Jetons d'état privés

État de l'implémentation

Que sont les jetons d'état privés ?

   

Les jetons d'état privés permettent de transmettre la confiance dans l'authenticité d'un utilisateur d'un contexte à un autre. Cela aide les sites à lutter contre la fraude et à distinguer les robots des vrais humains, sans suivi passif.

  • Un site Web émetteur peut émettre des jetons au navigateur Web d'un utilisateur qui atteste de sa fiabilité (par exemple, en continuant d'utiliser le compte, en effectuant une transaction ou en obtenant un score reCAPTCHA acceptable).
  • Un site Web d'échange peut confirmer qu'un utilisateur n'est pas un faux en vérifiant s'il dispose de jetons provenant d'un émetteur approuvé par l'émetteur, puis en utilisant les jetons si nécessaire.

Les jetons d'état privés sont chiffrés, de sorte qu'il n'est pas possible d'identifier un individu ni de connecter des instances approuvées et non fiables afin de découvrir l'identité d'un utilisateur.

Pourquoi avons-nous besoin de jetons d'état privés ?

Le Web a besoin de moyens d'établir et de transmettre des signaux de confiance qui montrent qu'un utilisateur est bien ce qu'il prétend être, et non un robot se faisant passer pour un être humain ou un tiers malveillant escroquant une personne ou un service réels. La protection contre la fraude est particulièrement importante pour les annonceurs, les fournisseurs d'annonces et les CDN.

Malheureusement, de nombreux mécanismes existants pour évaluer et propager la fiabilité (par exemple, pour déterminer si une interaction avec un site provient d'un humain réel) exploitent des techniques qui peuvent également être utilisées pour le fingerprinting. Les mécanismes qui favorisent la confiance doivent préserver la confidentialité, permettant la propagation de la confiance sur les sites sans suivi individuel des utilisateurs.

Avec l'API Private State Token, un site Web peut émettre des jetons cryptographiques à un utilisateur de confiance, qui peuvent être utilisés ultérieurement ailleurs. Les jetons sont stockés de manière sécurisée par le navigateur de l'utilisateur et peuvent ensuite être utilisés dans d'autres contextes pour confirmer l'authenticité de l'utilisateur. Cela permet de transmettre la confiance d'un utilisateur sur un site Web (tel qu'un réseau social ou un service de messagerie) à un autre site (tel qu'un éditeur ou une boutique en ligne) sans avoir à identifier l'utilisateur ni à associer son identité sur plusieurs sites.

Comment fonctionnent les jetons d'état privés ?

Dans cet exemple, le site Web d'un éditeur souhaite vérifier si un utilisateur est un vrai humain, et non un robot, avant de diffuser une annonce.

  1. Un utilisateur consulte un site Web (appelé émetteur) et effectue des actions qui laissent croire au site qu'il est une personne réelle, comme effectuer des achats, utiliser un compte de messagerie ou valider un reCAPTCHA.
  2. Le site de l'émetteur utilise l'API Private State Token JavaScript pour déclencher une requête de jetons de confiance pour le navigateur de l'utilisateur.
  3. Le site de l'émetteur répond avec des données de jeton.
  4. Le navigateur de l'utilisateur stocke de manière sécurisée les données associées au jeton de confiance.
  5. L'utilisateur visite un autre site Web (un éditeur d'actualités, par exemple) qui souhaite vérifier s'il s'agit bien d'un être humain (par exemple, pour diffuser des annonces).
  6. Le site utilise l'API Private State Token pour vérifier si le navigateur de l'utilisateur dispose de jetons de confiance stockés pour les émetteurs approuvés par le site.
  7. Des jetons d'état privés sont trouvés pour l'émetteur précédemment visité par l'utilisateur.
  8. Le site de l'éditeur demande à l'émetteur d'utiliser les jetons de confiance.
  9. Le site de l'émetteur répond par un enregistrement d'offres.
  10. Le site de l'éditeur envoie une requête à une plate-forme publicitaire (y compris l'enregistrement d'offres) pour indiquer que l'émetteur considère que l'utilisateur est un véritable être humain.
  11. La plate-forme publicitaire fournit les données nécessaires à la diffusion d'une annonce.
  12. L'annonce s'affiche sur le site de l'éditeur.
  13. Une impression d'annonce vue est comptabilisée.

Des outils sont-ils disponibles pour les jetons d'état privés ?

Les outils pour les développeurs Chrome activent l'inspection à partir des onglets "Réseau" et "Application". Apprenez-en davantage sur l'intégration de DevTools et sur les jetons d'état privés.

Comment les sites Web gèrent-ils les jetons provenant de plusieurs émetteurs de confiance ?

Le site peut rechercher des jetons valides dans le navigateur d'un utilisateur avec document.hasTrustToken() pour un émetteur à la fois. Si la valeur true est renvoyée et qu'un jeton est disponible, le site peut utiliser le jeton et cesser de rechercher d'autres jetons.

Le site Web doit décider quels émetteurs de jetons vérifier et dans quel ordre.

Cas d'utilisation

Les jetons d'état privés (PST) sont compatibles avec de nombreux cas d'utilisation de lutte contre la fraude. À la base, PST peut agir comme un signal de confiance supplémentaire, car l'API est capable d'encoder des informations pouvant aider à transmettre la confiance d'un contexte à un autre. À mesure que les cookies tiers disparaissent, nous savons qu'il sera essentiel de s'assurer que les cas d'utilisation tels que les suivants puissent toujours fonctionner comme prévu. Dans tous les cas d'utilisation de PST, les émetteurs et les utilisateurs qui en bénéficient doivent travailler ensemble. Vous pouvez envisager d'utiliser PST si vous rencontrez l'un des cas d'utilisation suivants:

  • Services de lutte contre la fraude: la prévention de la fraude est un cas d'utilisation légitime que le Web doit accepter, mais qui ne doit pas nécessiter d'identifiant par utilisateur, global et stable. Dans les contextes tiers, PST peut être utilisé pour segmenter les utilisateurs en ensembles fiables et non fiables.
  • Analyser la fraude publicitaire: PST peut être utile pour analyser les clics, les impressions et les systèmes de bots frauduleux dans les services de technologie publicitaire.
  • Détection des robots: une fois que vous avez analysé que votre navigateur est un robot, PST peut vous aider à encoder ces informations à partager d'un contexte à un autre.
  • Paiements sécurisés: PST peut être utilisé comme un signal supplémentaire pour renforcer la confiance, afin de détecter les menaces plus difficiles à identifier dans un contexte tiers avec des informations limitées (comme la fiche d'établissement).
  • Services de lutte contre les utilisations abusives dans l'e-commerce: il est très important de détecter les bots dans les interactions d'e-commerce (clics, règlement, achats, avis sur les produits, chatbots, retours) afin d'éviter le détournement de pages et les interactions générées par des robots. Il peut s'agir d'un signal supplémentaire important pour détecter les agents automatisés des fournisseurs tiers de lutte contre la fraude sur les plates-formes d'e-commerce.
  • Services CDN: PST fournit un mécanisme facilitant le signalement et la détection du trafic frauduleux.

Cette liste de cas d'utilisation ne constitue pas une liste exhaustive de toutes les fonctionnalités de lutte contre la fraude pouvant bénéficier des jetons d'état privés. De plus, cette liste n'est pas mutuellement exclusive. PST peut bénéficier de plusieurs workflows de lutte contre la fraude.

Parcours utilisateur

L'émission et le remboursement sont les composants clés des jetons d'état privés. Bien que les cas d'utilisation précédents soient les principaux domaines dans lesquels les fichiers PST seraient pris en charge, vous pouvez considérer les moments suivants dans certains parcours utilisateur comme des cas où vous aimeriez émettre ou utiliser des jetons:

  • Émettre des jetons lors des flux de gestion du compte (connexion, inscription, réinitialisation du mot de passe, etc.)
  • Émettre des jetons après avoir confirmé une authentification multifacteur (MFA)
  • Émettre des jetons après des actions à haut risque, comme la suppression de l'historique des paiements
  • Utiliser des jetons pour obtenir une confirmation intersites avant les actions à risque modéré
  • Utiliser des jetons pour obtenir une confirmation intersites avant les actions à haut risque

Interagir et partager des commentaires

En savoir plus