{"id":73942,"date":"2026-07-06T04:47:03","date_gmt":"2026-07-06T04:47:03","guid":{"rendered":"https:\/\/taggrs.io\/?p=73942"},"modified":"2026-07-06T06:55:12","modified_gmt":"2026-07-06T06:55:12","slug":"protection-anti-pistage-de-safari-27","status":"publish","type":"post","link":"https:\/\/taggrs.io\/fr\/protection-anti-pistage-de-safari-27\/","title":{"rendered":"Protection anti-pistage de Safari 27 : ce que \u00e7a change pour la mesure des conversions"},"content":{"rendered":"\n<p>Safari 27 est sorti en version b\u00eata pour d\u00e9veloppeurs en juin 2026. Les notes de mise \u00e0 jour officielles mentionnent des corrections CSS et des am\u00e9liorations au niveau du rendu. On a creus\u00e9 un peu plus et on a examin\u00e9 le code open source de WebKit sur <a href=\"https:\/\/github.com\/WebKit\/WebKit\" target=\"_blank\" rel=\"noopener\">github.com\/WebKit\/WebKit<\/a>, l'infrastructure de confidentialit\u00e9 qui g\u00e8re en fait la fa\u00e7on dont Safari traite les demandes de suivi. Voici ce qu'on a d\u00e9couvert.   <\/p>\n\n<p>Cet article fait suite \u00e0 notre <a href=\"https:\/\/taggrs.io\/fr\/safari-26-tracking-changes-2\/\">analyse de Safari 26<\/a>. Si tu veux en savoir plus sur la protection avanc\u00e9e contre le \u00ab fingerprinting \u00bb et sur le fonctionnement de la protection contre le suivi des liens, commence par lire cet article-l\u00e0. Celui-ci pr\u00e9sente les nouveaut\u00e9s de la version 27.  <\/p>\n\n<p>Les notes de mise \u00e0 jour officielles d'Apple pour Safari 27 beta sont disponibles <a href=\"https:\/\/developer.apple.com\/documentation\/safari-release-notes\/safari-27-release-notes\" target=\"_blank\" rel=\"noopener\">sur le site des d\u00e9veloppeurs Apple<\/a>.<\/p>\n\n<h2 id=\"one-structural-change-that-makes-everything-else-worse\" class=\"wp-block-heading\">Un changement structurel qui aggrave tout le reste<\/h2>\n\n<p>Avant d'entrer dans les d\u00e9tails, il y a un \u00e9l\u00e9ment tir\u00e9 de la source qui est important pour bien comprendre tout ce qui va suivre.<\/p>\n\n<p>Les r\u00e8gles de confidentialit\u00e9 de Safari ne sont pas int\u00e9gr\u00e9es au fichier binaire du navigateur. Quels identifiants de clic sont supprim\u00e9s, quels scripts sont restreints, quelles adresses IP sont bloqu\u00e9es : Apple stocke toutes ces informations dans une biblioth\u00e8que syst\u00e8me distincte qui se met \u00e0 jour ind\u00e9pendamment de Safari lui-m\u00eame. Apple peut ajouter un nouveau domaine de suivi, un nouveau param\u00e8tre d\u2019identifiant de clic ou une nouvelle plage d\u2019adresses IP de r\u00e9seau publicitaire \u00e0 la liste noire sans avoir \u00e0 publier de mise \u00e0 jour du navigateur. N\u2019importe quel appareil sur lequel Safari est install\u00e9 peut recevoir ces r\u00e8gles mises \u00e0 jour en arri\u00e8re-plan, sans que tu t\u2019en rendes compte.   <\/p>\n\n<p>En pratique, \u00e7a veut dire que m\u00eame si Apple ne fait aucune annonce concernant le suivi dans une version donn\u00e9e de Safari, les r\u00e8gles qui r\u00e9gissent tes campagnes peuvent changer \u00e0 tout moment. La mise \u00e0 jour de Safari 27 \u00e9largit ces listes, mais la prochaine mise \u00e0 jour de ces listes pourrait avoir lieu sans annonce publique. <\/p>\n\n<h2 id=\"link-tracking-protection-now-covers-more-platforms\" class=\"wp-block-heading\">La protection contre le suivi des liens s'\u00e9tend d\u00e9sormais \u00e0 davantage de plateformes<\/h2>\n\n<p>Depuis la version 17, Safari supprime les param\u00e8tres de suivi connus des URL. En mode de navigation priv\u00e9e, dans Mail et dans Messages, les identifiants de clic disparaissent avant m\u00eame que la page de destination ne se charge. La liste des param\u00e8tres concern\u00e9s s'allonge \u00e0 chaque nouvelle version.  <\/p>\n\n<p>Nouveaut\u00e9 dans Safari 27 : trois nouvelles plateformes viennent s'ajouter au filtre :<\/p>\n\n<ul class=\"wp-block-list\">\n<li><strong>Sujets<\/strong>: xmt est d\u00e9pouill\u00e9<\/li>\n\n\n\n<li><strong>YouTube<\/strong>: \u00ab si \u00bb est supprim\u00e9<\/li>\n\n\n\n<li><strong>X<\/strong> (anciennement Twitter) : les identifiants \u00ab twclid \u00bb, \u00ab cn \u00bb et \u00ab cxt \u00bb sont supprim\u00e9s<\/li>\n<\/ul>\n\n<p>On a d\u00e9j\u00e0 parl\u00e9 des identifiants de clic de Google et de Meta. L'ajout de Threads, YouTube et X est important pour tous ceux qui m\u00e8nent des campagnes payantes sur ces plateformes. <\/p>\n\n<p><em>Le twclid<\/em> est l'identifiant de clic principal de X, tout comme <em>le gclid<\/em> l'est pour Google Ads. <em>Le si est <\/em>un identifiant de source de partage et de session ajout\u00e9 aux liens de partage YouTube. Ce n'est pas un identifiant de clic payant comme <em>le twclid<\/em>, mais sa suppression enl\u00e8ve quand m\u00eame le contexte de source au trafic YouTube dans les sessions Safari. La perte de l'un ou de l'autre dans les sessions Safari cr\u00e9e le m\u00eame probl\u00e8me d'attribution que les annonceurs Google Ads connaissent d\u00e9j\u00e0 \u00e0 cause de la fa\u00e7on dont Safari g\u00e8re <em>le gclid<\/em>.  <\/p>\n\n<p>La mise en place du LTP dans la navigation normale (non priv\u00e9e) sur Safari se poursuit progressivement. \u00c0 partir de Safari 26, les identifiants de clic ont continu\u00e9 \u00e0 \u00eatre transmis dans les sessions standard. Apple a pour habitude d'\u00e9largir d'abord la liste, puis d'\u00e9tendre l'application \u00e0 la navigation normale lors d'une mise \u00e0 jour ult\u00e9rieure. Les param\u00e8tres sont en place. L'application \u00e0 toutes les sessions est la prochaine \u00e9tape logique.    <\/p>\n\n<h2 id=\"afp-is-not-a-binary-block\" class=\"wp-block-heading\">L'AFP n'est pas un bloc binaire<\/h2>\n\n<p>La plupart des articles sur la fonctionnalit\u00e9 \u00ab Advanced Fingerprinting Protection \u00bb la d\u00e9crivent ainsi : \u00ab Safari bloque ces scripts \u00bb. Le code source donne une image plus d\u00e9taill\u00e9e, et c'est important pour comprendre quelles parties de ton suivi sont r\u00e9ellement bloqu\u00e9es. <\/p>\n\n<p>Quand Apple classe un script comme un outil de \u00ab fingerprinting \u00bb, \u00e7a ne se contente pas de le bloquer. Elle attribue \u00e0 ce script un ensemble pr\u00e9cis d'autorisations : une liste de ce \u00e0 quoi le script a le droit d'acc\u00e9der et de ce \u00e0 quoi il n'a pas le droit d'acc\u00e9der. Les cat\u00e9gories qu'Apple peut r\u00e9voquer individuellement comprennent :  <\/p>\n\n<ul class=\"wp-block-list\">\n<li>Param\u00e8tres de requ\u00eate URL (identifiants de clic, valeurs UTM)<\/li>\n\n\n\n<li>Donn\u00e9es de r\u00e9f\u00e9rence (source du trafic)<\/li>\n\n\n\n<li>Acc\u00e8s aux cookies<\/li>\n\n\n\n<li>Acc\u00e8s au stockage local<\/li>\n\n\n\n<li>API Canvas (une surface couramment utilis\u00e9e pour le fingerprinting)<\/li>\n\n\n\n<li>Taille de l'\u00e9cran et dimensions de la fen\u00eatre d'affichage<\/li>\n\n\n\n<li>Informations sur la concurrence mat\u00e9rielle<\/li>\n\n\n\n<li>Demandes r\u00e9seau<\/li>\n<\/ul>\n\n<p>Un script class\u00e9 comme \u00ab confidentiel \u00bb peut perdre l'acc\u00e8s aux param\u00e8tres d'URL et aux donn\u00e9es de r\u00e9f\u00e9rent, tout en conservant la possibilit\u00e9 d'effectuer des requ\u00eates r\u00e9seau. Il peut aussi se voir interdire l'acc\u00e8s aux API Canvas et audio, tout en conservant l'acc\u00e8s aux cookies. L'impact pr\u00e9cis d\u00e9pend des autorisations qu'Apple retire \u00e0 ce script en particulier.  <\/p>\n\n<p>Le LinkedIn Insight Tag (snap.licdn.com) figure sur la liste des techniques de \u00ab fingerprinting \u00bb. Pour le suivi des conversions, les restrictions les plus pr\u00e9judiciables sont la perte d'acc\u00e8s aux param\u00e8tres de requ\u00eate (impossible de lire l'identifiant de clic) et la perte des donn\u00e9es de r\u00e9f\u00e9rent (impossible d'attribuer la source du trafic). Le script peut peut-\u00eatre encore envoyer une requ\u00eate r\u00e9seau aux serveurs de LinkedIn, mais sans les identifiants n\u00e9cessaires pour associer une conversion \u00e0 un clic, les donn\u00e9es qu\u2019il envoie ne peuvent pas \u00eatre reli\u00e9es \u00e0 une campagne.  <\/p>\n\n<p>Cette liste comprend notamment Tealium, Segment, DPG Media et Blueonic.<\/p>\n\n<p>Quand une plateforme de donn\u00e9es client (CDP) comme Tealium ou Segment est class\u00e9e comme outil de \u00ab fingerprinting \u00bb, chaque balise qu'elle d\u00e9clenche est soumise aux m\u00eames restrictions. Un pixel de conversion d\u00e9ploy\u00e9 via un conteneur CDP soumis \u00e0 des restrictions perd les m\u00eames droits d'acc\u00e8s qu'un script directement class\u00e9 comme tel. <\/p>\n\n<h2 id=\"apple-is-using-chromiums-own-ad-detection-lists\" class=\"wp-block-heading\">Apple utilise les listes de d\u00e9tection de publicit\u00e9s de Chromium<\/h2>\n\n<p>La source montre que le \u00ab Resource Monitor \u00bb de Safari, cette fonctionnalit\u00e9 qui bloque des points de suivi entiers plut\u00f4t que de simples param\u00e8tres, compile ses r\u00e8gles dans le m\u00eame format que celui utilis\u00e9 par les extensions de blocage de contenu de Safari. Les donn\u00e9es de filtrage proprement dites proviennent de la biblioth\u00e8que syst\u00e8me d'Apple. <\/p>\n\n<p>En examinant les r\u00e8gles sur un appareil \u00e9quip\u00e9 de la version b\u00eata de Safari 27, on constate que les mod\u00e8les de blocage correspondent aux entr\u00e9es de filtre de l'infrastructure open source de d\u00e9tection des publicit\u00e9s de Chromium. Apple utilise les m\u00eames donn\u00e9es de filtrage que celles cr\u00e9\u00e9es par Google et mises \u00e0 disposition en open source pour les navigateurs bas\u00e9s sur Chromium. <\/p>\n\n<p>Source : <a href=\"https:\/\/github.com\/chromium\/chromium-ads-detection\" target=\"_blank\" rel=\"noopener\">https:\/\/github.com\/chromium\/chromium-ads-detection<\/a> <\/p>\n\n<h2 id=\"blocking-has-moved-below-the-application-layer\" class=\"wp-block-heading\">Le blocage s'est d\u00e9plac\u00e9 en dessous de la couche application<\/h2>\n\n<p>Dans les versions pr\u00e9c\u00e9dentes de Safari, la protection contre le suivi fonctionnait au niveau de la couche application. Les scripts \u00e9taient bloqu\u00e9s ou limit\u00e9s avant m\u00eame de pouvoir s'ex\u00e9cuter, ou les requ\u00eates r\u00e9seau \u00e9taient bloqu\u00e9es en fonction du nom de domaine. Avec Safari 27, une partie du blocage se fait d\u00e9sormais au niveau de la couche de transport r\u00e9seau, qui fonctionne en amont de tout ce qui se trouve sur la page.  <\/p>\n\n<p>Quand un script essaie d'envoyer des donn\u00e9es de conversion, il ouvre une connexion r\u00e9seau vers un serveur de destination. Safari 27 intercepte cette connexion avant qu'elle ne soit \u00e9tablie. Pas en analysant le contenu de la requ\u00eate, mais en comparant l'adresse IP de destination \u00e0 une liste de sous-r\u00e9seaux de r\u00e9seaux publicitaires connus.  <\/p>\n\n<p>Par exemple, bat.bing.com est le point de terminaison UET de Bing. Il renvoie vers l'infrastructure publicitaire de Microsoft. Si la plage d'adresses IP des serveurs publicitaires de Microsoft figure dans la liste noire, la connexion est coup\u00e9e avant m\u00eame que des donn\u00e9es ne quittent le navigateur. Peu importe d'o\u00f9 vient le script, depuis quel domaine il a \u00e9t\u00e9 charg\u00e9 ou comment la requ\u00eate a \u00e9t\u00e9 construite.   <\/p>\n\n<p><strong>La configuration de proxys \u00ab first-party \u00bb<\/strong> est une solution courante qui consiste \u00e0 charger un script de suivi depuis ton propre sous-domaine. Mais cette solution ne marche pas dans ce cas-l\u00e0. Le script se charge depuis ton domaine, mais il doit quand m\u00eame envoyer ses donn\u00e9es vers les serveurs d'une plateforme publicitaire. Ces serveurs ont des adresses IP fixes. C'est justement la connexion vers ces adresses IP que Safari bloque.    <\/p>\n\n<p>On trouve \u00e9galement dans le code source des indices indiquant l'existence d'une cat\u00e9gorie distincte de domaines cod\u00e9s en dur comme pouvant \u00eatre bloqu\u00e9s sans condition, quels que soient les param\u00e8tres de confidentialit\u00e9 activ\u00e9s par l'utilisateur. Le m\u00e9canisme est visible dans le code ; le contenu pr\u00e9cis de cette liste ne l'est pas, puisqu'il se trouve dans un fichier Apple non publi\u00e9. Consid\u00e8re que l'existence de cette cat\u00e9gorie est av\u00e9r\u00e9e, mais que son \u00e9tendue exacte n'est pas v\u00e9rifi\u00e9e.  <\/p>\n\n<h2 id=\"safaris-blocking-history-layer-by-layer\" class=\"wp-block-heading\">L'historique des blocages de Safari, couche par couche<\/h2>\n\n<p>Chaque nouvelle version majeure ajoute une nouvelle surface.<\/p>\n\n<ul class=\"wp-block-list\">\n<li>2017 : l'ITP a instaur\u00e9 des restrictions sur les cookies et des dates d'expiration pour leur stockage<\/li>\n\n\n\n<li>Safari 17 : l'ATFP a ajout\u00e9 le blocage r\u00e9seau au niveau du domaine en mode de navigation priv\u00e9e et la suppression des identifiants de clic dans les liens<\/li>\n\n\n\n<li>Safari 26 : l'AFP a ajout\u00e9 la classification des scripts par empreinte digitale dans tous les modes de navigation, avec la possibilit\u00e9 de r\u00e9voquer les autorisations script par script<\/li>\n\n\n\n<li>Safari 27 : blocage de plages d'adresses IP au niveau de la couche de transport r\u00e9seau, filtre d'identifiants de clic am\u00e9lior\u00e9 et ajout de CDP \u00e0 la liste des empreintes num\u00e9riques<\/li>\n<\/ul>\n\n<p>Les mesures de protection pr\u00e9c\u00e9dentes visaient ce que les scripts pouvaient lire ou stocker. Le blocage au niveau du r\u00e9seau cible les destinations vers lesquelles les donn\u00e9es peuvent \u00eatre transmises. Tu peux modifier le nom d'un fichier de script, un chemin d'acc\u00e8s URL ou un sous-domaine propri\u00e9taire. Mais les adresses IP sur lesquelles sont h\u00e9berg\u00e9s les serveurs publicitaires de Microsoft ou de LinkedIn ? Celles-l\u00e0, elles ne changent pas.    <\/p>\n\n<h2 id=\"where-taggrs-fits\" class=\"wp-block-heading\">La place de TAGGRS<\/h2>\n\n<p><a href=\"https:\/\/taggrs.io\/fr\/gtm-server-side-tagging-hosting\/\">Le GTM server-side<\/a> modifie l'architecture de telle sorte que les restrictions impos\u00e9es par Safari au niveau du navigateur n'ont plus d'importance. Pas parce qu'il contourne quoi que ce soit de mani\u00e8re ing\u00e9nieuse, mais parce que les requ\u00eates de suivi que Safari bloque ne passent jamais par le navigateur. <\/p>\n\n<p>Avec une configuration standard c\u00f4t\u00e9 client, le navigateur ex\u00e9cute le script, r\u00e9cup\u00e8re les informations dont il a besoin sur la page, puis envoie la requ\u00eate de conversion vers le point de terminaison d'une plateforme publicitaire. La couche r\u00e9seau de Safari d\u00e9tecte cette connexion sortante et la bloque. <\/p>\n\n<p>Avec sGTM, le navigateur envoie une seule requ\u00eate \u00e0 ton propre serveur, sur ton propre sous-domaine, \u00e0 ta propre adresse IP. \u00c0 partir de l\u00e0, c'est le serveur qui s'occupe de tout. Il traite les \u00e9v\u00e9nements et transmet les donn\u00e9es \u00e0 Google, Meta, LinkedIn ou Bing via des appels de serveur \u00e0 serveur qui ne passent jamais par le navigateur de l'utilisateur. Safari n'a donc rien \u00e0 intercepter.   <\/p>\n\n<p>bat.bing.com et snap.licdn.com sont bloqu\u00e9s au niveau du domaine et de l'adresse IP. Avec sGTM, ta configuration n'appelle jamais ces URL depuis le navigateur. Les connexions aux plateformes publicitaires s'effectuent sur le serveur une fois que l'interaction avec le navigateur a d\u00e9j\u00e0 \u00e9t\u00e9 enregistr\u00e9e.  <\/p>\n\n<p><a href=\"https:\/\/taggrs.io\/docs\/server-side-tracking\/enhanced-tracking-script\">Le script de suivi am\u00e9lior\u00e9 de TAGGRS ajoute <\/a>une couche de protection suppl\u00e9mentaire : il crypte la requ\u00eate envoy\u00e9e par le navigateur au serveur, ce qui emp\u00eache les bloqueurs de pub d'identifier la requ\u00eate comme du trafic de suivi avant m\u00eame qu'elle ne quitte la page.<\/p>\n\n<p>Pour LinkedIn, la solution pratique, c'est d'utiliser LinkedIn CAPI via le conteneur sGTM, en rempla\u00e7ant l'Insight Tag par un appel de conversion server-side. Pour Bing, c'est l'\u00e9quivalent via l'API Microsoft Ads. Ces deux solutions permettent de ne plus d\u00e9pendre de l'ex\u00e9cution de scripts c\u00f4t\u00e9 navigateur, que Safari bloque d\u00e9sormais.  <\/p>\n\n<p>Les avantages s'accumulent. Comme la requ\u00eate de conversion ne passe jamais par le point de terminaison d'une plateforme publicitaire depuis le navigateur, la couche r\u00e9seau de Safari n'a rien \u00e0 intercepter, et le blocage n'a tout simplement aucune surface sur laquelle agir.   <\/p>\n\n<p>Tu b\u00e9n\u00e9ficies aussi <a href=\"https:\/\/taggrs.io\/fr\/privacy-focused-first-party-data-marketing-guide\/\">de la propri\u00e9t\u00e9 des donn\u00e9es de premi\u00e8re partie <\/a>: l'\u00e9v\u00e9nement arrive d'abord sur ton serveur, ce qui te permet de contr\u00f4ler ce qui est transmis et comment. Les temps de chargement s'am\u00e9liorent, puisque les balises lourdes c\u00f4t\u00e9 client sont supprim\u00e9es de la page. Cette configuration est plus p\u00e9renne que les solutions de contournement c\u00f4t\u00e9 navigateur. Quand Apple \u00e9largit sa liste de blocage ou sort une nouvelle version de Safari, une architecture server-side n'a pas besoin d'\u00eatre mise \u00e0 jour, car elle n'a jamais d\u00e9pendu de l'ex\u00e9cution c\u00f4t\u00e9 navigateur.   <\/p>\n\n<h2 id=\"what-is-already-at-risk\" class=\"wp-block-heading\">Ce qui est d\u00e9j\u00e0 menac\u00e9<\/h2>\n\n<p>La version stable de Safari 27 sera fournie avec iOS 27 et macOS 27, dont la sortie est pr\u00e9vue plus tard en 2026. L'analyse de la source permet d'identifier les vuln\u00e9rabilit\u00e9s avant que la mise \u00e0 jour ne soit d\u00e9ploy\u00e9e en production. <\/p>\n\n<p><strong>Campagnes YouTube et X<\/strong>: \u00ab si \u00bb et \u00ab twclid \u00bb sont inclus dans le nouveau filtre d'identifiant de clic. L'attribution pour les utilisateurs de Safari qui cliquent sur des liens YouTube ou des publicit\u00e9s X pr\u00e9sentera des lacunes une fois que l'application de la politique LTP s'\u00e9tendra \u00e0 la navigation classique. YouTube fait partie des plateformes publicitaires les plus fr\u00e9quent\u00e9es. \u00ab twclid \u00bb est le principal identifiant de clic de X. Aucun des deux n'est un cas marginal.    <\/p>\n\n<p><strong>Les CDP qui g\u00e8rent les balises de conversion<\/strong> \u2013 Tealium et Segment figurent sur la liste des scripts d'empreinte num\u00e9rique. Tout pixel de conversion ou balise de remarketing d\u00e9clench\u00e9 via un CDP soumis \u00e0 des restrictions h\u00e9rite des m\u00eames restrictions d'acc\u00e8s. C'est le CDP lui-m\u00eame qui devient le point de d\u00e9faillance, et non la balise en elle-m\u00eame.  <\/p>\n\n<p><strong>LinkedIn Insight Tag et Bing UET<\/strong>: l'Insight Tag figure sur la liste des techniques de \u00ab fingerprinting \u00bb, et l'acc\u00e8s aux param\u00e8tres de requ\u00eate et aux r\u00e9f\u00e9rents lui a \u00e9t\u00e9 retir\u00e9. Le point de terminaison Bing UET est bloqu\u00e9 \u00e0 la fois au niveau du domaine et par sous-r\u00e9seau IP. Ces deux \u00e9l\u00e9ments ont \u00e9t\u00e9 confirm\u00e9s par l'analyse \u00e0 la source.  <\/p>\n\n<p>Configurations de proxy \u00ab first-party \u00bb : le blocage au niveau du r\u00e9seau de Safari v\u00e9rifie l'adresse IP de destination, et non le domaine d'origine du script. Un proxy h\u00e9berg\u00e9 sur ton propre domaine continue de transf\u00e9rer les donn\u00e9es vers les serveurs d'une plateforme publicitaire. C'est la connexion \u00e0 ces serveurs qui est coup\u00e9e.  <\/p>\n\n<p>Toutes les solutions de contournement bas\u00e9es sur le navigateur, comme les proxys propri\u00e9taires, les scripts renomm\u00e9s ou les nouveaux sous-domaines, se trouvent du mauvais c\u00f4t\u00e9 de la barri\u00e8re que Safari a d\u00e9sormais \u00e9rig\u00e9e. Le suivi server-side fait dispara\u00eetre compl\u00e8tement les donn\u00e9es de conversion de ces interfaces ; il ne reste donc plus rien que Safari puisse intercepter. <\/p>\n\n<p>Si tu veux voir comment cette configuration fonctionne concr\u00e8tement, <a href=\"https:\/\/taggrs.io\/fr\/safari-26-tracking-changes-2\/\">notre analyse de Safari 26<\/a> te pr\u00e9sente en d\u00e9tail l'architecture sGTM.<\/p>\n\n<p>Pr\u00eat \u00e0 te lancer dans le suivi server-side ? <a href=\"https:\/\/dashboard.taggrs.io\/register\">Cr\u00e9e un compte TAGGRS gratuit<\/a>.  <\/p>\n\n<h2 id=\"faq\" class=\"wp-block-heading\">FAQ<\/h2>\n\n<h3 id=\"is-safari-really-blocking-trackers\" class=\"wp-block-heading\">Est-ce que Safari bloque vraiment les traceurs ?<\/h3>\n\n<p>Oui. Safari bloque \u00e0 plusieurs niveaux : restrictions sur les cookies (<a href=\"https:\/\/webkit.org\/tracking-prevention\/\" target=\"_blank\" rel=\"noopener\">Intelligent Tracking Prevention<\/a>), blocage r\u00e9seau au niveau des domaines en mode de navigation priv\u00e9e (<a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/\" target=\"_blank\" rel=\"noopener\">Private Browsing 2.0<\/a>), restrictions sur les scripts d'empreinte num\u00e9rique (<a href=\"https:\/\/webkit.org\/blog\/17333\/webkit-features-in-safari-26-0\/\" target=\"_blank\" rel=\"noopener\">notes de mise \u00e0 jour de Safari 26.0 issues de WebKit<\/a>), et le blocage de plages d\u2019adresses IP au niveau de la couche de transport r\u00e9seau dans Safari 27 (confirm\u00e9 par l\u2019analyse du code source de WebKit, mais pas encore mentionn\u00e9 dans les notes de mise \u00e0 jour publiques d\u2019Apple). Le suivi via le navigateur pour les utilisateurs de Safari devient de moins en moins fiable \u00e0 chaque nouvelle version. Les configurations server-side ne sont pas affect\u00e9es, car aucune requ\u00eate de suivi ne passe par le navigateur.   <\/p>\n\n<h3 id=\"which-parameters-does-safari-27-strip-from-urls\" class=\"wp-block-heading\">Quels param\u00e8tres Safari 27 supprime-t-il des URL ?<\/h3>\n\n<p>En mode de navigation priv\u00e9e et lorsque des liens sont ouverts depuis Mail ou Messages, Safari supprime une liste de plus en plus longue de <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/#link-tracking-protection\" target=\"_blank\" rel=\"noopener\">param\u00e8tres d'identification de clic gr\u00e2ce \u00e0 la protection contre le suivi des liens<\/a>. Apple explique le fonctionnement ici : les param\u00e8tres de requ\u00eate de suivi connus sont supprim\u00e9s avant la navigation, et les scripts tiers sur la page de destination ne peuvent pas lire l'URL compl\u00e8te. Nouveaut\u00e9s dans Safari 27 : xmt (Threads), si (YouTube), twclid, cn, cxt (X\/Twitter). Les param\u00e8tres d\u00e9j\u00e0 pris en charge incluent gclid, fbclid et msclkid. Pour comprendre pourquoi les identifiants de clic dans les URL sont si importants, jette un \u0153il \u00e0 <a href=\"https:\/\/webkit.org\/blog\/9521\/intelligent-tracking-prevention-2-3\/\" target=\"_blank\" rel=\"noopener\">l'article de WebKit sur l'ITP 2.3 consacr\u00e9 \u00e0 la \u00ab link decoration<\/a> \u00bb. Les param\u00e8tres UTM standard (utm_source, utm_medium, utm_campaign) ne sont pas concern\u00e9s.     <\/p>\n\n<h3 id=\"will-these-changes-affect-regular-safari-browsing-too\" class=\"wp-block-heading\">Est-ce que ces changements vont aussi avoir un impact sur la navigation habituelle dans Safari ?<\/h3>\n\n<p>La protection contre le suivi des liens en navigation normale (non priv\u00e9e) est en cours de mise en place progressive. \u00c0 partir de Safari 26, les identifiants de clic sont toujours transmis lors des sessions standard. Safari 27 \u00e9largit la liste des filtres, mais Apple a tendance \u00e0 d\u00e9ployer cette fonctionnalit\u00e9 par \u00e9tapes. Les utilisateurs peuvent d\u00e9j\u00e0 choisir de b\u00e9n\u00e9ficier des protections renforc\u00e9es de la navigation priv\u00e9e pour toutes les sessions gr\u00e2ce \u00e0 <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/\" target=\"_blank\" rel=\"noopener\">la \u00ab Protection avanc\u00e9e contre le suivi et l'empreinte num\u00e9rique<\/a> \u00bb (\u00e0 r\u00e9gler sur \u00ab Toute la navigation \u00bb dans les r\u00e9glages de Safari ; voir <a href=\"https:\/\/support.apple.com\/guide\/safari\/ibrw1075\/mac\" target=\"_blank\" rel=\"noopener\">le guide Safari d'Apple<\/a>). L'application compl\u00e8te de ces mesures \u00e0 toutes les sessions, m\u00eame sans activer cette option, est la direction vers laquelle Apple s'oriente.    <\/p>\n\n<h3 id=\"what-is-afp-and-does-it-fully-block-a-script\" class=\"wp-block-heading\">C'est quoi l'AFP, et est-ce que \u00e7a bloque compl\u00e8tement un script ?<\/h3>\n\n<p>L'AFP (Advanced Fingerprinting Protection) classe les scripts comme des outils de \u00ab fingerprinting \u00bb et applique \u00e0 chacun d'entre eux un ensemble sp\u00e9cifique de restrictions d'acc\u00e8s. Il ne s'agit pas d'un blocage total. <a href=\"https:\/\/webkit.org\/blog\/17333\/webkit-features-in-safari-26-0\/\" target=\"_blank\" rel=\"noopener\">L'annonce de Safari 26.0 par WebKit<\/a> d\u00e9crit ce qui est restreint : les API qui r\u00e9v\u00e8lent les caract\u00e9ristiques de l'appareil (taille de l'\u00e9cran, concurrence mat\u00e9rielle, canvas, audio), le stockage g\u00e9r\u00e9 par des scripts (cookies, localStorage) et les donn\u00e9es de navigation (param\u00e8tres de requ\u00eate, document.referrer). Apple peut en r\u00e9voquer certaines tout en laissant d\u2019autres intactes. L\u2019impact concret d\u00e9pend des acc\u00e8s qu\u2019Apple r\u00e9voque pour ce script en particulier. La version originale de la navigation priv\u00e9e est expliqu\u00e9e dans <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/#advanced-fingerprinting-protection\" target=\"_blank\" rel=\"noopener\">la section \u00ab Advanced Fingerprinting Protection \u00bb de WebKit<\/a>.    <\/p>\n\n<h3 id=\"what-is-the-difference-between-afp-and-atfp\" class=\"wp-block-heading\">Quelle est la diff\u00e9rence entre l'AFP et l'ATFP ?<\/h3>\n\n<p>L'AFP (Advanced Fingerprinting Protection) limite l'acc\u00e8s aux scripts de fingerprinting class\u00e9s comme dangereux. L'ATFP (Advanced Tracking and Fingerprinting Protection) est le param\u00e8tre de Safari accessible \u00e0 l'utilisateur qui, lorsqu'il est activ\u00e9, \u00e9tend les protections de la navigation priv\u00e9e (notamment la suppression des param\u00e8tres des liens et le blocage des traceurs au niveau du domaine) \u00e0 la navigation normale. <a href=\"https:\/\/webkit.org\/blog\/15697\/private-browsing-2-0\/\" target=\"_blank\" rel=\"noopener\">L'article de WebKit sur la navigation priv\u00e9e 2.0<\/a> aborde ces deux aspects : l'AFP g\u00e8re les restrictions des scripts d'empreinte num\u00e9rique, tandis que le bouton \u00ab Protection avanc\u00e9e contre le suivi et l'empreinte num\u00e9rique \u00bb permet de choisir si le LTP et le blocage des traceurs s'appliquent en dehors de la navigation priv\u00e9e. L'ATFP est activ\u00e9e par d\u00e9faut uniquement en navigation priv\u00e9e. Les protections AFP ont \u00e9t\u00e9 \u00e9tendues \u00e0 toutes les sessions dans Safari 26. Tu trouveras la pr\u00e9sentation d'Apple de ces fonctionnalit\u00e9s pour les particuliers sur <a href=\"https:\/\/www.apple.com\/privacy\/features\/\" target=\"_blank\" rel=\"noopener\">apple.com\/privacy\/features<\/a>.    <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Safari 27 est sorti en version b\u00eata pour d\u00e9veloppeurs en juin 2026. Les notes de ...<\/p>\n","protected":false},"author":15,"featured_media":73935,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[337,349],"tags":[],"class_list":["post-73942","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avance","category-server-side-tracking-fr"],"acf":[],"_links":{"self":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts\/73942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/comments?post=73942"}],"version-history":[{"count":2,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts\/73942\/revisions"}],"predecessor-version":[{"id":73944,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/posts\/73942\/revisions\/73944"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/media\/73935"}],"wp:attachment":[{"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/media?parent=73942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/categories?post=73942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/taggrs.io\/fr\/wp-json\/wp\/v2\/tags?post=73942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}