ProtonBlog
S'abonner par RSS

Mieux comprendre la protection de la vie privée #8 : Qu’est-ce que l’empreinte digitale de navigateur et d’appareil ?

Partagez cette page

L’empreinte digitale est une méthode pour vous identifier sur internet et peut être très difficile à prévenir. Dans cet article, nous discutons de ce qu’est l’empreinte digitale et comment réduire votre empreinte.

Les sites internet aiment savoir autant que possible à votre sujet. C’est parce que plus ils en savent sur vous, mieux ils peuvent cibler les publicités à votre attention. Ils sont donc très intéressés par le suivi de vos activités sur internet pour construire un modèle détaillé de vos goûts, dégoûts, passe-temps, et plus encore, basé sur votre historique de navigation.

Ils utilisent ensuite la quantité effrayante d’informations personnelles collectées pour vous cibler avec des publicités hautement personnalisées.

Il existe cependant des raisons légitimes pour lesquelles les sites internet souhaitent identifier de manière unique leurs visiteurs, telles que la prévention de la fraude par carte bancaire et bancaire et la fraude en commerce électronique.

Autrefois, les sites internet pouvaient aisément vous identifier par votre adresse IP(new window) et vous suivre à travers les sites internet en utilisant des cookies tiers(new window). Cependant, la prise de conscience accrue des problèmes de confidentialité ces dernières années a rendu cette tâche plus difficile. De plus en plus de personnes utilisent un VPN pour masquer leur adresse IP et prennent des mesures pour bloquer les cookies tiers.

En effet, les navigateurs Safari, Firefox et Brave ont récemment pris la décision audacieuse de bloquer tous les cookies tiers par défaut,

Les sites internet ont répondu en adoptant des mécanismes de suivi plus sophistiqués, tels que les HTTP E-Tags(new window), le stockage web (ou DOM)(new window) et l’exploration de l’historique du navigateur(new window).

Les méthodes alternatives les plus courantes et efficaces utilisées aujourd’hui pour identifier de manière unique les utilisateurs du web sont cependant l’empreinte digitale de navigateur et d’appareil.

Qu’est-ce que l’empreinte digitale de navigateur ?

Votre navigateur divulgue toujours certaines informations aux sites que vous visitez, telles que le nom du navigateur, le système d’exploitation et le numéro de version exact du navigateur. Cela est souvent appelé empreinte digitale passive du navigateur car cela se produit automatiquement.

En plus de cela, les sites internet peuvent demander à votre navigateur des informations supplémentaires, telles qu’une liste de types de données pris en charge (les types MIME dits), le système d’exploitation et sa version, les polices installées, les plugins installés, les couleurs du système, la résolution de l’écran, le fuseau horaire du navigateur, et plus encore. Cela est souvent appelé empreinte digitale active car les informations doivent être demandées.

Qu’est-ce que l’empreinte digitale d’appareil ?

L’empreinte digitale d’appareil fonctionne traditionnellement via le navigateur et inclut également l’empreinte digitale de navigateur. En plus des caractéristiques du navigateur, il tente d’identifier davantage un visiteur d’un site internet en utilisant les caractéristiques uniques de leurs appareils, telles que la taille de l’écran, la profondeur des couleurs, l’adresse IP de l’appareil, et même les signaux audio(new window), l’autonomie de la batterie(new window), et l’étalonnage de l’accéléromètre(new window) peuvent aider à identifier votre appareil.

Une étude influente de 2014(new window), « l’expérience de fingerprinting de capteurs la plus étendue à ce jour », menée par des chercheurs de l’Université de Stanford, a montré que, « l’entropie du fingerprinting de capteurs est suffisante pour identifier de manière unique un appareil parmi des milliers d’appareils, avec une faible probabilité de collision ».

Jusqu’à récemment, le fingerprinting n’était pas nécessaire pour identifier les utilisateurs d’applications, car les applications avaient un accès direct à un large éventail d’informations personnelles pouvant identifier votre appareil, y compris votre adresse IP, adresse MAC(new window), numéro IMEI(new window), et plus encore. Cependant, les versions récentes d’Android et d’iOS empêchent désormais les développeurs d’applications d’accéder à ces identifiants fournis par le système.

Il est toujours possible d’utiliser des astuces, telles que la génération d’un Identifiant Universel Unique(new window) (UUID) fichier qui (tout comme un cookie de navigateur) peut être stocké sur un appareil, mais l’inefficacité de telles méthodes (par exemple, ils seront supprimés si l’application est désinstallée) signifie que les développeurs d’applications se tournent de plus en plus vers les méthodes de fingerprinting des appareils telles que celles décrites ci-dessus.

Techniques de fingerprinting combinées

En 2016, une étude à grande échelle des traqueurs en ligne(new window) menée par des chercheurs de l’Université de Princeton a trouvé que les sites internet utilisent généralement une gamme de techniques de fingerprinting, qui, combinées, peuvent s’avérer efficaces contre un large spectre de mesures anti-traçage.

Elle a constaté que, bien que les mesures anti-traçage populaires soient assez efficaces contre les techniques de fingerprinting plus courantes, telles que le fingerprinting de canvas et le fingerprinting de polices de canvas (deux formes courantes de fingerprinting de navigateur), « Seule une fraction du nombre total de scripts utilisant les techniques sont bloqués (entre 8 % et 25 %), montrant que les tiers moins populaires ne sont pas détectés. Les techniques moins connues, comme la découverte d’IP WebRTC et le fingerprinting audio, ont des taux de détection encore plus faibles ».

Prévention de la fraude

L’abus des méthodes de fingerprinting à des fins publicitaires et analytiques attire compréhensiblement beaucoup de critiques, mais ces méthodes sont également un outil inestimable pour prévenir divers types de fraude et d’abus en ligne.

Le fingerprinting peut aider à déterminer si une session de banque en ligne a été détournée et peut identifier la fraude à la carte bancaire. Par exemple, le fingerprinting peut aider à déterminer si plusieurs demandes qui semblent provenir de plusieurs cartes, chacune avec des adresses IP différentes, proviennent en fait du même appareil.

De même, lorsqu’il est combiné avec d’autres méthodes de détection, le fingerprinting peut aider à prévenir la fraude dans le commerce électronique en identifiant les fraudeurs tentant d’accéder à un compte client légitime depuis des appareils ou des navigateurs inhabituels.

Quelle est l’unicité de votre empreinte ?

Une étude de 2010 de l’Electronic Frontier Foundation(new window) a révélé que 84 % des navigateurs avaient une configuration unique, tout en acceptant qu’il y avait de nombreux facteurs utilisés par les logiciels de fingerprinting qu’elle n’était pas en mesure de tester, et qui entraîneraient donc des taux de détection plus élevés dans le monde réel.

Les fournisseurs de produits de fingerprinting, tels que FingerprintJS, revendiquent une précision de 99,5 %(new window) pour le fingerprinting de navigateur et plus de 90 % de précision(new window) pour identifier correctement un utilisateur unique dans le navigateur lors de l’utilisation d’Android, « et lorsque combiné avec l’historique d’utilisation, la correspondance floue et les moteurs de probabilité, cette précision peut être encore améliorée ».

L’Electronic Frontier Foundation propose Couvrir vos traces(new window), un outil gratuit qui évalue à quel point votre navigateur est unique.

Couvrir vos traces montrant « Votre navigateur a une empreinte unique »(new window)

Comment réduire votre empreinte

L’un des aspects les plus frustrants du fingerprinting de navigateur est que chaque fois que vous changez de navigateur, comme l’installation d’extensions de navigateur, vous le rendez plus unique.

Cela signifie que l’installation d’extensions conçues pour protéger votre vie privée et empêcher le traçage vous rend en fait plus vulnérable au fingerprinting de navigateur (vous pouvez voir cette dynamique en action dans la capture d’écran de Firefox ci-dessus avec divers plugins liés à la vie privée installés).

Des extensions anti-fingerprinting sont disponibles pour Firefox et Chrome, mais lors de nos tests, elles se sont avérées largement inefficaces. Firefox propose une fonctionnalité expérimentale de protection contre le fingerprinting(new window), mais là encore, cela n’a pas empêché Couvrir vos traces d’identifier de manière unique notre navigateur.

L’EFF note que les extensions, telles que NoScript(new window) pour Firefox peuvent être assez efficaces pour se défendre contre le fingerprinting, mais c’est un outil qui n’est pas facile à utiliser et nécessite une configuration soignée pour éviter de « casser » de nombreux sites internet.

Lors de nos tests, Safari sur macOS et iOS/iPadOS, et Chromium Edge sur Windows avaient des empreintes uniques.

Cependant, le navigateur Brave utilise une méthode de randomisation qui s’est avérée efficace pour empêcher le fingerprinting de navigateur sur le bureau et sur Android, bien que pas sur iOS/iPadOS (cela est presque certainement dû au fait qu’Apple limite les navigateurs tiers à l’utilisation du framework WebKit iOS, ce qui limite considérablement ce qu’ils peuvent faire sur la plateforme).

Couvrir vos traces montrant « Votre navigateur a une empreinte randomisée »(new window)

Le navigateur Tor a été encore plus efficace pour bloquer le fingerprinting sur le bureau même au niveau Standard de sécurité(new window), bien qu’il n’ait fourni qu’une protection partielle sur Android avec le niveau de sécurité réglé sur le plus sûr.

Dissimulez vos traces en affichant « Votre navigateur a une empreinte digitale non unique »(new window)

NetShield (bloqueur de publicités)

Toutes les applications Proton VPN(new window) proposent la fonctionnalité NetShield (bloqueur de publicités) qui bloque les requêtes DNS vers les domaines de logiciels malveillants, de publicités et de traqueurs. Avec NetShield (bloqueur de publicités) activé, de nombreux scripts de fingerprinting intrusifs sont bloqués, ce qui peut réduire considérablement votre empreinte digitale(new window).

En savoir plus sur NetShield (bloqueur de publicités)(new window)

Pour conclure

Comme toutes les avancées technologiques, le fingerprinting de navigateur et d’appareil peut être utilisé à bon ou mauvais escient, et il est indéniablement un outil utile dans la lutte contre la fraude bancaire, la fraude à la carte bancaire et la fraude dans le commerce électronique.

Cependant, leur utilisation généralisée par les sites internet pour suivre et espionner leurs utilisateurs à des fins publicitaires constitue une violation manifeste de la vie privée, d’autant plus insidieuse qu’elle est difficile à prévenir.

Le fait que, lors de l’utilisation des navigateurs les plus populaires, tout effort que vous faites pour améliorer votre vie privée augmente en réalité votre vulnérabilité au fingerprinting de navigateur, est d’autant plus exaspérant.

Les sites internet tentent de rejeter la faute sur nous, prétendant que l’utilisation accrue de bloqueurs de publicités, de gestionnaires de cookies et d’autres mesures anti-traçage signifie qu’ils ne peuvent pas gagner d’argent avec la publicité, les forçant ainsi à utiliser des méthodes de suivi de plus en plus sournoises.

Cela revient cependant à peu près à manipuler leurs propres utilisateurs. Personne n’a demandé ni accepté d’être espionné lors de l’utilisation d’internet. Et maintenant que de plus en plus de personnes prennent les choses en main pour protéger leur vie privée, il n’y a aucune excuse pour recourir à des méthodes toujours plus obscures et trompeuses pour saper les souhaits de leurs visiteurs.

Il est donc encourageant de constater que Brave et le navigateur Tor ont développé des défenses efficaces contre ce qui est, lorsqu’il est utilisé à des fins publicitaires et analytiques, une méthode pernicieuse et hautement cynique de violer la vie privée des utilisateurs d’internet.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

en
Hackers use various methods to crack passwords, and one of them is the rainbow table attack. In certain cases, this method can be faster than dictionary attacks or credential stuffing. In this article, we explore how rainbow table attacks work and d
en
The more personal information we share on the internet, the greater the privacy risks that make us vulnerable to identity theft. This issue affects millions globally, impacting people financially and personally, with over 24 million victims in 2021 i
en
Ensuring HIPAA compliance is crucial for any healthcare business that handles sensitive patient information. Failing to use HIPAA-compliant services, such as email, can result in severe consequences, including hefty fines and legal repercussions. If
Les adresses e-mail et autres informations sensibles de 918 députés britanniques, membres du Parlement européen et députés et sénateurs français ont été divulguées sur les marketplaces du dark web où les données sont achetées et vendues illégalement.
en
Email threads are so ubiquitous you might not realize what they are. An email thread is basically a series of related emails grouped together.  This article will tell you everything you need to know about what exactly an email thread is and when you
en
  • Vie privée, les fondamentaux
How to prevent identity theft
Identity theft is a major sector of criminal activity. About 24 million people fell victim in the United States alone in 2021, costing them over $16 billion. Credit card fraud is the most common type, but criminals target all kinds of personal data.