Comment savoir si un site relève vos empreintes digitales (du navigateur)

Que vous analysiez la boucle et la spirale du bout de vos doigts ou les informations uniques du navigateur, l’empreinte digitale est une méthode extrêmement fiable pour identifier quelqu’un. Il est beaucoup plus difficile d’obtenir l’empreinte d’une personne à son insu mais tous les services Internet identifient l’utilisateur selon son « empreinte digitale » du navigateur (fingerprinting) et ils ne le font pas dans son intérêt.

Une équipe de l’université de la Bundeswehr à Munich a développé une extension de navigateur qui vous permet de savoir quels sites collectent l’empreinte digitale de votre navigateur et comment ils procèdent. L’équipe a aussi analysé 10 000 sites populaires pour voir quelles informations ils recueillent. Un des membres de cette équipe, Julian Fietkau, a abordé ce problème et a présenté le travail accompli lors de son intervention au Remote Chaos Communication Congress (RC3).

Qu’est-ce que l’empreinte digitale du navigateur ?

L’empreinte digitale du navigateur est le regroupement des données qu’un site peut obtenir au sujet de votre ordinateur et de votre navigateur sur demande lors du chargement d’une page. L’empreinte digitale inclut des dizaines de points de données, dont la langue que vous utilisez, votre fuseau horaire, les extensions installées et la version de votre navigateur. Elle peut également comprendre des informations sur votre système d’exploitation, la RAM, la résolution de votre écran, les paramètres de police et bien d’autres éléments.

Les sites recueillent plusieurs quantités et types d’informations et s’en servent pour générer un identifiant unique. L’empreinte digitale du navigateur n’est pas un cookie, même si elle peut être utilisée de façon similaire. Il est vrai que vous devez autoriser l’utilisation de cookies (vous en avez sûrement marre de fermer les notifications qui indiquent que « notre site utilise des cookies ») mais l’exploitation de l’empreinte digitale de votre navigateur est libre.

De plus, le mode de navigation privée n’empêche pas l’obtention de l’empreinte digitale de votre navigateur. La plupart des paramètres du navigateur et de l’appareil restent identiques et peuvent être utilisés pour savoir que vous êtes la personne qui utilise Internet.

Comment les empreintes digitales du navigateur sont-elles utilisées et détournées ?

L’objectif premier de l’empreinte digitale du navigateur est de confirmer l’identité de l’utilisateur sans effort de sa part. Par exemple, si une banque peut dire grâce à l’empreinte digitale de votre navigateur que vous êtes la personne en train de réaliser la transaction, il est inutile de vous envoyer un code de sécurité par SMS, et celle-ci peut déployer plus d’efforts si quelqu’un, y compris vous, se connecte à votre compte avec une autre empreinte digitale du navigateur. Dans ce cas, l’empreinte digitale du navigateur améliore votre expérience.

Ensuite, elles servent à afficher des publicités ciblées. Entrez sur un site pour savoir comment choisir un fer à repasser puis allez sur un autre site qui utilise le même réseau publicitaire et le réseau va vous afficher des publicités de fer à repasser. Pour faire simple, c’est du traçage sans votre consentement et il est assez normal que cette pratique énerve et éveille les soupçons des utilisateurs.

Cela étant dit, de nombreux sites qui intègrent les composants de plusieurs réseaux publicitaires et services d’analyse recueillent et analysent votre empreinte digitale.

Comment dire si un site relève l’empreinte digitale de votre navigateur ?

Pour obtenir les informations qui permettent de créer une empreinte digitale numérique, un site envoie plusieurs demandes au navigateur via un code JavaScript intégré. C’est le cumul des réponses du navigateur qui façonne l’empreinte digitale.

Fietkau et ses collègues ont analysé les bibliothèques les plus connues qui se servent de ce genre de codes Java et ont dressé la liste des 115 techniques les plus souvent utilisées pour travailler avec les empreintes digitales du navigateur. Ils ont ensuite créé une extension de navigateur, FPMON, qui analyse les pages Web pour voir si elles utilisent ces techniques et indiquer à l’utilisateur quelles données un site en particulier essaie de recueillir pour générer l’empreinte digitale du navigateur.

Les utilisateurs qui ont installé FPMON reçoivent une notification lorsqu’un site demande telles et telles informations au navigateur. De plus, l’équipe a divisé les différents types de renseignements en deux catégories : sensible et agressive.

La première catégorie inclut les informations qu’un site peut demander pour des raisons légitimes. Par exemple, connaître la langue du navigateur permet au site d’apparaître dans la langue souhaitée, et le fuseau horaire est nécessaire pour vous afficher la bonne heure. Pourtant, ces renseignements pourraient vous dire quelque chose.

Les informations agressives ne sont pas pertinentes pour le site puisqu’elles sont souvent utilisées dans le seul objectif de créer l’empreinte digitale de votre navigateur. On y trouve notamment la mémoire disponible sur l’appareil ou encore une liste des plug-ins installés dans votre navigateur.

Quel est le niveau d’agressivité des sites qui recueillent l’empreinte digitale de votre navigateur ?

FPMON peut détecter les demandes de 40 types d’informations. Presque tous les sites demandent des renseignements sur le navigateur ou l’appareil. Dans quelle mesure devrions-nous penser qu’un site essaie de relever notre empreinte ? À quel point devrions-nous nous inquiéter ?

Les chercheurs ont utilisé des sites existants, comme le projet Panopticlick de EFF (alias Cover Your Tracks) que le groupe de défense de la vie privée a créé pour expliquer le fonctionnement des empreintes digitales du navigateur. Panopticlick a besoin de 23 paramètres pour fonctionner et peut identifier un utilisateur avec un seuil de confiance supérieur à 90 %. Ces 23 paramètres sont la valeur minimum de Fietkau et de son équipe. C’est à partir de ce seuil, ou au-delà, que l’on peut considérer qu’un site trace l’utilisateur.

Les chercheurs ont parcouru les 10 000 meilleurs sites du classement établi par Alexa et ont découvert que la plupart d’entre eux (près de 57 %) demandent entre 7 et 15 paramètres avec une valeur moyenne de 11 paramètres pour l’ensemble de l’échantillon. Près de 5 % des sites n’ont recueilli aucun paramètre et le nombre maximum était de 38 paramètres sur les 40 possibles. Pourtant, seulement trois des 10 000 sites en ont demandé autant.

Les sites de leur échantillon ont utilisé plus d’une centaine de scripts pour recueillir les données et même si très peu de scripts ont recueilli des informations appartenant à la catégorie agressive, des sites très connus y ont recours.

Comment se protéger du fingerprinting ?

Deux approches peuvent empêcher les scripts de site d’obtenir l’empreinte digitale de votre navigateur : bloquez-les ou donnez-leur des informations incomplètes ou incorrectes. Les logiciels de confidentialité utilisent une méthode ou une autre. Du côté des navigateurs, Safari a récemment commencé à ne fournir que des informations de base et impersonnelles, ce qui protège les utilisateurs du traçage via les empreintes digitales.

Certaines organisations ont aussi créé des extensions de navigateur. Par exemple, Privacy Badger, un plug-in de vie privée développé par EFF, essaie de bloquer les scripts même s’il ne les arrête pas tous. Le plug-in n’affecte pas les scripts qui demandent des données pouvant s’avérer nécessaires pour qu’une page s’affiche correctement ou pour que certaines fonctions ne rencontrent pas de difficultés (même si certaines peuvent contribuer à la création de l’empreinte digitale).

Nous adoptons la même approche pour notre extension de navigateur Kaspersky Protection, qui empêche les sites de recueillir trop d’informations sur l’utilisateur et donc de pouvoir les regrouper pour obtenir l’empreinte digitale. Kaspersky Protection est inclus dans nos principales solutions de sécurité pour particuliers. N’oubliez pas de l’activer.