Discussion :

[Stéphane le calme]

Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute,
même s'il se sert de plusieurs navigateurs

Disposant de paramètres variés, le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, est souvent utilisé par des sites web par exemple pour diffuser de la publicité ciblée. Parmi ces paramètres, nous pouvons citer l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

Pour combattre ce fléau, les ingénieurs de Mozilla ont annoncé que dans la version à venir de Firefox (Firefox 52), qui sera disponible le 7 mars prochain, le navigateur va intégrer un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. L’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer qu’une liste standard de polices installées par défaut sur chaque système d'exploitation. Dans cette liste pourront figurer des polices que vous aurez incluses au préalable sur une liste blanche.

Mais des chercheurs ont affirmé avoir mis au point une nouvelle technique qui, en plus de fonctionner sur plusieurs navigateurs, va rendre plus précises que les techniques existantes les empreintes numériques sur un navigateur unique.

« Dans cet article, nous proposons une technique de fingerprinting du navigateur qui permet de pister les utilisateurs non seulement sur un navigateur, mais aussi sur différents navigateurs sur la même machine. Plus précisément, notre approche utilise de nombreuses nouvelles fonctionnalités apportées par les systèmes d’exploitation et au niveau des hardwares, comme celles des cartes graphiques, des CPU. Nous extrayons ces fonctionnalités en demandant aux navigateurs d’effectuer des tâches qui reposent sur le système d'exploitation et les fonctionnalités matérielles correspondantes », ont indiqué les chercheurs.

« Notre évaluation montre que notre approche peut identifier avec succès 99,24 % des utilisateurs contre 90,84 % pour l'état de l’art sur l'empreinte numérique d'un seul navigateur avec le même ensemble de données. En outre, notre approche peut atteindre un taux d'unicité plus élevé que la seule approche multinavigatrice avec une stabilité similaire ».

La nouvelle technique de pistage repose sur un code JavaScript suffisamment compact pour s'exécuter rapidement en arrière-plan tandis que les visiteurs se concentrent sur une tâche spécifique, comme lire du texte ou visionner des vidéos. Les chercheurs ont lancé un site pour démontrer les techniques qu’ils ont évoqués dans leur article et ont publié le code source correspondant. Durant une phase de test qui a recueilli 3615 empreintes digitales de 1903 utilisateurs sur une période de trois mois, la technique a réussi à identifier 99,24 % des utilisateurs. En revanche, une technique d'empreintes digitales à un seul navigateur, appelée AmIUnique, avait un taux de réussite de 90,8 %.

Le fingerprinting n’est pas nécessairement mauvais, tout est une question de perspective. Par exemple, certains pourraient approuver que les banques puissent s’en servir : s’appuyant sur l’empreinte numérique, la banque pourrait détecter si un individu tente de se connecter depuis un ordinateur qui n’a pas été utilisé pour entrer dans son compte bancaire. La banque pourrait alors vérifier la légitimité de cette opération avec le titulaire du compte via un appel téléphonique. Néanmoins, la plupart du temps, les empreintes numériques soulèvent des inquiétudes sur la vie privée.

« D’une perspective négative, les gens peuvent utiliser notre pistage multinavigateur pour violer la confidentialité des utilisateurs en diffusant des annonces personnalisées » , a déclaré à Ars Yinzhi Cao, chercheur principal qui est professeur adjoint dans le département informatique et ingénierie de l'Université Lehigh. « Notre travail rend le scénario encore pire, car même si l'utilisateur change de navigateur, la régie publicitaire sera encore en mesure de le reconnaître. Afin de vaincre la violation de la vie privée, nous pensons que nous devons bien connaître notre ennemi ».

Les chercheurs envisagent d’améliorer leurs recherches en s’intéressant par exemple à la protection qu’offre la virtualisation.

site web pour tester l'empreinte numérique

code source (GitHub)

Source : article des chercheurs (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système en se servant d'un mécanisme de liste blanche

[Mingolito]

Et le navigateur Tor peut il aussi en être victime ou pas ?

[raphchar]

Bon, j'ai testé, et … mes empreintes IE (pour une fois que ça sert ) et FF sont différentes (ouf). Bon il faut dire que c'est pas insensible au navigateur (ouf).
Après, firefox indique que ce script ne répond pas à un certain moment donc, ça doit être un peu lourd.
Et je ne comprends pas, si on ajoute des plugins, change un peu les fonts, l'empreinte est-elle censée rester la même.

@Mingolito: Sur Tor, il me semble que l'extension NoJS bloque l’exécution des scripts.

[stigma]

Comme Mingolito, je pense que Tor n'a rien à craindre !

[Fagus]

si on veut éviter l'empreinte unique, chose très utile lors de l'achat des billets d'avion (les compagnies montent les prix au fil du temps et peuvent servir des tarifs différents selon les profils), ma technique du navigateur isolé dans une machine virtuelle dédiée et jetable, avec IP différente, reste assez robuste je pense.
Je les mets au défit de trouver des fontes, temps de calcul ou de latences similaires etc.

Mon profil de session commence à me donner des prix en augmentation ? Pas de soucis : remise à zéro, nouvelle identité et c'est magique, c'est moins cher.

[mm_71]

La nouvelle technique de pistage repose sur un code JavaScript

Une nouvelle preuve que javascript est le meilleur ennemi de l'homme...

A part ça j'ai fait trois tests de la page indiquée.

Firefox Linux: Même en débloquant le javascript et les requêtes externes ( Extension Requestpolicy ) il ne se passe rien, j'ai juste un bouton "get my fingerprint".
Midori Linux version brute de décoffrage: Encore mieux J'ai un bouton "running" une ligne qui dit Fingerprinting GPU... et un beau message d'erreur: "JavaScript: Your browser does not support WebGL".
Tor browser: Avec ou sans les extensions activées résultats identiques qu'avec un firefox "normal".

Encore une grande réussite à la gloire des pubars...

[jfduflot]

Utilisation justifiée d'empreintes numériques par les banques : Il me semble que c'est déjà fait, au moins sur les smartphones : La "banque" allemande N26 identifie l'utilisateur à partir des caractéristiques de son smartphone. Vous pouvez changer de puce et de numéro sans conséquence, mais si vous changez de smartphone il faut recommencer la procédure de reconnaissance de l'appareil.

[alexetgus]

Pas tout à fait au point leur histoire.
Leur script plante lamentablement quel que soit le navigateur utilisé.

Donc, le fingerprint "undefined", c'est moi !

[Ngork]

Curieux (et vaguement inquiet), j'ai testé aussi depuis mon petit Linux Mageia avec les navigateurs classiques.
Avec Firefox et Web Chromium, en autorisant le JS, l'analyse a très bien fonctionné quoiqu'un peu lente et dégradant fortement les performances (processeur et carte graphique ne sont pas vraiment jeunes non plus), mais cela donne des empreintes différentes ... tant mieux ! Avec Epiphany et Konqueror, cela a lamentablement échoué !

Je suppose que le site de test est destiné à affiner les algorithmes et améliorer l'identification ...

[Mingolito]

Comme Mingolito, je pense que Tor n'a rien à craindre !

Je n'en pense rien j'ai juste posé une bête question :

Et le navigateur Tor peut il aussi en être victime ou pas ?