Si vous êtes un internaute publiphobe, peut-être avez-vous déjà adopté toute une série d’outils et de réflexes dans le but d’éviter les trackers de publicité, ces programmes qui cherchent à savoir qui vous êtes et ce que vous faites sur Internet. Ainsi, vous n’utilisez que le mode de navigation privée, vous avez coché la case qui permet de rejeter automatiquement les cookies de tiers, vous avez installé une extension qui bloque les mouchards les plus fréquents, vous utilisez différents navigateurs pour différentes tâches, etc.
Tout ça c’est très bien, malheureusement ce n’est pas suffisant. Des chercheurs américains viennent de montrer dans une étude qu’il est possible d’identifier de manière unique un internaute en s’appuyant sur les caractéristiques du système d’exploitation et du matériel sous-jacent. Ils ont créé un code Javascript qui, embarqué dans une page web, va lancer toute une série de fonctions de rendu graphique et sonore : fonte de caractère, transparence alpha, courbures, codage et compression, textures, anticrénelage, fréquence d’échantillonnage, taille et ratio de l’écran, etc.
Le code génèrera alors une empreinte qui aura l’avantage de ne pas dépendre du navigateur, mais seulement des caractéristiques de la machine. Résultat : même si l’internaute ouvre un autre navigateur, il sera quand même identifié comme étant le même utilisateur. C’est pourquoi les chercheur appellent cela le cross-browser fingerprinting. Et cela marche quasiment à tous les coups. L’étude montre que le taux de réussite de cette identification est de 99,24%. Vous pouvez tester vous-même ce code diabolique en vous rendant sur le site uniquemachine.org.
Il existe des solutions
Peut-on se protéger contre ce type de mouchards ? Oui, mais c’est contraignant. Une première méthode est d’utiliser la navigateur Tor qui bloque par défaut une bonne partie des fonctions de rendu graphique. La création d’empreinte ne pourra, dès lors, que s’appuyer sur quelques caractéristiques comme le contexte audio ou le ratio de l’écran. Ce qui ne sera pas forcément suffisant pour créer une empreinte unique. Autre solution : faire tourner son navigateur dans une machine virtuelle, telle que VirtualBox, et dans une configuration standard et normalisée. Dans ce cas, le code Javascript ne pourra pas non plus créer d’empreinte fiable.
Ce n’est pas la première fois que ce type de tracking est analysé. En mai 2016, des chercheurs américains avaient déjà pointé sur le tracking par rendu graphique Javascript. Ils avaient d’ailleurs montré que ce genre de méthode était déjà utilisée sur de nombreux sites web. Plus récemment, des chercheurs en sécurité ont épinglé les publicitaires pour utiliser un tracking par ultrasons.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
