{"id":16246,"date":"2021-01-15T15:23:42","date_gmt":"2021-01-15T15:23:42","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16246"},"modified":"2021-01-15T15:23:43","modified_gmt":"2021-01-15T15:23:43","slug":"rc3-fpmon-browser-fingerprinting","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rc3-fpmon-browser-fingerprinting\/16246\/","title":{"rendered":"Comment savoir si un site rel\u00e8ve vos empreintes digitales (du navigateur)"},"content":{"rendered":"

Que vous analysiez la boucle et la spirale du bout de vos doigts ou les informations uniques du navigateur, l\u2019empreinte digitale est une m\u00e9thode extr\u00eamement fiable pour identifier quelqu\u2019un. Il est beaucoup plus difficile d\u2019obtenir l\u2019empreinte d\u2019une personne \u00e0 son insu mais tous les services Internet identifient l\u2019utilisateur selon son \u00ab\u00a0empreinte digitale\u00a0\u00bb du navigateur (fingerprinting<\/em>) et ils ne le font pas dans son int\u00e9r\u00eat.<\/p>\n

Une \u00e9quipe de l\u2019universit\u00e9 de la Bundeswehr \u00e0 Munich a d\u00e9velopp\u00e9 une extension de navigateur qui vous permet de savoir quels sites collectent l\u2019empreinte digitale de votre navigateur et comment ils proc\u00e8dent. L\u2019\u00e9quipe a aussi analys\u00e9 10 000 sites populaires pour voir quelles informations ils recueillent. Un des membres de cette \u00e9quipe, Julian Fietkau, a abord\u00e9 ce probl\u00e8me et a pr\u00e9sent\u00e9 le travail accompli lors de son intervention au Remote Chaos Communication Congress<\/em> (RC3)<\/a>.<\/p>\n

Qu\u2019est-ce que l\u2019empreinte digitale du navigateur ?<\/h2>\n

L\u2019empreinte digitale du navigateur est le regroupement des donn\u00e9es qu\u2019un site peut obtenir au sujet de votre ordinateur et de votre navigateur sur demande lors du chargement d\u2019une page. L\u2019empreinte digitale inclut des dizaines de points de donn\u00e9es, dont la langue que vous utilisez, votre fuseau horaire, les extensions install\u00e9es et la version de votre navigateur. Elle peut \u00e9galement comprendre des informations sur votre syst\u00e8me d\u2019exploitation, la RAM, la r\u00e9solution de votre \u00e9cran, les param\u00e8tres de police et bien d\u2019autres \u00e9l\u00e9ments.<\/p>\n

Les sites recueillent plusieurs quantit\u00e9s et types d\u2019informations et s\u2019en servent pour g\u00e9n\u00e9rer un identifiant unique. L\u2019empreinte digitale du navigateur n\u2019est pas un cookie, m\u00eame si elle peut \u00eatre utilis\u00e9e de fa\u00e7on similaire. Il est vrai que vous devez autoriser l\u2019utilisation de cookies (vous en avez s\u00fbrement marre de fermer les notifications qui indiquent que \u00ab\u00a0notre site utilise des cookies\u00a0\u00bb) mais l\u2019exploitation de l\u2019empreinte digitale de votre navigateur est libre.<\/p>\n

De plus, le mode de navigation priv\u00e9e<\/a> n\u2019emp\u00eache pas l\u2019obtention de l\u2019empreinte digitale de votre navigateur. La plupart des param\u00e8tres du navigateur et de l\u2019appareil restent identiques et peuvent \u00eatre utilis\u00e9s pour savoir que vous \u00eates la personne qui utilise Internet.<\/p>\n\n

Comment les empreintes digitales du navigateur sont-elles utilis\u00e9es et d\u00e9tourn\u00e9es ?<\/h2>\n

L\u2019objectif premier de l\u2019empreinte digitale du navigateur est de confirmer l\u2019identit\u00e9 de l\u2019utilisateur sans effort de sa part. Par exemple, si une banque peut dire gr\u00e2ce \u00e0 l\u2019empreinte digitale de votre navigateur que vous \u00eates la personne en train de r\u00e9aliser la transaction, il est inutile de vous envoyer un code de s\u00e9curit\u00e9 par SMS, et celle-ci peut d\u00e9ployer plus d\u2019efforts si quelqu\u2019un, y compris vous, se connecte \u00e0 votre compte avec une autre empreinte digitale du navigateur. Dans ce cas, l\u2019empreinte digitale du navigateur am\u00e9liore votre exp\u00e9rience.<\/p>\n

Ensuite, elles servent \u00e0 afficher des publicit\u00e9s cibl\u00e9es. Entrez sur un site pour savoir comment choisir un fer \u00e0 repasser puis allez sur un autre site qui utilise le m\u00eame r\u00e9seau publicitaire et le r\u00e9seau va vous afficher des publicit\u00e9s de fer \u00e0 repasser. Pour faire simple, c\u2019est du tra\u00e7age sans votre consentement et il est assez normal que cette pratique \u00e9nerve et \u00e9veille les soup\u00e7ons des utilisateurs.<\/p>\n

Cela \u00e9tant dit, de nombreux sites qui int\u00e8grent les composants de plusieurs r\u00e9seaux publicitaires et services d\u2019analyse recueillent et analysent votre empreinte digitale.<\/p>\n

Comment dire si un site rel\u00e8ve l\u2019empreinte digitale de votre navigateur ?<\/h2>\n

Pour obtenir les informations qui permettent de cr\u00e9er une empreinte digitale num\u00e9rique, un site envoie plusieurs demandes au navigateur via un code JavaScript int\u00e9gr\u00e9. C\u2019est le cumul des r\u00e9ponses du navigateur qui fa\u00e7onne l\u2019empreinte digitale.<\/p>\n

Fietkau et ses coll\u00e8gues ont analys\u00e9 les biblioth\u00e8ques les plus connues qui se servent de ce genre de codes Java et ont dress\u00e9 la liste des 115 techniques les plus souvent utilis\u00e9es pour travailler avec les empreintes digitales du navigateur. Ils ont ensuite cr\u00e9\u00e9 une extension de navigateur, FPMON<\/a>, qui analyse les pages Web pour voir si elles utilisent ces techniques et indiquer \u00e0 l\u2019utilisateur quelles donn\u00e9es un site en particulier essaie de recueillir pour g\u00e9n\u00e9rer l\u2019empreinte digitale du navigateur.<\/p>\n

Les utilisateurs qui ont install\u00e9 FPMON re\u00e7oivent une notification lorsqu\u2019un site demande telles et telles informations au navigateur. De plus, l\u2019\u00e9quipe a divis\u00e9 les diff\u00e9rents types de renseignements en deux cat\u00e9gories : sensible<\/em> et agressive<\/em>.<\/p>\n

La premi\u00e8re cat\u00e9gorie inclut les informations qu\u2019un site peut demander pour des raisons l\u00e9gitimes. Par exemple, conna\u00eetre la langue du navigateur permet au site d\u2019appara\u00eetre dans la langue souhait\u00e9e, et le fuseau horaire est n\u00e9cessaire pour vous afficher la bonne heure. Pourtant, ces renseignements pourraient vous dire quelque chose.<\/p>\n

Les informations agressives<\/em> ne sont pas pertinentes pour le site puisqu\u2019elles sont souvent utilis\u00e9es dans le seul objectif de cr\u00e9er l\u2019empreinte digitale de votre navigateur. On y trouve notamment la m\u00e9moire disponible sur l\u2019appareil ou encore une liste des plug-ins install\u00e9s dans votre navigateur.<\/p>\n

Quel est le niveau d\u2019agressivit\u00e9 des sites qui recueillent l\u2019empreinte digitale de votre navigateur ?<\/h2>\n

FPMON peut d\u00e9tecter les demandes de 40 types d\u2019informations. Presque tous les sites demandent des renseignements sur le navigateur ou l\u2019appareil. Dans quelle mesure devrions-nous penser qu\u2019un site essaie de relever notre empreinte ? \u00c0 quel point devrions-nous nous inqui\u00e9ter ?<\/p>\n

Les chercheurs ont utilis\u00e9 des sites existants, comme le projet Panopticlick de EFF (alias Cover Your Tracks<\/a>) que le groupe de d\u00e9fense de la vie priv\u00e9e a cr\u00e9\u00e9 pour expliquer le fonctionnement des empreintes digitales du navigateur. Panopticlick a besoin de 23 param\u00e8tres pour fonctionner et peut identifier un utilisateur avec un seuil de confiance sup\u00e9rieur \u00e0 90 %. Ces 23 param\u00e8tres sont la valeur minimum de Fietkau et de son \u00e9quipe. C\u2019est \u00e0 partir de ce seuil, ou au-del\u00e0, que l\u2019on peut consid\u00e9rer qu\u2019un site trace l\u2019utilisateur.<\/p>\n

Les chercheurs ont parcouru les 10 000 meilleurs sites du classement \u00e9tabli par Alexa et ont d\u00e9couvert que la plupart d\u2019entre eux (pr\u00e8s de 57 %) demandent entre 7 et 15 param\u00e8tres avec une valeur moyenne de 11 param\u00e8tres pour l\u2019ensemble de l\u2019\u00e9chantillon. Pr\u00e8s de 5 % des sites n\u2019ont recueilli aucun param\u00e8tre et le nombre maximum \u00e9tait de 38 param\u00e8tres sur les 40 possibles. Pourtant, seulement trois des 10 000 sites en ont demand\u00e9 autant.<\/p>\n

Les sites de leur \u00e9chantillon ont utilis\u00e9 plus d\u2019une centaine de scripts pour recueillir les donn\u00e9es et m\u00eame si tr\u00e8s peu de scripts ont recueilli des informations appartenant \u00e0 la cat\u00e9gorie agressive, des sites tr\u00e8s connus y ont recours.<\/p>\n

Comment se prot\u00e9ger du fingerprinting ?<\/h2>\n

Deux approches peuvent emp\u00eacher les scripts de site d\u2019obtenir l\u2019empreinte digitale de votre navigateur : bloquez-les ou donnez-leur des informations incompl\u00e8tes ou incorrectes. Les logiciels de confidentialit\u00e9 utilisent une m\u00e9thode ou une autre. Du c\u00f4t\u00e9 des navigateurs, Safari a r\u00e9cemment<\/a> commenc\u00e9 \u00e0 ne fournir que des informations de base et impersonnelles, ce qui prot\u00e8ge les utilisateurs du tra\u00e7age via les empreintes digitales.<\/p>\n

Certaines organisations ont aussi cr\u00e9\u00e9 des extensions de navigateur. Par exemple, Privacy Badger, un plug-in de vie priv\u00e9e d\u00e9velopp\u00e9 par EFF, essaie de bloquer les scripts m\u00eame s\u2019il ne les arr\u00eate pas tous. Le plug-in n\u2019affecte pas les scripts qui demandent des donn\u00e9es pouvant s\u2019av\u00e9rer n\u00e9cessaires pour qu\u2019une page s\u2019affiche correctement ou pour que certaines fonctions ne rencontrent pas de difficult\u00e9s (m\u00eame si certaines peuvent contribuer \u00e0 la cr\u00e9ation de l\u2019empreinte digitale).<\/p>\n

Nous adoptons la m\u00eame approche pour notre extension de navigateur Kaspersky Protection, qui emp\u00eache les sites de recueillir trop d\u2019informations sur l\u2019utilisateur et donc de pouvoir les regrouper pour obtenir l\u2019empreinte digitale. Kaspersky Protection est inclus dans nos principales solutions de s\u00e9curit\u00e9<\/a> pour particuliers. N\u2019oubliez pas de l\u2019activer<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Des chercheurs ont cr\u00e9\u00e9 une extension pour savoir quelles informations les sites recueillent pour relever l\u2019empreinte digitale de votre navigateur. <\/p>\n","protected":false},"author":675,"featured_media":16247,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3798,1868],"tags":[2679,2680,180,4060,2703,4058,881,227],"class_list":{"0":"post-16246","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-confidentialite","8":"category-privacy","9":"tag-ccc","10":"tag-chaos-communication-congress","11":"tag-confidentialite","12":"tag-empreinte-digitale","13":"tag-navigateurs","14":"tag-rc3","15":"tag-tracage","16":"tag-vie-privee"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/rc3-fpmon-browser-fingerprinting\/16246\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rc3-fpmon-browser-fingerprinting\/22406\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rc3-fpmon-browser-fingerprinting\/17894\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rc3-fpmon-browser-fingerprinting\/24084\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rc3-fpmon-browser-fingerprinting\/22165\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rc3-fpmon-browser-fingerprinting\/20859\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rc3-fpmon-browser-fingerprinting\/24529\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rc3-fpmon-browser-fingerprinting\/23722\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rc3-fpmon-browser-fingerprinting\/29947\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/rc3-fpmon-browser-fingerprinting\/9232\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rc3-fpmon-browser-fingerprinting\/38369\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rc3-fpmon-browser-fingerprinting\/16828\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rc3-fpmon-browser-fingerprinting\/14373\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rc3-fpmon-browser-fingerprinting\/26075\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rc3-fpmon-browser-fingerprinting\/29879\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/rc3-fpmon-browser-fingerprinting\/26586\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rc3-fpmon-browser-fingerprinting\/23449\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rc3-fpmon-browser-fingerprinting\/28782\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rc3-fpmon-browser-fingerprinting\/28593\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/rc3\/","name":"RC3"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=16246"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16246\/revisions"}],"predecessor-version":[{"id":16260,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16246\/revisions\/16260"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/16247"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=16246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=16246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=16246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}