Cet article traite du pistage utilisateur sur internet à travers le Browser FingerPrinting ou empreinte digitale du
navigateur WEB.
Le Browser FingerPrinting est une technique qui vise à identifier le
navigateur WEB utilisé de manière unique, ce qui permet ensuite de le
pister sur la toile.
Cette méthode et technique est probablement peu connue des internautes.
Je rappelle qu’il existe un article qui traite de manière générale du pistage utilisateur :
Web Tracking sur internet.
Pistage utilisateur sur internet
Afin
d’expliquer ce qu’est le Browser FingerPrinting, il faut bien
comprendre ce quoi repose le pistage utilisateur sur internet.
Ces aspects sont assez détaillés sur la page
Web Tracking sur internet, voici donc en résumé les grandes lignes.
Pour
pister un utilisateur, il faut être capable de reconnaître ce dernier,
le but est donc de pouvoir reconnaître un utilisateur de manière unique
parmi la multitudes d’internautes qui vont utiliser un service WEB.
Plusieurs techniques sont utilisées, la plus connue des internautes est probablement
le tracking cookie.
Cette méthode vise à déposer dans le profil du navigateur WEB, un
cookie appartenant à un service WEB en particulier (en général une régie
publicitaire). Ce cookie pourra alors être appelé par cette régie à
tout moment et depuis n’importe quel site WEB utilisant ce dernier.
Le tracking cookies balisent donc les sites visités où les régies
publicitaires sont présentes et permettent de dresser un profil
consommateur pour ensuite proposer des publicités ciblées.
Le
Browser FingerPrint, lui, consiste à constituer un UID (identifiant)
unique du navigateur WEB à travers sa configuration comme (le fuseau
horaire, résolution écran, la police utilisée, le user-agent etc).
Un service WEB et notamment les régies publicitaires peuvent alors
distinguer n’importe quel navigateur WEB parmi d’autres et donc un
potentiel l’internaute qui utilise ce dernier.
Pour les défenseurs
de la vie privée, ces méthodes ne sont pas acceptables, vous trouverez
quelques extensions qui permettent de vous protéger sur internet de ce
type de collecte d’informations.
Démonstration
Démonstration sur un forum de test où un pistage et suivi d’internaute par Browser FingerPrint est présent.
Cela permet en autre de détecter les comptes multiples.
Ci-dessous, vous pouvez voir une connexion sur le forum avec le compte Malekal_morte qui sert de témoin.
Vous avez la date de la session et l’UID de l’empreinte digitale
Puis un autre utilisateur avec le même
navigateur WEB utilisant un
VPN.
L’empreinte
digitale du navigateur WEB étant unique, quelque soit l’IP de
connexion, on reconnaît le navigateur WEB utilisé et potentiellement
l’internaute qui tente de se cacher derrière un
VPN.
Cela permet aussi de suivre un internaute utilisant un ordinateur
portable ou une tablette qui serait en vacances ou chez sa famille.
Le User-agent est la version du navigateur WEB, cette information est envoyé aux sites WEB à chaque requête.
Cette information peut-être modifiée par une extension pour renvoyer une fausse version.
La connexion sur le forum avec le VPN (
HideMyAss) utilisant
Mozilla Firefox.
Test du suivi utilisateur
Il existe différents sites internet qui permettent de tester son navigateur WEB pour savoir si ce dernier est unique.
Ces sites sont en anglais.
Voici les deux sites les plus connus :
On
retrouve ici différents critères de configuration qui permettent de
générer l’empreinte digitale du navigateur WEB et son identifiant
unique.
Quelques
bémols sur ces sites, aucun ne donne d’identifiant, il n’est donc pas
possible de savoir si vous êtes capables en installant des protections
de faire varier l’empreinte digitale de votre navigateur WEB.
Pistage utilisateur sur les réseaux sociaux
Les
réseaux sociaux utilisent aussi le pistage utilisateur, mais récupèrent
aussi des informations que vous donnez sciemment via votre profil.
Ces informations sont ensuite monétisées.
Plus d’informations sur ces aspects sur la page :
Le danger des réseaux sociaux
Limite et protection du pistage
Si
vous avez bien compris le principe, la reconnaissance unique du
navigateur WEB se fait à travers une concaténation de multiples
paramètres utilisés par le
navigateur WEB.
Ces informations sont transmises du navigateur WEB au serveur WEB.
Il est donc tout à fait possible de générer des informations erronées
ou aléatoires. Il peut aussi être possible de détecter le script qui
collecte ces données pour le bloquer.
Faire varier ces paramètres
vont faire en sorte de modifier l’empreinte digitale et donc générer un
nouvel identifiant empêchant ainsi la reconnaissance du navigateur WEB.
Parmi l’une d’elle se trouve la résolution écran de Windows.
En changeant la résolution écran, on obtient un nouvel identifiant d’empreinte digitale.
Bien entendu, si vous remettez la résolution d’écran d’origine, on retrouve l’identifiant de départ.
Même chose en mettant à jour
Mozilla Firefox, un nouvel UID est généré :
Modifier le user agent ne génère pas un nouvel identifiant.
Dans l’exemple ci-dessous, je génère un useragent kikoo, l’empreinte digital reste inchangé.
Du coup, j’ai aussi testé quelques extensions :
Aucun
des deux ne permet de générer un identifiant aléatoire ou de bloquer la
récupération d’informations qui permet de le générer.
Ces deux extensions sont inefficaces contre le Browser FingerPrinting (empreinte digitale).
Avec Privacy Badger le site
panopticlick affiche ces informations durant le test :
NoScript peut bloquer les appels JavaScript qui servent à collecter les informations.
Noscript étant inclut directement dans le navigateur WEB du projet
TOR, si vous vous connectez avec
TOR, il ya de fortes chances que vous soyez protégés de ce type de suivi utilisateur.
Il existe des extensions qui permettent de bloquer aussi ces appels ou de falsifier les informations envoyés.
Mozilla Firefox
L’extension
Random Agent Spoofer pour Firefox permet de générer un identifiant aléatoire en chargeant un nouveau profil de navigateur WEB.
Ce profil peut être changé tous les X minutes ou à chaque requête.
On trouve bien une empreinte digitale différente pour chaque session.
L’extension
CanvasBlocker fait aussi le boulot.
Les appels du script sont détectées et l’extension envoie des informations biaisées.
Ainsi, l’identificateur unique est modifié à chaque connexion.
Google Chrome
L’extension
CanvasFingerprintBlock fait le boulot.
Par contre, l’extension
StopFingerprinting n’a pas fonctionné, l’identifiant a pu être généré.
On obtient ceci sur le site de test :
Conclusion & Liens
Il
y a de fortes chances que cette méthode de pistage utilisateur soit
utilisée par les régies publicitaires, utiliser un bloqueur de
publicités (comme
uBlock ou
AdBlock) doit limiter la casse.
A l’heure où ont été écrites ces lignes, les habituels extension dites
de vie privée, comme Ghostery souvent mises en avant, sont relativement
inefficaces.
Par exemple, le site lemonde.fr semble utiliser ce type de tracking utilisateur :
Notre dossier sur le
Web Tracking sur internet et aussi
Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
De manière générale, tous les tutos sur les navigateurs WEB dans le menu :
navigateurs WEB.
REF.:
