.

Il y a deux semaines encore, Google donnait un coup de balai à des extensions malveillantes qui usurpaient le nom d’adblockers respectés, AdBlock Plus et uBlock Origin. Les modules frauduleux avaient été téléchargés par plus de 2 millions de personnes. Vu que les antivirus considèrent déjà Chrome comme un logiciel sain, les ajouts nocifs qui y sont faits tendent à passer entre les mailles du filet.

Tout cela fait que Google a intérêt à bétonner son navigateur. Cela permet aussi de rendre Chrome ou Chromium plus stables et rapides, car moins susceptibles aux frictions et aux bugs. Le géant a accéléré ses efforts à partir d’octobre 2018, et a publié en janvier 2019 son Manifeste V3, qui détaille un ensemble de mesures devant être appliquées à un horizon indéterminé. Fin mai, la firme a par exemple annoncé restreindre l’accès des extensions aux données des utilisateurs.

« C’est comme si Google partait du principe que toutes les extensions Chrome sont malveillantes, mais bon, ce sont eux qui font tourner leur boutique », déclarait à WIRED le cryptographe Matthew Green de l’université Johns Hopkins à Baltimore. « J’ai l’impression que Google traite ses extensions comme si elles étaient des déchets radioactifs. Peut-être que c’est vraiment ce qu’elles sont. » À l’heure actuelle, les installations d’extensions malicieuses sur Chrome auraient chuté de 89% par rapport à début 2018.

… et quand Apple veut un logiciel seamless…

Dans le jardin clos d’Apple, il est assez facile de déraciner les mauvaises herbes. Surtout dans Safari, qui ne capture que 3,5 % du marché des navigateurs, et n’est donc pas une cible privilégiée pour la délinquance. Mais le gardien du verger veut aussi qu’il n’y ait pas une feuille qui dépasse, et que tous les logiciels de son écosystème soient aussi intégrés que possible entre eux pour une expérience « seamless ». Un terme très utilisé par la pomme et qui, en bon français, désigne une expérience sans heurt.

Tout remonte à deux mécanismes logiciels qu’Apple a introduits avec iOS 9 en 2013. En eux-mêmes, ils sont parfaitement anodins. App Extensions permet à une application d’étendre sa fonctionnalité sur une autre application. Combiné à une API nommée Content Blocker, le mécanisme autorise une application à dire à Safari de bloquer tel ou tel élément d’une page web en fonction d’une série de règles.

Après quelques années, Apple a réalisé que les développeurs n’avaient plus vraiment besoin d’écrire des extensions spécifiques pour Safari, vu qu’une application standard dans l’App Store pourrait faire le même travail. La firme a annoncé en été 2018 qu’elle allait mettre fin à l’ancien système d’extensions dans un futur proche. Les développeurs étaient avisés de porter leur code sur une « extension d’application » et à mettre celle-ci sur l’App Store. Aujourd’hui, sur le Safari 13 livré avec iOS 13, les anciennes extensions ne sont plus reconnues.

… les bloqueurs de publicité en bavent

Que ce soit chez Google ou chez Apple, les API de blocage de contenu sont basées sur un système de règles de filtrage. Une extension peut dire « si tel élément du site ressemble à ceci ou cela, c’est sûrement un affichage publicitaire et il faudra le bloquer »Mais pour faire du blocage de publicité dans la vraie vie, il faut définir beaucoup de règles. Vraiment beaucoup.

Sur Chrome, les adblockers dépendaient auparavant d’une interface logicielle appelée Web Request API. Dans la V3 de son manifeste Chrome, Google a exprimé le souhait de la remplacer par une Declarative Net Request API. Celle avait un nombre de règles originellement limité à 30 000, un nombre considéré comme très bas. Apple Safari permet lui 50 000 règles, ce qui est à peine mieux.

Le délai lié au blocage n’est que de quelques millisecondes

Les raisons de cette contrainte ne sont pas explicitées, mais on peut supposer — entre autres motivations honnêtes — que ce serait lié aux performances logicielles. La V3 de Google argumente que certaines extensions peuvent avoir « un impact négatif sur l’expérience utilisateur », ce qui justifierait « la restriction des capacités de blocages [des requêtes HTTP] de l’API webRequest ». Une étude ultérieure, publiée par la maison-mère de l’extension Ghostery, indique au contraire que le délai lié au blocage n’est que de quelques millisecondes.

Suite au tollé, Google a annoncé relever le plafond de règles de son API à 90 000, puis 120 000, et enfin 150 000. Les développeurs d’adblockers considèrent encore cela insuffisant. Les navigateurs concurrents Opéra, Brave et Vivaldi, tous trois mettant l’accent sur les droits et libertés numériques et tous trois basés sur Chromium, ont déclaré qu’ils n’entérineraient pas les modifications de Google.

L’API d’Apple comporte aussi des limitations sur d’autres aspects, comme la possibilité de mettre certains contenus sur liste blanche. Si vous voulez soutenir financièrement votre site d’actualités smartphone préféré (coucou, c’est nous !), vous pouvez vouloir le whitelister pour lever le blocage de publicité lorsque vous vous trouvez dessus. De même, par exemple, pour les chaînes des YouTubeurs que vous aimez. Avec le Safari Content Blocking, c’est encore possible, mais en disant à Safari de désactiver le bloqueur de publicité sur des sites donnés. L’utilisateur est donc obligé de passer par des paramètres d’Apple.

Plusieurs extensions ont alors préféré se retirer de Safari, ne serait-ce que le temps de réécrire leur code — en le débarrassant de fonctions additionnelles, comme celles de VPN. AdGuard a temporairement plié bagage en juillet 2018 (il est depuis revenu, et affiche aujourd’hui un bandeau promotionnel « Safari 13 a désactivé votre bloqueur de publicité ? Voici une réduction de 30% pour vous ! »).

Le patron de Malwarebytes, Thomas Reed, a tweeté peu de temps après que son bloqueur de publicité était lui aussi affecté. « Au bout d’un moment, tout a changé. Apple a juste changé d’avis, et il n’y a pas de solution facile à cela », constatait en septembre 2018 Tomasz Koperski, CTO d’AdBlock, auprès de Fast Company. Safari a suffisamment peu d’utilisateurs pour que les adblockers puissent se permettre de quitter momentanément le navire. De telles manœuvres ne seraient pas possibles avec Chrome, dont ces extensions dépendent pour leur survie financière.

Échos politiques

Google et Apple ont mis en œuvre des mesures similaires. Vu que le premier a partiellement fait machine arrière, Apple est de facto le plus restrictif des deux. On ignore les parts d’intentions légitimes et douteuses qui ont conduit à ces résultats, mais il est clair que ce n’est pas anodin sur le plan politique.

Nul besoin de le rappeler, le modèle économique de Google est très largement basé sur la publicité. Les adblockers nuisent donc directement aux revenus de la firme. Dans un monde purement cynique où l’opinion publique n’existerait pas, le géant de Mountain View ne se priverait sûrement pas de leur mettre des bâtons dans les roues. Mais heureusement, même les plus gros poids lourds de la Silicon Valley sont encore sensibles aux scandales.

L’hégémonie de Google en fait une entreprise très scrutée par les autorités de la concurrence. Même si le géant est largement passé entre les gouttes jusqu’ici, c’est dans son intérêt de ne pas en rajouter une couche. Son pouvoir sur le numérique est d’ailleurs tel qu’il se produit un phénomène bien connu des relations internationales : l’équilibre des puissances, qui fait que les acteurs plus faibles (comme les bloqueurs de publicité, mais aussi les utilisateurs individuels) auront tendance à se liguer contre lui pour contrecarrer tout abus.

Le Congrès américain à Washington, qui a ouvert une enquête en antitrust contre quatre géants du numérique.

Apple est avant tout un fabricant de smartphones, et ses recettes publicitaires sont négligeables. À moins d’imaginer une manœuvre diplomatique tarabiscotée, il n’y a pas lieu de penser que la firme de Cupertino a une animosité particulière envers les bloqueurs de publicité. Mais il faut se l’avouer, la Pomme cultive volontiers l’idée qu’elle sait mieux que tout le monde ce qui est bon pour les utilisateurs. D’où sa probable absence de remords devant les lamentations des adblockers.

Pourtant, cette indifférence rentre en contradiction avec d’autres idéaux affichés par l’entreprise de Tim Cook. Les bloqueurs de publicité sont d’importants protecteurs de la vie privée, car ils gardent à distance nombre de cookies et de dispositifs de pistage. Vu comment Cupertino agite la bannière de la confidentialité, cette politique a de quoi être perçue comme un « deux poids, deux mesures ».

Dans tous les cas, si vous tenez à vos bloqueurs de publicité, vous pouvez tenter une alternative aux navigateurs des deux géants — comme Firefox, Brave, Opéra, et d’autres encore.

Notre sélection des meilleurs navigateurs Internet sur Android