Des chercheurs de l’université de Princeton viennent de présenter les premiers résultats d’une vaste étude sur les trackers publicitaires présents sur la Toile. Armés d’une plateforme de détection assez sophistiquée, ils ont scanné un million de sites web pour dénicher et analyser ces petits bouts de code qui cherchent à identifier les internautes à coup de cookies et de Javascript, dans la perspective d’un meilleur ciblage publicitaire. Certains résultats sont étonnants, d’autres un peu moins.
Tout d’abord, il faut constater que le tracking publicitaire attire beaucoup de monde. Les chercheurs ont dénombré environ 81.000 trackers différents sur le Net. Mais le secteur est en réalité dominé par un petit nombre d’acteurs. Le roi en la matière est évidemment Google, présent sur le plus de 60 % des sites, grâce à ses mouchards Google Analytics et Doubleclick. Il est suivi par Facebook et Twitter, présents respectivement sur au moins 20 % et 10 % des sites. Le reste du marché est totalement atomisé. Les sites qui embarquent le plus de mouchards sont les sites d’actualité. Ceux qui en diffusent le moins sont les sites « officiels » (gouvernements, services publics). C’est normal, ils ne vivent pas de la pub.
Ce qui est plus intéressant, c’est la diversité des techniques employées pour identifier de manière unique un internaute. Les cookies, en effet, sont très efficaces mais aussi très faciles à bloquer. La plupart des navigateurs proposent désormais en option le blocage de cookies de site tiers, même Google Chrome. En dehors des cookies, il faut faire appel aux techniques dites de « fingerprinting » (capture d’empreinte). L’idée est d’utiliser des fonctions Javascript pour collecter sur les ordinateurs des internautes des données techniques suffisamment particulières pour pouvoir les différencier.
L’une de plus utilisée, selon les chercheurs, est le « Canvas Fingerprinting », pour lequel ils ont trouvé 14,371 scripts différents. Son principe consiste à afficher discrètement un petit graphique dans lequel viennent se superposer des lettres, des couleurs et des traits dessinés. Mais chaque ordinateur va générer de minuscules différences dans ce graphique, en fonction de ses spécificités matérielles (modifications dans le rendu, l’anti-aliasing, etc.). Ce qui suffit à rendre votre ordinateur unique. Une variante de cette technique est le « Canvas Font Fingerprinting », qui ne s’intéressera qu’à l’affichage des polices de caractères.
Collecte d’adresses locales
Le protocole WebRTC, utilisé pour la visiophonie, se prête également bien à l’identification. Pour optimiser la communication, les logiciels client collectent tout un tas d’adresses internes (Wifi, Ethernet, NAT) et externes afin d’obtenir la route la plus efficace. Or, ces adresses peuvent être récupérées par n’importe quel site sans l’accord de l’utilisateur. Les chercheurs ont détecté cette méthode sur 715 sites.
Les chercheurs ont, par ailleurs, détecté des techniques de fingerprinting qui n’ont jamais été vu avant. Ils ont mis la main sur des scripts capables de générer une empreinte en exploitant le circuit audio de l’ordinateur (57 codes trouvés) ou des spécifications techniques de la batterie comme son niveau de charge ou sa capacité (2 codes trouvés). Tout est bon pour vous pister au mieux !
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
