Fingerprinting - calcul de diverses empreintes permettant d'identifier un utilisateur de manière unique dont celles des contextes du navigateur Web (« canvas fingerprinting », etc.).

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Dans l'optique de compenser le blocage/la suppression des cookies, diverses contre-mesures ont été inventées par les opérateurs du Web pratiquant le tracking (l'espionnage des vies privées) pour identifier un internaute de manière unique.

L'une de ces méthodes est Evercookie (identifier un « client » [nous parlons du monde « client/serveur » qu'est le Web], qui permet de maintenir quelque chose ressemblant aux cookies, même après que l'internaute ait paramétré la suppression des cookies standard, le blocage des cookies Flash (objets locaux partagés [ou LSO] alors que les cookies standard ne peuvent pas être partagés [mais la technologie Flash est en voie de disparition avec l'émergence de HTML 5 le 28 octobre 2014]).

Les Opt-Out (option de sortie d'un mécanisme), sont assez limités (ne bloquent pas le tracking (l'espionnage des vies privées), mais demandent simplement que ces données, qui sont volées/collectées, ne soient pas utilisées pour pratiquer un « Marketing comportemental » (les publicités continuent d'être présentées aux internautes, mais ne sont plus ciblées).

Les sites Web et les applications sur terminaux mobiles cherchent d'autres moyens, avec d'autres technologies que les cookies, pour vous identifier individuellement. L'une de ces méthodes et le fingerprinting (empreinte digitale de votre navigateur Web - identification de votre navigateur Web et de votre appareil).

Les réglages du navigateur Web peuvent être courants (utilisés par tout le monde, donc avec impossibilité d'identifier un utilisateur particulier) ou uniques (donc utilisateur unique, identifié).

L'analyse des caractéristiques et réglages durables (dans le temps) de votre navigateur Web permet de calculer le fingerprinting (l'empreinte digitale) de votre navigateur Web qui a de fortes chances d'être unique : vous êtes identifié individuellement !

Les signatures qui servent au fingerprinting :

• Navigateur Web (le champ appelé « User Agent »)
• Version
• Langue
• Taille de l'image écran (1920x1080, etc.)
• Profondeur de couleurs (nombre de couleurs)
• Historique
• Paramètres de l'horloge (fuseau horaire...)
• Taille du cache
• Polices de caractères choisies
• Taille des polices
• Liste des plug-ins implantés
• Apparence du navigateur (skin)
• Extensions installées (avoir le moins possible d'extensions très spécifiques ayant très peu d'utilisateurs)
• Les onglets épinglés
• Supercookies (LSO, etc.). Ceux de la technologie Flash disparaissent avec la disparition de la technologie Flash elle-même, depuis le lancement de HTML 5.
• Les marque-pages ou bookmarks ou signets (il n'y a pas deux internautes au monde avec les mêmes marque-pages - mettez-les dans un fichier Word ou Excel avec toutes les possibilités de titrage, classement, tris, ajouts de commentaires, etc.)
• N'utilisez jamais AddThis ou tout autre service de « social bookmarking » (« marque-page social », « navigation sociale », « partage de signets »). Vous n'avez pas à vous profiler vous-même publiquement. Installez l'outil Privacy Badger qui bloque AddThis et Cie.
• Contexte audio
• Contexte graphique et « canvas fingerprinting ». « canvas » est un nouvel élément de HTML 5 (le 28 octobre 2014) qui permet de fournir (réserver), dans le navigateur Web, une zone d'écran aux dimenssions spécifées dans la balise « canvas ». Dans cette zone on peut dessiner par programmation. « canvas » est reconnu dans tous les navigateurs. il suffit de lancer la balise « canvas » pour définir une zone de dessin puis un script (généralement en JavaScript) pour générer un dessin (un simple texte, par exemple). Le dessin, pixel par pixel, profondeur de couleur par pixel, Anticrènelage (« Antialiasing »), etc. dépend totalement du matériel et des logiciels (dont les pilotes [drivers] et processeurs). Le dessin sera chaque fois différent, certe de manière imperceptible, voire invisible à nos yeux, mais différent, d'une machine à une autre. Le dessin n'est pas montré/affiché, mais relevé par le traqueur, ainsi que le contexte graphique, et, comme avec une empreinte digitale, il compare cela à ce qu'il a déjà capturé et vous identifie. Lors d'une analyse
• Etc.