alexi.sh
browser-privacy

Safari prévention traçage réalité 2026 : ITP, Hide IP, Storage Partitioning

PrivSec Lab··17 min de lecture
Gros plan de l'icône Safari sur un écran de dispositif Apple

Audit technique PrivSec Lab de la pile anti-traçage de Safari en 2026 : caps cookies ITP 24h, limites d'iCloud Private Relay, lacunes du Storage Partitioning, et comparatif face à Brave et Firefox RFP.

Le marketing vie privée d'Apple est parmi les plus efficaces de l'industrie technologique grand public. Les campagnes "La vie privée. C'est iPhone." ont façonné la perception publique de Safari comme le navigateur qui vous protège. La réalité, telle que documentée dans cet audit technique de PrivSec Lab, est nettement plus nuancée : la pile anti-traçage de Safari est genuinement solide sur certaines dimensions et significativement incomplète sur d'autres. Comprendre l'écart entre la promesse marketing et la réalité d'ingénierie est la seule façon de prendre une décision éclairée sur votre vie privée de navigation en 2026.

1. La narration vie privée de Safari

Apple est entrée dans la conversation sur la vie privée des navigateurs en 2017 avec l'annonce de l'Intelligent Tracking Prevention à la WWDC. Le cadrage était explicite : les réseaux publicitaires traquaient les utilisateurs sur le web, et le classifieur d'apprentissage automatique embarqué d'Apple les identifierait et les restreindrait. Le message a résonné en partie parce qu'il était exact — le suivi cross-site par cookies tiers était la méthode dominante à l'époque — et en partie parce que le modèle économique d'Apple ne dépend pas des revenus publicitaires de la même façon que celui de Google.

En 2026, Apple a élargi la narration vie privée pour englober iCloud Private Relay, la Privacy-Preserving Ad Click Attribution (PPACA, aussi appelée Private Click Measurement), Hide My Email et App Privacy Report. Chaque fonctionnalité est commercialisée comme une avancée pour la vie privée. Chacune est réelle dans une certaine mesure. Chacune comporte également des limitations qui sont rarement communiquées dans le même souffle.

L'écart de performance importe parce que les utilisateurs qui croient que Safari offre une protection complète peuvent renoncer aux défenses supplémentaires — un résolveur DNS respectueux de la vie privée, une extension de blocage de traceurs, ou un navigateur plus durci — qui combleraient réellement les lacunes laissées ouvertes par l'ITP. La sur-confiance dans une fonctionnalité vie privée de marque est un échec de modèle de menace.

2. Plongée dans l'ITP — historique, mécanisme et caps de cookies à 24 heures

L'Intelligent Tracking Prevention a été livré avec Safari 11 (2017) et a été révisé dans chaque version majeure de Safari depuis. Le mécanisme central est un classifieur d'apprentissage automatique entraîné sur des domaines de traceurs connus. Lorsqu'un domaine est classifié comme traceur, l'ITP applique un ensemble gradué de restrictions.

Seuil 1 — restriction de chargement de ressources cross-site. Si un domaine a des capacités de traçage cross-site (déterminées par le classifieur) mais que l'utilisateur n'a pas interagi avec le propre site du domaine au cours des 30 derniers jours, Safari bloque les cookies pour les requêtes cross-site de ce domaine.

Seuil 2 — cap de cookies côté client à 24 heures. Lorsqu'un domaine de traceur classifié redirige l'utilisateur via son propre domaine — une technique courante en ad-tech appelée "bounce redirect" — l'ITP plafonne à 24 heures tout cookie côté client créé via document.cookie sur le domaine du traceur, même en contexte propriétaire. La fenêtre de 24 heures est la restriction ITP la plus citée car elle rompt fondamentalement la connexion persistante et le suivi de session pour les domaines classifiés.

Seuil 3 — cap de cookies serveur à 7 jours. Les navigations cross-site (clics sur des liens) passant par un domaine de traceur classifié amènent l'ITP à plafonner les en-têtes Set-Cookie serveur à 7 jours. Cette restriction cible la décoration de lien, où des paramètres de suivi intégrés dans les URL sont lus par le serveur de destination et stockés comme cookies durables côté serveur.

Le classifieur d'apprentissage automatique de l'ITP s'exécute entièrement sur l'appareil. Il utilise l'historique de navigation, les patterns de chargement de sous-ressources et les chaînes de redirections pour scorer les domaines. Crucialement, les données d'entraînement et la logique de décision du classifieur ne sont pas auditables publiquement. Apple publie un blog WebKit décrivant la conception de l'ITP, mais le classifieur lui-même est une boîte noire — une limitation significative pour les chercheurs en sécurité qui tentent de vérifier le comportement.

CNAME cloaking. L'une des techniques d'évasion de l'ITP les plus significatives est le CNAME cloaking : un sous-domaine propriétaire (par exemple analytics.example.com) configuré avec un enregistrement DNS CNAME pointant vers un traceur tiers (data.tracker-network.com). Du point de vue du navigateur, la requête semble propriétaire. ITP 2.3 a ajouté la détection du CNAME cloaking via la résolution DNS lors du chargement de la page, mais la détection nécessite de résoudre la chaîne CNAME — ajoutant de la latence — et est contournée par des chaînes CNAME multi-niveaux ou en faisant tourner l'infrastructure plus vite que les mises à jour du classifieur ITP.

Restrictions des API de stockage. L'ITP applique également des caps de stockage aux domaines classifiés : le localStorage et le sessionStorage sont partitionnés ; l'IndexedDB créé par les iframes cross-site classifiés n'est pas persisté entre les chargements de page ; et les caps document.cookie s'appliquent à l'accès propriétaire comme décrit ci-dessus.

3. Hide IP Address / iCloud Private Relay

Private Relay a été lancé en 2021 dans le cadre d'iCloud+ et représente la fonctionnalité vie privée architecturalement la plus sophistiquée d'Apple. La conception suit un modèle de proxy en deux sauts inspiré de la recherche sur les mix-networks :

Saut 1 — relais d'entrée Apple. L'appareil de l'utilisateur envoie les requêtes DNS et HTTP/HTTPS via un proxy d'entrée opéré par Apple. Apple connaît l'adresse IP réelle de l'utilisateur et l'Apple ID mais ne voit pas l'URL de destination (pour HTTPS) ni le texte en clair de la requête DNS.

Saut 2 — relais de sortie tiers. Le relais d'entrée transmet le trafic à l'un de plusieurs relais de sortie tiers (opérés par Akamai, Fastly, Cloudflare et d'autres). Le relais de sortie attribue une adresse IP d'un pool régional et transmet le trafic à la destination. Le relais de sortie voit l'URL de destination mais ne connaît pas l'IP réelle de l'utilisateur.

Ce que cela permet : Ni Apple ni le fournisseur de sortie n'ont simultanément l'identité de l'utilisateur et la destination. C'est une amélioration significative par rapport à un VPN conventionnel, où le fournisseur VPN voit les deux.

Ce que cela ne permet pas :

  • Portée : Private Relay ne traite que le trafic Safari et certaines requêtes DNS au niveau système sur iOS/macOS. Les autres applications — y compris les navigateurs tiers, les clients e-mail et les processus en arrière-plan — ne sont pas acheminées via Private Relay.
  • Fuite d'IP : L'IP de sortie est tirée d'un pool régional grossier (« Europe / région Parisienne » plutôt que votre FAI précis), mais le serveur de destination reçoit toujours une adresse IP valide. Les sites qui utilisent la géolocalisation IP pour le contenu ou la détection de fraude voient une IP valide de votre région.
  • HTTPS uniquement : Private Relay ne chiffre pas les connexions HTTP au-delà du TLS que l'origine fournit. Les requêtes HTTP en clair sont relayées mais pas mises à niveau.
  • Lacunes juridictionnelles : Private Relay est désactivé par défaut ou indisponible en Chine, Russie, Biélorussie, Kazakhstan, Arabie Saoudite, Égypte, Afrique du Sud, Turkménistan, Kirghizistan, Tadjikistan, Ouganda, Philippines et Colombie (à mi-2026). Les utilisateurs dans ces juridictions sont silencieusement exclus.
  • Pas l'anonymat : Private Relay n'empêche pas les sites web de corréler votre identité via des sessions de connexion, des cookies ou des empreintes numériques d'appareils. Il n'adresse que le traçage basé sur l'IP.

4. Storage Partitioning 2026

Le Storage Partitioning est le mécanisme de navigateur qui empêche les ressources tierces intégrées de lire l'état de stockage défini dans un contexte de premier niveau différent. Sans partitionnement, une iframe de ad-network.com intégrée sur news.com peut lire les cookies et le localStorage définis lors de la visite directe de ad-network.com — permettant la reconnaissance cross-site de l'utilisateur.

Safari a été pionnier du partitionnement du stockage via la séparation de stockage de l'ITP et l'a étendu formellement avec la spécification Storage Partitioning :

Partitionnement du cache. Depuis Safari 15, le cache HTTP est indexé par le site de premier niveau et l'origine requérante. Une ressource en cache de cdn.example.com récupérée sur site-a.com est stockée séparément de la même ressource récupérée sur site-b.com. Cela prévient les attaques de timing du cache qui infèrent les chargements de ressources cross-site.

Partitionnement du BroadcastChannel. BroadcastChannel, qui permet la communication script-à-script entre onglets, est partitionné par origine de premier niveau dans Safari 17. Une iframe intégrée ne peut pas utiliser BroadcastChannel pour signaler son état d'intégration sur différents sites de premier niveau.

Isolation de la portée des ServiceWorkers. Les ServiceWorkers enregistrés par une origine tierce dans une iframe sont limités à la partition, et non à l'origine d'enregistrement du worker. Cela empêche les ServiceWorkers d'agréger des données de navigation cross-site.

IndexedDB et localStorage. Les deux sont partitionnés par la double clé (site de premier niveau, origine intégrée). Un traceur intégré sur plusieurs sites maintient des buckets de stockage séparés par site d'intégration — empêchant la liaison cross-site.

Lacunes connues en 2026 :

  • Décoration de lien. Les paramètres d'URL ajoutés par les plateformes publicitaires (?gclid=, ?fbclid=, ?ttclid=) ne sont pas supprimés par Safari par défaut, contrairement à Firefox qui supprime les paramètres de suivi connus. La décoration de lien est le principal vecteur d'évasion de l'ITP pour les campagnes nécessitant une attribution cross-site sans cookies tiers.
  • Unions de données propriétaires. Safari ne restreint pas le JavaScript s'exécutant dans un contexte propriétaire (le domaine de la page principale) de collecter tous les signaux de l'appareil disponibles et de les exfiltrer vers un endpoint d'analyse côté serveur. Le suivi propriétaire est entièrement sans entrave.
  • Compatibilité CHIPS. La norme CHIPS (Cookies Having Independent Partitioned State), adoptée par Chrome pour les cookies cross-site dans les intégrations, est implémentée dans Safari 17.2+ mais nécessite un opt-in serveur via l'attribut de cookie Partitioned. Les sites qui n'ont pas adopté CHIPS retombent sur le blocage de cookies basé sur l'ITP de Safari.

5. Ce que l'ITP ne bloque PAS

La liste des menaces que l'ITP adresse est plus courte que celle qu'il laisse ouvertes.

Empreinte numérique du navigateur. Safari ne randomise pas la sortie de rendu canvas, les chaînes de rendu WebGL, la sortie AudioContext, ni les métriques de polices. Les mesures de PrivSec Lab sur Safari 17.4 (macOS Sonoma, M2 MacBook Pro) donnent une entropie d'empreinte combinée d'environ 39 bits — au-dessus du seuil d'identification probabiliste unique. La chaîne User-Agent figée de Safari réduit l'entropie UA à environ 8 bits, mais c'est insuffisant pour compenser les signaux canvas et GPU exposés. Consultez le guide état de l'art du fingerprinting de navigateur pour les détails méthodologiques.

Scripts de suivi propriétaires. Tout JavaScript chargé depuis le propre domaine du site visité est entièrement hors de portée de l'ITP. C'est par conception : l'ITP restreint les ressources de suivi cross-site. Un éditeur de presse qui charge son propre bundle d'analytics (/js/analytics.js) peut collecter des données comportementales complètes, y compris la profondeur de défilement, la durée de session, la complétion d'article et les séquences de clics, et les transmettre à son entrepôt de données sans restriction.

Les propres API d'attribution d'Apple. La Privacy-Preserving Ad Click Attribution (PPACA) et SKAdNetwork (pour les applications App Store) sont des frameworks d'attribution publicitaire développés par Apple qui permettent une mesure click-to-install et click-to-conversion sans cookies cross-site. Ces frameworks sont de vraies améliorations pour la vie privée par rapport à l'attribution basée sur les cookies. Cependant, ils représentent également une infrastructure publicitaire contrôlée par Apple qui collecte des données d'interaction utilisateur dans le cadre de la politique de confidentialité d'Apple — une architecture qui bénéficie à l'activité publicitaire d'Apple.

Suivi basé sur la connexion. Les fournisseurs d'identité qui nécessitent une connexion — y compris "Sign in with Apple" d'Apple — créent des identifiants propriétaires persistants qui ne sont pas soumis aux restrictions de l'ITP. Si vous êtes connecté à un site, le site dispose d'un identifiant stable pour vous indépendamment des restrictions de cookies de l'ITP.

Fingerprinting comportemental. L'ITP ne restreint pas les API qui exposent le timing comportemental — jitter de requestAnimationFrame, timing d'exécution JavaScript, timing d'interaction utilisateur via les timestamps PointerEvent. Les systèmes avancés de fingerprinting utilisent des biométriques comportementales dérivées du rythme de frappe et de l'inertie de défilement, qui survivent à toutes les restrictions au niveau du navigateur hormis la suppression des API.

6. Comparatif vs Brave et Firefox RFP

Huit critères évalués sur Safari 17.4, Brave 1.66 (desktop) et Firefox 126 avec uBlock Origin + Resist Fingerprinting (RFP) activé.

CritèreSafariBraveFirefox + RFP
Blocage des cookies tiersOui (ITP)Oui (Shields)Oui (ETP Strict)
Bruit d'empreinte canvasNonOui (bruit par site)Oui (letterboxing)
Usurpation chaîne WebGLNonOuiOui
Bruit AudioContextNonOuiOui
Suppression décoration de lienPartielle (bounce)Oui (params URL)Oui (params URL)
Détection CNAME cloakingOui (ITP 2.3)Oui (Shields)Partielle
Storage PartitioningOui (Safari 17)Oui (Brave Shields)Oui (Firefox 103+)
Liste de blocage de traceurs par défautNon (classifieur)Oui (Easylist + extras)Oui (Disconnect.me)

Safari prend la tête sur l'intégration au niveau du système d'exploitation (Private Relay, Lockdown Mode, App Privacy Report) et est le navigateur par défaut pour 1,9 milliard d'utilisateurs d'appareils Apple. Son classifieur ITP gère les traceurs inconnus sans nécessiter de mises à jour de listes, ce qui est architecturalement attrayant. Il est en retard sur la résistance aux empreintes et manque d'une liste de blocage de traceurs configurable par l'utilisateur.

Brave est le navigateur anti-traçage le plus solide de cette comparaison pour l'étendue technique : Shields combine le blocage par listes avec le bruit d'empreintes, le rognage des paramètres d'URL et la mise à niveau HTTPS agressive. Le modèle commercial de Brave (Brave Ads, jeton BAT) introduit sa propre structure d'incitants que certains chercheurs en vie privée regardent avec prudence.

Firefox avec RFP offre la résistance aux empreintes la plus forte grâce au mode Resist Fingerprinting dérivé de Tor Browser, qui standardise la sortie canvas, applique du letterboxing au viewport, et usurpe le fuseau horaire et la locale. Couplé à uBlock Origin en mode medium ou hard, Firefox + RFP bloque plus de scripts de suivi que Safari ou Brave dans les tests contrôlés.

Pour une analyse plus approfondie des mécanismes de vie privée des navigateurs, consultez le guide état de la vie privée des navigateurs 2026 et la comparaison des navigateurs vie privée.

7. Devriez-vous faire confiance à Safari pour votre vie privée ? Matrice de décision

La réponse dépend entièrement de votre modèle de menace.

Safari est suffisant si :

  • Votre menace est le profilage comportemental cross-site par des réseaux publicitaires via des cookies tiers
  • Vous êtes sur iOS (où Brave et Firefox ne peuvent pas utiliser leur propre moteur de rendu et doivent de toute façon utiliser WebKit)
  • Vous utilisez iCloud Private Relay et comprenez sa portée limitée à l'IP
  • Vous n'êtes pas ciblé par des adversaires au niveau étatique ou des opérations de fingerprinting sophistiquées

Safari est insuffisant si :

  • Votre menace comprend l'empreinte numérique du navigateur (surveillance gouvernementale, cibles de grande valeur, journalistes)
  • Vous nécessitez une protection contre le suivi propriétaire (aucun navigateur ne le fournit par défaut)
  • Vous avez besoin d'un blocage de traceurs au-delà du classifieur ITP (les sites à fort contenu avec uBlock Origin ne sont pas accessibles par Safari seul)
  • Vous êtes dans une juridiction où Private Relay est indisponible et vous vous appuyez dessus pour l'obscurcissement d'IP

Configurations recommandées :

  • iOS (écosystème Apple) : Safari + iCloud Private Relay + DNS respectueux de la vie privée (NextDNS ou Cloudflare 1.1.1.1 avec WARP pour le trafic hors Safari)
  • macOS (menace modérée) : Safari avec Lockdown Mode évalué, ou Brave comme navigateur principal avec Safari pour les sites spécifiques Apple
  • macOS (menace élevée) : Firefox avec RFP + uBlock Origin (mode hard) + un VPN respectueux de la vie privée ; lisez l'analyse Lockdown Mode JSC pour les options de durcissement de Safari
  • Multiplateforme (menace élevée) : Mullvad Browser (Tor Browser sans Tor) + Mullvad VPN pour le meilleur anonymat d'empreinte

L'équipe d'ingénierie vie privée d'Apple a livré de vraies avancées. L'ITP a perturbé l'économie des cookies tiers d'une façon qui a forcé toute l'industrie à s'adapter. Le Storage Partitioning ferme de vraies surfaces d'attaque. Private Relay est une conception en deux sauts réfléchie. Ce ne sont pas des fictions marketing. Mais l'écart entre "mieux que Chrome" et "navigateur privé" est important, et comprendre où se situe cet écart est le préalable à toute vraie décision vie privée.

Photo : Laurenz Heymann — Unsplash (source)

Also available in

ENES

Recherches connexes

Macro d'un circuit imprimé avec des traces lumineuses — représentation du pipeline de compilation JIT
browser-privacy19 min read

Benchmarks WebKit JIT 2026 : quatre ans après le mode Verrouillage

Résultats frais Speedometer 3.0, JetStream 2 et MotionMark sur iPhone 15 et 16 — mode normal vs mode Verrouillage. Comment le JIT WebKit a évolué d'iOS 16 à iOS 18 et où se situe le compromis aujourd'hui.

Read →
Maillage réseau lumineux aux tons chauds sur fond sombre
browser-privacy23 min read

État de la vie privée des navigateurs en 2026 : fingerprinting, isolement, durcissement

Rapport pillar PrivSec Lab sur la vie privée des navigateurs en 2026 : état de l'art fingerprinting, évolution du mode Isolement, matrice comparative, durcissement DNS, extensions et OS.

Read →
Cadenas physique posé sur un clavier, éclairage sombre et atmosphère sécurité
browser-privacy13 min read

Navigateurs vie privée 2026 : Brave vs Tor vs Mullvad Browser vs LibreWolf

Comparatif COMP PrivSec Lab des quatre navigateurs privacy sérieux en 2026 : fingerprint, mode Tor, télémétrie et quel browser correspond à votre modèle de menace.

Read →