Si vous lisez cet article, c'est que vous utilisez probablement un navigateur web et que vous avez des attentes ou des convictions en matière de protection de la vie privée et de sécurité en ligne. Par exemple, je ne sais pas ce que vous lisez dans les autres onglets de votre navigateur web, et vous aimeriez qu'il en soit ainsi. Mais les sites web eux-mêmes savent que vous lisez une page particulière de leur site. Ils connaissent très probablement votre adresse IP et, si vous êtes connecté à leur site web, ils connaissent également votre identité. Ce n'est pas déraisonnable, car vous avez choisi de vous identifier en échange de certains services. C'est ainsi que fonctionne le web.Vous avez peut-être aussi entendu parler du suivi intersites à l'aide de cookies. Les cookies sont des fichiers persistants placés sur votre navigateur web par un site web pour vous identifier ultérieurement lorsque vous visitez le même site. Les cookies intersites sont mis en place par des domaines tiers présents sur un site web, et le même tiers peut également être présent sur d'autres sites web. Les domaines tiers vous suivent tout au long de vos sessions de navigation et sont capables de vous identifier de manière unique sur différents sites web. C'est ainsi que des publicités vous sont présentées en fonction de votre historique de navigation. La tierce partie est généralement une société de publicité (Google) et elle est présente sur presque tous les sites web. Même s'il semble contraire à l'éthique qu'un tiers suive votre historique de navigation, vous avez au moins le contrôle. Les navigateurs Web vous permettent de supprimer les cookies, de sorte que les tiers ne peuvent pas vous relier à vos sessions antérieures. C'est ce que fait la navigation privée. Il efface tous les cookies (et l'historique) à la fermeture de la fenêtre.
Des navigateurs comme Firefox sont désormais dotés d'une protection avancée contre ce type de traçage. Ils isolent les cookies de tiers par site web. Cela signifie que les annonceurs ou les tiers ne peuvent pas vous suivre sur différents sites web. Cela affecte les revenus des sociétés de publicité car elles ne peuvent pas connaître l'ensemble de votre activité de navigation et ne peuvent donc pas vous montrer des publicités personnalisées.
Selon votre modèle de menace, le fait d'être identifié par un site web tiers au cours de différentes sessions peut vous mettre mal à l'aise. Vous pouvez donc paramétrer votre navigateur web pour qu'il efface automatiquement les cookies ou utiliser des modules complémentaires à cet effet.
Mais les entreprises ont trouvé un autre moyen de vous identifier de manière unique à travers différentes sessions et différents sites web sans utiliser de cookies ou d'autres formes de stockage persistant. C'est ce qu'on appelle le web fingerprinting (ou browser fingerprinting). Le fingerprinting est une approche plus sophistiquée qui permet d'identifier un utilisateur parmi des millions d'autres. Elle repose sur l'étude de votre navigateur web et de la configuration de votre matériel. De nombreux sites web utilisent une bibliothèque d'empreintes digitales pour générer un identifiant unique. Cette bibliothèque recueille des données à partir de plusieurs API JavaScript offertes par votre navigateur web. Par exemple, les sites web peuvent voir la version du navigateur web, le nombre de CPU sur votre appareil, la taille de l'écran, le nombre de points de contact, les codecs vidéo/audio, le système d'exploitation et bien d'autres détails que vous ne voudriez pas qu'un site web d'information typique voie.
Toutes ces valeurs sont combinées pour générer un identifiant unique. Étonnamment, les spécifications de l'appareil et du navigateur de chaque utilisateur diffèrent tellement qu'il obtient un identifiant unique parmi des millions d'autres.
Je ne pensais pas que le web fingerprinting était sérieux jusqu'à ce que je tombe sur une société qui vend ce service à d'autres sites web. J'ai essayé leur démo et j'ai été choqué par leur précision. De nombreux sites de commerce électronique l'utilisent parce que ces sociétés de prise d'empreintes digitales les vendent en disant qu'elles empêchent les fraudes à la carte de crédit et augmentent la sécurité des sites web.
Si vous êtes paranoïaque comme moi et que vous utilisez des navigateurs privés comme Firefox Focus ou que vous effacez toujours les cookies lorsque vous fermez le navigateur, cela ne vous aide pas vraiment à protéger votre vie privée. Les navigateurs et les normes Web sont devenus si compliqués que la prise d'empreintes digitales est plus facile que vous ne le pensez.
Fingerprinting en tant que Service
Nous allons tester un produit conçu par une société appelée FingerprintJS Inc. qui vend la prise d'empreintes digitales en tant que service. Elle crée des bibliothèques JavaScript d'empreintes digitales qui sont en fait open source et les vend à de nombreux sites web. Il y a FingerprintJS Pro qui est une version encore plus effrayante de la bibliothèque d'empreintes digitales normale. Peu importe que vous utilisiez un VPN ou un mode de navigation privée, ils peuvent vous identifier avec précision. Voici comment ils se décrivent : "La plateforme d'identité des appareils pour les applications à grande échelle".
FingerprintJS propose une démonstration sur sa page d'accueil. Lorsque vous visitez ce site web, il génère un identifiant de visiteur (empreinte digitale) qui est unique pour votre navigateur. Ainsi, même si vous videz le cache (et d'autres données du site) ou si vous visitez le site en mode de navigation privée, ils peuvent générer le même identifiant et établir une corrélation avec votre visite précédente.
Mes tests sur les navigateurs web les plus populaires
Nous allons maintenant procéder aux étapes suivantes pour prouver que la prise d'empreintes digitales fonctionne et qu'elle porte gravement atteinte à notre vie privée.
- Étape 1 : Visitez le site https://fingerprint.com
- Étape 2 : Affichez l'empreinte digitale générée.
- Étape 3 : Effacez le cache du navigateur et toutes les autres données du site.
- Étape 4 : Visitez à nouveau le site https://fingerprint.com.
- Étape 5 : Affichez l'empreinte digitale ainsi que l'historique des visites précédentes. Même si le navigateur ne contient pas de cookies ou d'autres données de site, leur produit peut générer le même identifiant de visiteur et le relier à notre visite précédente.
- Étape 6 : Effacer le cache du navigateur et toutes les autres données du site.
- Étape 7 : Visitez le site https://fingerprint.com en mode de navigation privée.
- Étape 8 : Affichez l'empreinte digitale et voyez comment elle est corrélée aux deux visites précédentes que nous avons déjà effectuées. Oui, en mode de navigation privée.
Nous allons maintenant effectuer ces tests sur Firefox, Chromium et Tor Browser.
Firefox
Remarquez que les différentes sessions sont connectées par la même empreinte digitale générée par FingerprintJS. Firefox dans sa configuration par défaut est sujet au fingerprinting.
Firefox avec privacy.resistFingerprinting = true
Firefox dispose d'un paramètre appelé resistFingerprinting (initialement fourni par le projet Tor) qui le rend plus résistant au fingerprinting. Lorsqu'il est activé, Firefox essaie de masquer certaines propriétés comme l'agent utilisateur, le nombre de CPU, le fuseau horaire, la résolution de l'écran, etc. de manière uniforme pour tous les utilisateurs. Cela rend plus difficile la prise d'empreintes digitales.
Vous pouvez l'activer en visitant about:config et en réglant privacy.resistFingerprinting = true dans votre navigateur Firefox.
Cette fois-ci, FingerprintJS n'a pas pu établir de lien avec les sessions précédentes. Chaque session reçoit un identifiant unique puisque Firefox durcit certaines API contre le fingerprinting.
Chromium / Chrome
Chromium (Chrome) est construit par Google, une société de publicité qui suit ses utilisateurs pour leur montrer des publicités pertinentes. Il n'a donc pas de protection intégrée contre le fingerprinting. Chromium (et Google Chrome) est vulnérable au fingerprinting.
FingerprintJS génère le même identifiant dans chaque session de Chromium, ce qui lui permet d'identifier les utilisateurs au cours de différentes sessions.
Tor Browser
Le Tor Browser est conçu par le projet Tor, une organisation à but non lucratif. Tor Browser achemine le trafic internet à travers de multiples relais à travers le monde, rendant ainsi les sessions de navigation de l'utilisateur plus privées. Il est basé sur Firefox et de nombreuses fonctionnalités de Tor Browser ont été incorporées dans Firefox.
Veuillez noter que Tor Browser fonctionne toujours en mode de navigation privée. Je ne l'ai donc pas testé explicitement en mode navigation privée.
FingerprintJS n'a pas pu relier deux sessions différentes de Tor Browser pour le même utilisateur. Tor Browser est donc plus sûr contre le fingerprinting.
Conclusion
Le fingerprinting est devenu une méthode populaire de traçage des utilisateurs en raison de sa capacité à relier plusieurs sessions de navigation différentes même si l'utilisateur efface son historique de navigation et ses données. Étant donné que des entreprises vendent des services de fingerprinting, si vous voulez vraiment vous protéger du fingerprinting, vous devriez utiliser Tor Browser ou Firefox avec resistFingerprinting=true. Si vous devez utiliser Chromium, le navigateur Brave est un bon choix. Il randomise également l'empreinte digitale pour chaque session, ce qui rend plus difficile l'établissement d'un lien entre vos sessions de navigation. Cependant, je ne recommande pas Brave car il est basé sur le moteur Chromium de Google, ce qui ne fait qu'encourager le monopole de Google.
Sur mobile, seuls Tor Browser et Firefox avec resistFingerprinting=true ont pu se protéger contre le fingerprinting. Firefox Focus laisse échapper des empreintes digitales même si vous effacez sa session à chaque fois. Notez également que les VPN n'aident pas à lutter contre le fingerprinting. Ils ne font que masquer l'adresse IP.
Source : Article "Web fingerprinting is worse than I thought" par Bitestring.
Cette publication est une simple traduction, la publication source est placée sous une licence internationale Creative Commons Attribution-ShareAlike 4.0.
Et vous ?
Quel est votre avis sur le sujet ? Pensez-vous que l'analyse présentée ici est pertinente ? Que pensez-vous du fingerprinting ? Avez-vous déjà essayé cette technologie ?Voir aussi
Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute, même s'il se sert de plusieurs navigateurs Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système, en se servant d'un mécanisme de liste blanche Votre historique de navigation peut vous identifier de manière précise, d'après une étude menée par les chercheurs de Mozilla