Proton

Mieux comprendre la protection de la vie privée #8 : Qu’est-ce que l’empreinte digitale de navigateur et d’appareil ?

L’empreinte digitale est une méthode pour vous identifier sur internet et peut être très difficile à prévenir. Dans cet article, nous discutons de ce qu’est l’empreinte digitale et comment réduire votre empreinte.

Les sites internet aiment savoir autant que possible à votre sujet. C’est parce que plus ils en savent sur vous, mieux ils peuvent cibler les publicités à votre attention. Ils sont donc très intéressés par le suivi de vos activités sur internet pour construire un modèle détaillé de vos goûts, dégoûts, passe-temps, et plus encore, basé sur votre historique de navigation.

Ils utilisent ensuite la quantité effrayante d’informations personnelles collectées pour vous cibler avec des publicités hautement personnalisées.

Il existe cependant des raisons légitimes pour lesquelles les sites internet souhaitent identifier de manière unique leurs visiteurs, telles que la prévention de la fraude par carte bancaire et bancaire et la fraude en commerce électronique.

Autrefois, les sites internet pouvaient aisément vous identifier par votre adresse IP(nouvelle fenêtre) et vous suivre à travers les sites internet en utilisant des cookies tiers(nouvelle fenêtre). Cependant, la prise de conscience accrue des problèmes de confidentialité ces dernières années a rendu cette tâche plus difficile. De plus en plus de personnes utilisent un VPN pour masquer leur adresse IP et prennent des mesures pour bloquer les cookies tiers.

En effet, les navigateurs Safari, Firefox et Brave ont récemment pris la décision audacieuse de bloquer tous les cookies tiers par défaut,

Les sites internet ont répondu en adoptant des mécanismes de suivi plus sophistiqués, tels que les HTTP E-Tags(nouvelle fenêtre), le stockage web (ou DOM)(nouvelle fenêtre) et l’exploration de l’historique du navigateur(nouvelle fenêtre).

Les méthodes alternatives les plus courantes et efficaces utilisées aujourd’hui pour identifier de manière unique les utilisateurs du web sont cependant l’empreinte digitale de navigateur et d’appareil.

Qu’est-ce que l’empreinte digitale de navigateur ?

Votre navigateur divulgue toujours certaines informations aux sites que vous visitez, telles que le nom du navigateur, le système d’exploitation et le numéro de version exact du navigateur. Cela est souvent appelé empreinte digitale passive du navigateur car cela se produit automatiquement.

En plus de cela, les sites internet peuvent demander à votre navigateur des informations supplémentaires, telles qu’une liste de types de données pris en charge (les types MIME dits), le système d’exploitation et sa version, les polices installées, les plugins installés, les couleurs du système, la résolution de l’écran, le fuseau horaire du navigateur, et plus encore. Cela est souvent appelé empreinte digitale active car les informations doivent être demandées.

Qu’est-ce que l’empreinte digitale d’appareil ?

L’empreinte digitale d’appareil fonctionne traditionnellement via le navigateur et inclut également l’empreinte digitale de navigateur. En plus des caractéristiques du navigateur, il tente d’identifier davantage un visiteur d’un site internet en utilisant les caractéristiques uniques de leurs appareils, telles que la taille de l’écran, la profondeur des couleurs, l’adresse IP de l’appareil, et même les signaux audio(nouvelle fenêtre), l’autonomie de la batterie(nouvelle fenêtre), et l’étalonnage de l’accéléromètre(nouvelle fenêtre) peuvent aider à identifier votre appareil.

Une étude influente de 2014(nouvelle fenêtre), « l’expérience de fingerprinting de capteurs la plus étendue à ce jour », menée par des chercheurs de l’Université de Stanford, a montré que, « l’entropie du fingerprinting de capteurs est suffisante pour identifier de manière unique un appareil parmi des milliers d’appareils, avec une faible probabilité de collision ».

Jusqu’à récemment, le fingerprinting n’était pas nécessaire pour identifier les utilisateurs d’applications, car les applications avaient un accès direct à un large éventail d’informations personnelles pouvant identifier votre appareil, y compris votre adresse IP, adresse MAC(nouvelle fenêtre), numéro IMEI(nouvelle fenêtre), et plus encore. Cependant, les versions récentes d’Android et d’iOS empêchent désormais les développeurs d’applications d’accéder à ces identifiants fournis par le système.

Il est toujours possible d’utiliser des astuces, telles que la génération d’un Identifiant Universel Unique(nouvelle fenêtre) (UUID) fichier qui (tout comme un cookie de navigateur) peut être stocké sur un appareil, mais l’inefficacité de telles méthodes (par exemple, ils seront supprimés si l’application est désinstallée) signifie que les développeurs d’applications se tournent de plus en plus vers les méthodes de fingerprinting des appareils telles que celles décrites ci-dessus.

Techniques de fingerprinting combinées

En 2016, une étude à grande échelle des traqueurs en ligne(nouvelle fenêtre) menée par des chercheurs de l’Université de Princeton a trouvé que les sites internet utilisent généralement une gamme de techniques de fingerprinting, qui, combinées, peuvent s’avérer efficaces contre un large spectre de mesures anti-traçage.

Elle a constaté que, bien que les mesures anti-traçage populaires soient assez efficaces contre les techniques de fingerprinting plus courantes, telles que le fingerprinting de canvas et le fingerprinting de polices de canvas (deux formes courantes de fingerprinting de navigateur), « Seule une fraction du nombre total de scripts utilisant les techniques sont bloqués (entre 8 % et 25 %), montrant que les tiers moins populaires ne sont pas détectés. Les techniques moins connues, comme la découverte d’IP WebRTC et le fingerprinting audio, ont des taux de détection encore plus faibles ».

Prévention de la fraude

L’abus des méthodes de fingerprinting à des fins publicitaires et analytiques attire compréhensiblement beaucoup de critiques, mais ces méthodes sont également un outil inestimable pour prévenir divers types de fraude et d’abus en ligne.

Le fingerprinting peut aider à déterminer si une session de banque en ligne a été détournée et peut identifier la fraude à la carte bancaire. Par exemple, le fingerprinting peut aider à déterminer si plusieurs demandes qui semblent provenir de plusieurs cartes, chacune avec des adresses IP différentes, proviennent en fait du même appareil.

De même, lorsqu’il est combiné avec d’autres méthodes de détection, le fingerprinting peut aider à prévenir la fraude dans le commerce électronique en identifiant les fraudeurs tentant d’accéder à un compte client légitime depuis des appareils ou des navigateurs inhabituels.

Quelle est l’unicité de votre empreinte ?

Une étude de 2010 de l’Electronic Frontier Foundation(nouvelle fenêtre) a révélé que 84 % des navigateurs avaient une configuration unique, tout en acceptant qu’il y avait de nombreux facteurs utilisés par les logiciels de fingerprinting qu’elle n’était pas en mesure de tester, et qui entraîneraient donc des taux de détection plus élevés dans le monde réel.

Les fournisseurs de produits de fingerprinting, tels que FingerprintJS, revendiquent une précision de 99,5 %(nouvelle fenêtre) pour le fingerprinting de navigateur et plus de 90 % de précision(nouvelle fenêtre) pour identifier correctement un utilisateur unique dans le navigateur lors de l’utilisation d’Android, « et lorsque combiné avec l’historique d’utilisation, la correspondance floue et les moteurs de probabilité, cette précision peut être encore améliorée ».

L’Electronic Frontier Foundation propose Couvrir vos traces(nouvelle fenêtre), un outil gratuit qui évalue à quel point votre navigateur est unique.

Couvrir vos traces montrant « Votre navigateur a une empreinte unique »(nouvelle fenêtre)

Comment réduire votre empreinte

L’un des aspects les plus frustrants du fingerprinting de navigateur est que chaque fois que vous changez de navigateur, comme l’installation d’extensions de navigateur, vous le rendez plus unique.

Cela signifie que l’installation d’extensions conçues pour protéger votre vie privée et empêcher le traçage vous rend en fait plus vulnérable au fingerprinting de navigateur (vous pouvez voir cette dynamique en action dans la capture d’écran de Firefox ci-dessus avec divers plugins liés à la vie privée installés).

Des extensions anti-fingerprinting sont disponibles pour Firefox et Chrome, mais lors de nos tests, elles se sont avérées largement inefficaces. Firefox propose une fonctionnalité expérimentale de protection contre le fingerprinting(nouvelle fenêtre), mais là encore, cela n’a pas empêché Couvrir vos traces d’identifier de manière unique notre navigateur.

L’EFF note que les extensions, telles que NoScript(nouvelle fenêtre) pour Firefox peuvent être assez efficaces pour se défendre contre le fingerprinting, mais c’est un outil qui n’est pas facile à utiliser et nécessite une configuration soignée pour éviter de « casser » de nombreux sites internet.

Lors de nos tests, Safari sur macOS et iOS/iPadOS, et Chromium Edge sur Windows avaient des empreintes uniques.

Cependant, le navigateur Brave utilise une méthode de randomisation qui s’est avérée efficace pour empêcher le fingerprinting de navigateur sur le bureau et sur Android, bien que pas sur iOS/iPadOS (cela est presque certainement dû au fait qu’Apple limite les navigateurs tiers à l’utilisation du framework WebKit iOS, ce qui limite considérablement ce qu’ils peuvent faire sur la plateforme).

Le navigateur Tor a été encore plus efficace pour bloquer le fingerprinting sur le bureau même au niveau Standard de sécurité(nouvelle fenêtre), bien qu’il n’ait fourni qu’une protection partielle sur Android avec le niveau de sécurité réglé sur le plus sûr.

NetShield (bloqueur de publicités)

Toutes les applications Proton VPN(nouvelle fenêtre) proposent la fonctionnalité NetShield (bloqueur de publicités) qui bloque les requêtes DNS vers les domaines de logiciels malveillants, de publicités et de traqueurs. Avec NetShield (bloqueur de publicités) activé, de nombreux scripts de fingerprinting intrusifs sont bloqués, ce qui peut réduire considérablement votre empreinte digitale(nouvelle fenêtre).

En savoir plus sur NetShield (bloqueur de publicités)(nouvelle fenêtre)

Pour conclure

Comme toutes les avancées technologiques, le fingerprinting de navigateur et d’appareil peut être utilisé à bon ou mauvais escient, et il est indéniablement un outil utile dans la lutte contre la fraude bancaire, la fraude à la carte bancaire et la fraude dans le commerce électronique.

Cependant, leur utilisation généralisée par les sites internet pour suivre et espionner leurs utilisateurs à des fins publicitaires constitue une violation manifeste de la vie privée, d’autant plus insidieuse qu’elle est difficile à prévenir.

Le fait que, lors de l’utilisation des navigateurs les plus populaires, tout effort que vous faites pour améliorer votre vie privée augmente en réalité votre vulnérabilité au fingerprinting de navigateur, est d’autant plus exaspérant.

Les sites internet tentent de rejeter la faute sur nous, prétendant que l’utilisation accrue de bloqueurs de publicités, de gestionnaires de cookies et d’autres mesures anti-traçage signifie qu’ils ne peuvent pas gagner d’argent avec la publicité, les forçant ainsi à utiliser des méthodes de suivi de plus en plus sournoises.

Cela revient cependant à peu près à manipuler leurs propres utilisateurs. Personne n’a demandé ni accepté d’être espionné lors de l’utilisation d’internet. Et maintenant que de plus en plus de personnes prennent les choses en main pour protéger leur vie privée, il n’y a aucune excuse pour recourir à des méthodes toujours plus obscures et trompeuses pour saper les souhaits de leurs visiteurs.

Il est donc encourageant de constater que Brave et le navigateur Tor ont développé des défenses efficaces contre ce qui est, lorsqu’il est utilisé à des fins publicitaires et analytiques, une méthode pernicieuse et hautement cynique de violer la vie privée des utilisateurs d’internet.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.