Web Environment Integrity : pendant que Google affole le web avec son projet de « DRM », Apple fait profil bas

Sur internet, personne ne sait que vous êtes un chien¹… et cela dérange maintenant Google. Le créateur de Chrome étudie un nouveau système d'authentification controversé sur le web. Pensé pour vérifier l'authenticité des terminaux qui se connectent aux services en ligne, le projet Web Environment Integrity fait craindre de multiples dérives. Alors que la polémique enfle, Apple est dans ses petits souliers.

De la confiance, c'est ce que Google veut apporter au web avec Web Environment Integrity. Ce nouveau projet vise à permettre aux sites web de vérifier que les appareils qui s'y connectent sont bien ce qu'ils prétendent être. L'API, qui en est au stade du prototype dans Chromium, la base open source de Chrome, vérifie que le terminal n'a pas été modifié intentionnellement ou non, voire qu'il y a bien un humain derrière l'écran. En cas de vérification infructueuse, le site web ne fournit pas son contenu.

Techniquement, si tous les détails ne sont pas connus, le schéma principal est le suivant : le site web demande au navigateur une vérification de l'intégrité de l'appareil. Le navigateur contacte alors un serveur d'attestation tiers (pourquoi pas géré par Google) qui se charge de la vérification. Après quoi, si le test est concluant, le serveur tiers délivre un jeton (« IntegrityToken ») à l'appareil en guise de laissez-passer.

L'idée de Google derrière ce système, qui s'apparente à un contrôle des droits numériques, ou « DRM », est de contrecarrer toutes sortes d'abus sur le web (robots, hameçonnage, triche sur les jeux en ligne…) et d'ajouter une couche de sécurité pour les opérations sensibles, comme les transactions financières.

Le principe n'est pas inédit, il est déjà appliqué par Google et Apple sur leurs plateformes mobiles respectives. Avec les services Play Integrity sur Android et App Attest sur iOS, les deux géants donnent aux développeurs les moyens de vérifier l'intégrité des applications utilisées, et par extension l'intégrité des appareils. Ces deux dispositifs peuvent bloquer des applications (piratées ou non) sur un smartphone Android rooté ou un iPhone jailbreaké.

Mais le web n'est pas une plateforme comme une autre et les intentions réelles de Google sont remises en cause. « Les mécanismes qui tentent de restreindre les choix sont nuisibles à l'ouverture de l'écosystème du web et ne sont pas bénéfiques pour les utilisateurs », commente sur GitHub Brian Grinstead, ingénieur chez Mozilla.