+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 018
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 018
    Points : 67 616
    Points
    67 616

    Par défaut Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute

    Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute,
    même s'il se sert de plusieurs navigateurs

    Disposant de paramètres variés, le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, est souvent utilisé par des sites web par exemple pour diffuser de la publicité ciblée. Parmi ces paramètres, nous pouvons citer l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

    Pour combattre ce fléau, les ingénieurs de Mozilla ont annoncé que dans la version à venir de Firefox (Firefox 52), qui sera disponible le 7 mars prochain, le navigateur va intégrer un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. L’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer qu’une liste standard de polices installées par défaut sur chaque système d'exploitation. Dans cette liste pourront figurer des polices que vous aurez incluses au préalable sur une liste blanche.

    Mais des chercheurs ont affirmé avoir mis au point une nouvelle technique qui, en plus de fonctionner sur plusieurs navigateurs, va rendre plus précises que les techniques existantes les empreintes numériques sur un navigateur unique.

    « Dans cet article, nous proposons une technique de fingerprinting du navigateur qui permet de pister les utilisateurs non seulement sur un navigateur, mais aussi sur différents navigateurs sur la même machine. Plus précisément, notre approche utilise de nombreuses nouvelles fonctionnalités apportées par les systèmes d’exploitation et au niveau des hardwares, comme celles des cartes graphiques, des CPU. Nous extrayons ces fonctionnalités en demandant aux navigateurs d’effectuer des tâches qui reposent sur le système d'exploitation et les fonctionnalités matérielles correspondantes », ont indiqué les chercheurs.

    « Notre évaluation montre que notre approche peut identifier avec succès 99,24 % des utilisateurs contre 90,84 % pour l'état de l’art sur l'empreinte numérique d'un seul navigateur avec le même ensemble de données. En outre, notre approche peut atteindre un taux d'unicité plus élevé que la seule approche multinavigatrice avec une stabilité similaire ».

    La nouvelle technique de pistage repose sur un code JavaScript suffisamment compact pour s'exécuter rapidement en arrière-plan tandis que les visiteurs se concentrent sur une tâche spécifique, comme lire du texte ou visionner des vidéos. Les chercheurs ont lancé un site pour démontrer les techniques qu’ils ont évoqués dans leur article et ont publié le code source correspondant. Durant une phase de test qui a recueilli 3615 empreintes digitales de 1903 utilisateurs sur une période de trois mois, la technique a réussi à identifier 99,24 % des utilisateurs. En revanche, une technique d'empreintes digitales à un seul navigateur, appelée AmIUnique, avait un taux de réussite de 90,8 %.

    Le fingerprinting n’est pas nécessairement mauvais, tout est une question de perspective. Par exemple, certains pourraient approuver que les banques puissent s’en servir : s’appuyant sur l’empreinte numérique, la banque pourrait détecter si un individu tente de se connecter depuis un ordinateur qui n’a pas été utilisé pour entrer dans son compte bancaire. La banque pourrait alors vérifier la légitimité de cette opération avec le titulaire du compte via un appel téléphonique. Néanmoins, la plupart du temps, les empreintes numériques soulèvent des inquiétudes sur la vie privée.

    « D’une perspective négative, les gens peuvent utiliser notre pistage multinavigateur pour violer la confidentialité des utilisateurs en diffusant des annonces personnalisées » , a déclaré à Ars Yinzhi Cao, chercheur principal qui est professeur adjoint dans le département informatique et ingénierie de l'Université Lehigh. « Notre travail rend le scénario encore pire, car même si l'utilisateur change de navigateur, la régie publicitaire sera encore en mesure de le reconnaître. Afin de vaincre la violation de la vie privée, nous pensons que nous devons bien connaître notre ennemi ».

    Les chercheurs envisagent d’améliorer leurs recherches en s’intéressant par exemple à la protection qu’offre la virtualisation.

    site web pour tester l'empreinte numérique

    code source (GitHub)

    Source : article des chercheurs (au format PDF)

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système en se servant d'un mécanisme de liste blanche
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre chevronné
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    356
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : janvier 2014
    Messages : 356
    Points : 1 933
    Points
    1 933

    Par défaut

    Et le navigateur Tor peut il aussi en être victime ou pas ?

  3. #3
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2008
    Messages
    504
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2008
    Messages : 504
    Points : 625
    Points
    625

    Par défaut

    Bon, j'ai testé, et … mes empreintes IE (pour une fois que ça sert ) et FF sont différentes (ouf). Bon il faut dire que c'est pas insensible au navigateur (ouf).
    Après, firefox indique que ce script ne répond pas à un certain moment donc, ça doit être un peu lourd.
    Et je ne comprends pas, si on ajoute des plugins, change un peu les fonts, l'empreinte est-elle censée rester la même.

    @Mingolito: Sur Tor, il me semble que l'extension NoJS bloque l’exécution des scripts.
    raphchar

  4. #4
    Membre éprouvé Avatar de stigma
    Homme Profil pro
    Développeur en retraite
    Inscrit en
    octobre 2003
    Messages
    960
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 67
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Développeur en retraite
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2003
    Messages : 960
    Points : 1 237
    Points
    1 237

    Par défaut

    Comme Mingolito, je pense que Tor n'a rien à craindre !
    Développement Myst-Like Cutish

  5. #5
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    44
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 44
    Points : 104
    Points
    104

    Par défaut si on veut éviter l'empreinte unique

    si on veut éviter l'empreinte unique, chose très utile lors de l'achat des billets d'avion (les compagnies montent les prix au fil du temps et peuvent servir des tarifs différents selon les profils), ma technique du navigateur isolé dans une machine virtuelle dédiée et jetable, avec IP différente, reste assez robuste je pense.
    Je les mets au défit de trouver des fontes, temps de calcul ou de latences similaires etc.

    Mon profil de session commence à me donner des prix en augmentation ? Pas de soucis : remise à zéro, nouvelle identité et c'est magique, c'est moins cher.

  6. #6
    Membre averti
    Inscrit en
    juin 2012
    Messages
    226
    Détails du profil
    Informations forums :
    Inscription : juin 2012
    Messages : 226
    Points : 360
    Points
    360

    Par défaut

    La nouvelle technique de pistage repose sur un code JavaScript
    Une nouvelle preuve que javascript est le meilleur ennemi de l'homme...

    A part ça j'ai fait trois tests de la page indiquée.

    Firefox Linux: Même en débloquant le javascript et les requêtes externes ( Extension Requestpolicy ) il ne se passe rien, j'ai juste un bouton "get my fingerprint".
    Midori Linux version brute de décoffrage: Encore mieux J'ai un bouton "running" une ligne qui dit Fingerprinting GPU... et un beau message d'erreur: "JavaScript: Your browser does not support WebGL".
    Tor browser: Avec ou sans les extensions activées résultats identiques qu'avec un firefox "normal".

    Encore une grande réussite à la gloire des pubars...

  7. #7
    Membre à l'essai
    Homme Profil pro
    à la retraite
    Inscrit en
    janvier 2011
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : à la retraite
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : janvier 2011
    Messages : 8
    Points : 21
    Points
    21

    Par défaut s’appuyant sur l’empreinte numérique, la banque pourrait détecter....

    Utilisation justifiée d'empreintes numériques par les banques : Il me semble que c'est déjà fait, au moins sur les smartphones : La "banque" allemande N26 identifie l'utilisateur à partir des caractéristiques de son smartphone. Vous pouvez changer de puce et de numéro sans conséquence, mais si vous changez de smartphone il faut recommencer la procédure de reconnaissance de l'appareil.

  8. #8
    Nouveau membre du Club
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2014
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2014
    Messages : 24
    Points : 35
    Points
    35

    Par défaut

    Pas tout à fait au point leur histoire.
    Leur script plante lamentablement quel que soit le navigateur utilisé.

    Donc, le fingerprint "undefined", c'est moi !

  9. #9
    Membre éprouvé Avatar de Ngork
    Homme Profil pro
    Auditeur informatique
    Inscrit en
    avril 2009
    Messages
    141
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Auditeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : avril 2009
    Messages : 141
    Points : 925
    Points
    925

    Par défaut

    Curieux (et vaguement inquiet), j'ai testé aussi depuis mon petit Linux Mageia avec les navigateurs classiques.
    Avec Firefox et Web Chromium, en autorisant le JS, l'analyse a très bien fonctionné quoiqu'un peu lente et dégradant fortement les performances (processeur et carte graphique ne sont pas vraiment jeunes non plus), mais cela donne des empreintes différentes ... tant mieux ! Avec Epiphany et Konqueror, cela a lamentablement échoué !

    Je suppose que le site de test est destiné à affiner les algorithmes et améliorer l'identification ...

  10. #10
    Membre chevronné
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    356
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : janvier 2014
    Messages : 356
    Points : 1 933
    Points
    1 933

    Par défaut

    Citation Envoyé par stigma Voir le message
    Comme Mingolito, je pense que Tor n'a rien à craindre !
    Je n'en pense rien j'ai juste posé une bête question :

    Citation Envoyé par Mingolito Voir le message
    Et le navigateur Tor peut il aussi en être victime ou pas ?

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 09h32
  2. Réponses: 44
    Dernier message: 29/07/2015, 16h45
  3. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04
  4. Réponses: 53
    Dernier message: 28/08/2011, 18h15
  5. Réponses: 20
    Dernier message: 25/01/2011, 12h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo