ETag et le pistage des internautes sans cookies

Il existe de nombreuses techniques et technologies pour pister les internautes.
On connaît l’empreinte digitale des navigateurs internet (Browser Finger Printing), les tracking cookies… Cet article évoque celle de l’Etag.
Le fonctionnement est assez similaire aux tracking cookies, de ce fait, par extension, on peut nommer cette méthode :  HTTP cookies
Le but est de comprendre cette technique et comment s’en protéger.

Table des matières [masquer]

• 1 Pistage des internautes : technique de l’Etag
  • 1.1 Contre mesure du HTTP cookies
• 2 Autres liens autour du pistage des internautes

Pistage des internautes : technique de l’Etag

Pour ne pas refaire le monde, voici la définition de la page Wikipedia sur le Etag.
Un ETag est un identifiant unique opaque assigné par le serveur web à chaque version d’une ressource accessible via une URL. Si la ressource accessible via cette URL change, un nouvel ETag différent du précédent sera assigné. Utilisés ainsi, les ETags sont similaires à des empreintes digitales, et peuvent être rapidement comparés pour vérifier si deux versions sont identiques, et ainsi savoir si une demande peut être honorée par un cache local ou pas.
Source Wikipedia
Un serveur WEB attribue à ses ressources un identifiant (ETags).
Lorsqu’un navigateur internet demande une page internet, les ressources (images, etc) sont envoyées par le serveur WEB au navigateur internet avec un identifiant Etag.
Cela permet lorsque vous retournez sur la page, de savoir si cette ressource a été modifiée entre temps, si ce n’est pas le cas, le navigateur internet pioche dans son cache internet au lieu de redemander la ressources.
Cela permet d’économiser de la bande passante des deux côtés et faire en sorte que les pages internet se charge plus vite.
Le schéma ci-dessous récapitule cette transaction :

Ci-dessous, la réponse avec l’en-tête HTTP avec les champs ETags.

Avec l’identifiant et la date, il est alors possible de générer un identifiant unique afin de vous pister.
Pour tester ce pistage utilisateur, vous pouvez vous connecter au site suivant : https://ochronus.com/tracking-without-cookies/
Ce dernier est capable d’afficher la dernière connexion établie et la date.
Il peut lier votre passage à une information saisie pour la ré-afficher lors d’un prochain passage.
Le site est donc capable de vous reconnaître et vous pister.

Contre mesure du HTTP cookies

Il n’y a pas vraiment de mesures efficaces. Les extensions de protection de la vie privée ne semble pas protéger contre ce type de pistage.
Si vous tester le lien précédent, dans la majorité des cas, le site est capable de vous pister.
Pour qu’il ne puisse plus vous reconnaître, il faut vider le contenu du site : Comprendre le cache internet et de Windows

Donc pour être protéger, il faudrait soit :

• Vider le cache et contenu des sites internet à chaque fermeture du navigateur internet
• surfer en mode navigation privée de manière permanente puisque dans ce mode, le cache internet n’est pas utilisé : Chrome/Firefox/Edge : navigation privée

Ces deux solutions possèdent un inconvénient, vous ne bénéficiez plus du cache de votre navigateur internet notamment dans le second cas.
Ainsi à chaque connexion, tout le contenu est re-télécharger, cela bouffe la bande passante et peut ralentir le chargement des pages internet.

Autres liens autour du pistage des internautes

Notre dossier sur le Web Tracking sur internet et aussi Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
Il existe aussi un article dédiée à la protection des mouchards sur internet : Comment se protéger du pistage sur internet
De manière générale, tous les tutos sur les navigateurs WEB dans le menu : navigateurs WEB.

REF.:

Pistage utilisateur sur internet : Browser FingerPrinting

Cet article traite du pistage utilisateur sur internet à travers le Browser FingerPrinting ou empreinte digitale du navigateur WEB.
Le Browser FingerPrinting est une technique qui vise à identifier le navigateur WEB utilisé de manière unique, ce qui permet ensuite de le pister sur la toile.
Cette méthode et technique est probablement peu connue des internautes.
Je rappelle qu’il existe un article qui traite de manière générale du pistage utilisateur : Web Tracking sur internet.

Table des matières [masquer]

• 1 Pistage utilisateur sur internet
  • 1.1 Démonstration
  • 1.2 Test du suivi utilisateur
• 2 Pistage utilisateur sur les réseaux sociaux
• 3 Limite et protection du pistage
  • 3.1 Mozilla Firefox
  • 3.2 Google Chrome
• 4 Conclusion & Liens

Pistage utilisateur sur internet

Afin d’expliquer ce qu’est le Browser FingerPrinting, il faut bien comprendre ce quoi repose le pistage utilisateur sur internet.
Ces aspects sont assez détaillés sur la page Web Tracking sur internet, voici donc en résumé les grandes lignes.
Pour pister un utilisateur, il faut être capable de reconnaître ce dernier, le but est donc de pouvoir reconnaître un utilisateur de manière unique parmi la multitudes d’internautes qui vont utiliser un service WEB.
Plusieurs techniques sont utilisées, la plus connue des internautes est probablement le tracking cookie. Cette méthode vise à déposer dans le profil du navigateur WEB, un cookie appartenant à un service WEB en particulier (en général une régie publicitaire). Ce cookie pourra alors être appelé par cette régie à tout moment et depuis n’importe quel site WEB utilisant ce dernier.
Le tracking cookies balisent donc les sites visités où les régies publicitaires sont présentes et permettent de dresser un profil consommateur pour ensuite proposer des publicités ciblées.
Le Browser FingerPrint, lui, consiste à constituer un UID (identifiant) unique du navigateur WEB à travers sa configuration comme (le fuseau horaire, résolution écran, la police utilisée, le user-agent etc).
Un service WEB et notamment les régies publicitaires peuvent alors distinguer n’importe quel navigateur WEB parmi d’autres et donc un potentiel l’internaute qui utilise ce dernier.
Pour les défenseurs de la vie privée, ces méthodes ne sont pas acceptables, vous trouverez quelques extensions qui permettent de vous protéger sur internet de ce type de collecte d’informations.

Démonstration

Démonstration sur un forum de test où un pistage et suivi d’internaute par Browser FingerPrint est présent.
Cela permet en autre de détecter les comptes multiples.
Ci-dessous, vous pouvez voir une connexion sur le forum avec le compte Malekal_morte qui sert de témoin.
Vous avez la date de la session et l’UID de l’empreinte digitale
Puis un autre utilisateur avec le même navigateur WEB utilisant un VPN.
L’empreinte digitale du navigateur WEB étant unique, quelque soit l’IP de connexion, on reconnaît le navigateur WEB utilisé et potentiellement l’internaute qui tente de se cacher derrière un VPN.
Cela permet aussi de suivre un internaute utilisant un ordinateur portable ou une tablette qui serait en vacances ou chez sa famille.

Le User-agent est la version du navigateur WEB, cette information est envoyé aux sites WEB à chaque requête.
Cette information peut-être modifiée par une extension pour renvoyer une fausse version.

La connexion sur le forum avec le VPN (HideMyAss) utilisant Mozilla Firefox.

Test du suivi utilisateur

Il existe différents sites internet qui permettent de tester son navigateur WEB pour savoir si ce dernier est unique.
Ces sites sont en anglais.
Voici les deux sites les plus connus :

• https://panopticlick.eff.org/
• https://amiunique.org

On retrouve ici différents critères de configuration qui permettent de générer l’empreinte digitale du navigateur WEB et son identifiant unique.
Quelques bémols sur ces sites, aucun ne donne d’identifiant, il n’est donc pas possible de savoir si vous êtes capables en installant des protections de faire varier l’empreinte digitale de votre navigateur WEB.

Pistage utilisateur sur les réseaux sociaux

Les réseaux sociaux utilisent aussi le pistage utilisateur, mais récupèrent aussi des informations que vous donnez sciemment via votre profil.
Ces informations sont ensuite monétisées.
Plus d’informations sur ces aspects sur la page : Le danger des réseaux sociaux

Limite et protection du pistage

Si vous avez bien compris le principe, la reconnaissance unique du navigateur WEB se fait à travers une concaténation de multiples paramètres utilisés par le navigateur WEB.
Ces informations sont transmises du navigateur WEB au serveur WEB.
Il est donc tout à fait possible de générer des informations erronées ou aléatoires. Il peut aussi être possible de détecter le script qui collecte ces données pour le bloquer.
Faire varier ces paramètres vont faire en sorte de modifier l’empreinte digitale et donc générer un nouvel identifiant empêchant ainsi la reconnaissance du navigateur WEB.
Parmi l’une d’elle se trouve la résolution écran de Windows.
En changeant la résolution écran, on obtient un nouvel identifiant d’empreinte digitale.
Bien entendu, si vous remettez la résolution d’écran d’origine, on retrouve l’identifiant de départ.

Même chose en mettant à jour Mozilla Firefox, un nouvel UID est généré :

Modifier le user agent ne génère pas un nouvel identifiant.
Dans l’exemple ci-dessous, je génère un useragent kikoo, l’empreinte digital reste inchangé.

Du coup, j’ai aussi testé quelques extensions :

• Privacy Badger
• Ghostery

Aucun des deux ne permet de générer un identifiant aléatoire ou de bloquer la récupération d’informations qui permet de le générer.
Ces deux extensions sont inefficaces contre le Browser FingerPrinting (empreinte digitale).
Avec Privacy Badger le site panopticlick affiche ces informations durant le test :

NoScript peut bloquer les appels JavaScript qui servent à collecter les informations.
Noscript étant inclut directement dans le navigateur WEB du projet TOR, si vous vous connectez avec TOR, il ya de fortes chances que vous soyez protégés de ce type de suivi utilisateur.
Il existe des extensions qui permettent de bloquer aussi ces appels ou de falsifier les informations envoyés.

Mozilla Firefox

L’extension Random Agent Spoofer pour Firefox permet de générer un identifiant aléatoire en chargeant un nouveau profil de navigateur WEB.
Ce profil peut être changé tous les X minutes ou à chaque requête.


On trouve bien une empreinte digitale différente pour chaque session.
L’extension CanvasBlocker fait aussi le boulot.
Les appels du script sont détectées et l’extension envoie des informations biaisées.

Ainsi, l’identificateur unique est modifié à chaque connexion.

Google Chrome

L’extension CanvasFingerprintBlock fait le boulot.
Par contre, l’extension StopFingerprinting n’a pas fonctionné, l’identifiant a pu être généré.

On obtient ceci sur le site de test :

Conclusion & Liens

Il y a de fortes chances que cette méthode de pistage utilisateur soit utilisée par les régies publicitaires, utiliser un bloqueur de publicités (comme uBlock ou AdBlock) doit limiter la casse.
A l’heure où ont été écrites ces lignes, les habituels extension dites de vie privée, comme Ghostery souvent mises en avant, sont relativement inefficaces.
Par exemple, le site lemonde.fr semble utiliser ce type de tracking utilisateur :


Notre dossier sur le Web Tracking sur internet et aussi Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
De manière générale, tous les tutos sur les navigateurs WEB dans le menu : navigateurs WEB.

REF.: