Discussion :

[Gordon Fowler]

Votre navigateur est unique et il vous trahit
Même sans cookies révèle une étude de l'EFF, les web-marketeurs ne s'y trompent pas


Aucune configuration d'internaute ne ressemble à une autre.

C'est ce qui ressort d'une étude de l'Electronic Frontier Foundation (EFF) qui révèle que 84 % des combinaisons système d'exploitation / navigateurs / plug-ins / etc. sont absolument uniques.

Et alors ? - direz-vous.

Et alors, ces données ne sont pas camouflées. Elles donc largement et très facilement accessibles par les sites webs, y compris en mode de navigation furtive (ou privée). Et ce, même avec les cookies désactivés.

Autrement dit, chaque navigateur laisse une empreinte unique (l'étude parle de « fingerprints »). Une empreinte facilement accessible qui permet de dresser le profil d'un internaute (sans pour autant le lier à une identité réelle).

L'intérêt devient tout de suite plus évident.

Les experts en webmarketing les plus précurseurs ne s'y sont d'ailleurs pas trompés. Le traçage sans l'aide des cookies semble être un secteur d'avenir.

Et pas que pour le pire.

La société ThreatMetrix a par exemple utilisé cette technique d'identification de navigateur pour contrer une fraude massive.

Des cybercriminels serbes avaient récupéré des numéros de cartes bleues volées. Ils ont alors essayé de multiplier les transactions à 1,99 dollars sur un site marchand. Chaque transaction était faite depuis une IP différente. Mais cette « empreinte » du navigateur restait la même. Plusieurs IP, un même profil. La supercherie était dévoilée.

L'EFF précise qu'à 94 %, les navigateurs donnent suffisamment d'informations pour être différenciés les uns des autres.

Les informations qu'ils livrent touchent l'OS, le navigateur lui même, sa version, ses plug-in, l'écran, sa résolution, ses couleurs, la langue par défaut et les polices de caractères installées.

Comme le contrôle des cookies se fait de plus en plus facilement - et que dans une moindre mesure, les proxys et autres VPN commencent à se démocratiser - les webmarchands sont particulièrement intéressés par cette nouvelle source d'informations.

D'autant plus qu'il est « très difficile », d'après les dires du responsable de l'étude, de camoufler ces données.

« Analyser l'empreinte d'un navigateur est une technique puissante, et cette empreinte doit être prise en compte aussi sérieusement que les cookies et les adresses IP quand nous parlons de respect de la vie privée des utilisateurs ».

L'étude « How Unique Is Your Web Brower » note cependant que quelques navigateurs sont – pour l'instant – épargnés. Principalement ceux des smartphones. L'explication tient au fait que la diversité des configurations est beaucoup plus limitée sur ces terminaux que sur les ordinateurs de bureaux.

En revanche les extensions comme NoScript (qui bloque le JavaScript) pour Firefox ou Tor (The Onion Router) seraient particulièrement efficaces pour se préserver de ce traçage.

Efficace mais pas encore si « user friendly » que cela, surtout pour Tor.

« Nous espérons que les développeurs de navigateurs travailleront pour réduire ces risques d'intrusions dans la vie privée dans les futures versions de leurs codes », conclue l'étude.

Un beau vœu pieux ?

Source :

L'étude « How Unique Is Your Web Brower » (pdf)
La page test de l'EFF qui montre ce que votre navigateur révèle sur vous

Lire aussi :

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Webmarketing
JavaScript
Développement Web


Et vous ?

Cette étude est-elle un nouveau FUD ?
Ou cette analyse vous parait-elle pertinente ? Et quelles solutions préconisez-vous pour luter contre cette « empreinte » des navigateurs ?

[gangsoleil]

Bonjour,

Ce qui est drole, c'est de voir que d'un cote, Facebook declare 450 millions de membres, dont une grande partie qui ne sait pas proteger ses donnees, et de l'autre on recommande la plus grande attention quand aux plugins que l'on peut devoiler a son insu dans un navigateur ??

Les gens sont volontaires pour donner des informations, donc je ne vois pas en quoi une information de plus ou de moins va changer quoi que ce soit. C'est juste un nouveau moyen de glaner des informations pour le marketing, afin de vendre des pubs ciblees.

[Marc Lussac]

Bonjour,
Ce qui est drole, c'est de voir que d'un cote, Facebook declare 450 millions de membres, dont une grande partie qui ne sait pas proteger ses donnees, et de l'autre on recommande la plus grande attention quand aux plugins que l'on peut devoiler a son insu dans un navigateur ??

Je ne sais pas si c'est ça la question.
Quand tu es webmaster, si tu regardes bien les informations que tu peux récupérer sur un visisteur tu te rends compte qu'avec les numéros de versions et le nombre important de données, la combinaison de l'ensemble fait que dans plus de 80% des cas tu peux identifier un visiteur, même sans cookies.

Donc pour les visiteurs qui veulent êtres anonymes, masquer son IP (en passant par un proxy par exemple) ne suffit pas, puisqu'on peut tracer un visiteur par les informations techniques navigateurs accessibles aux webmaster du site.

Les gens sont volontaires pour donner des informations, donc je ne vois pas en quoi une information de plus ou de moins va changer quoi que ce soit. C'est juste un nouveau moyen de glaner des informations pour le marketing, afin de vendre des pubs ciblees.

Ca ne sert pas que pour la pub, ça peut servir à autre chose, comme par exemple à un webmaster d'un forum pour identifier un saboteur récidiviste, ou à tout autre usage...

Je dirais que l'utilité de la news est de prévenir les visiteurs qu'ils sont traçables facilement sur le net, pas que avec leur adresse IP, mais aussi avec leurs informations navigateur. C'était déjà le cas avant, mais avec la multiplication des navigateurs, des versions, des versions des OS, des plugings, etc, l'identification deviens de plus en plus exacte c'est ça la nouveauté...

Désactiver les cookies et passer par un proxy n'est pas suffisant pour être anonyme, il faut le savoir.

Effectivement d'un point de vue marketing tu peux te demander pourquoi certains sites arrivent à afficher des pubs totalement ciblées, genre un jour tu as acheté sur internet un pack de bière, et pendant un mois tu ne vas voir que des pubs sur la bière, au bout d'un moment c'est soulant (c'est le cas de le dire ), et bien il faut savoir que même cookies désactivés, c'est techniquement possible de le faire, avec une régie qui te suit à la trace quelque soit le site, vu que la régie peut passer sur plusieurs sites.

Big brother is watching you

[Invité]

Cette identification est la meilleure et la pire des choses alors.

L'idéal serait de garder le bon et se débarrasser du pire.

Pour se protéger d'une fraude à la carte il faudrait confier volontairement des infos d'identification à un "tiers de confiance" et brouiller le profil public en acceptant des mime-types aléatoires à chaque GET http...

Problème :
Le tiers de confiance n'existe pas
Le proxy de brouillage de profil non plus

[Marc Lussac]

Cette identification est la meilleure et la pire des choses alors.

Exactement, c'est un outil qui peut être utilisé à bon ou mauvais escient.

[trenton]

Ca ne sert pas que pour la pub, ça peu servir à autre chose, comme par exemple à un webmaster d'un forum pour identifier un saboteur récidiviste, ou à tout autre usage...

Ben, il suffit d'utiliser deux navigateurs...

[Marc Lussac]

Ben, il suffit d'utiliser deux navigateurs...

Il reste d'autres infos traçables (ton os, etc...)
Et puis à chaque fois que tu veux faire un truc en anonyme (pour une raison qui t'est propre) tu vas installer un nouveau navigateur ?

[Traroth2]

Bonjour,

Ce qui est drole, c'est de voir que d'un cote, Facebook declare 450 millions de membres, dont une grande partie qui ne sait pas proteger ses donnees, et de l'autre on recommande la plus grande attention quand aux plugins que l'on peut devoiler a son insu dans un navigateur ??

Les gens sont volontaires pour donner des informations, donc je ne vois pas en quoi une information de plus ou de moins va changer quoi que ce soit. C'est juste un nouveau moyen de glaner des informations pour le marketing, afin de vendre des pubs ciblees.

Pas tout le monde. Et cette technique permet de tracer même ceux qui ne sont pas volontaires...

[Bryce de Mouriès]

Hum ça fait un peu peur tout ça :/
Mais du moment qu'on change la moindre informations la trace changera, comme l'ajout la retrait d'un plugin, des outils vont donc certainement apparaître pour contrer cette combine.

Par contre ça me réconforte que TOR est toujours efficace mais je ne comprend pas pourquoi en fait. Par contre je le trouve très user friendly, il s'installe très facilement, puis avec le plugin sur FF qui va avec il suffit d'appuyer en bas de la fenêtre pour passer dans le réseau TOR et inversement, rien de plus simple !

[gangsoleil]

Après réflexion, je n'arrive pas a voir en quoi les données récupérés sur mon navigateur web pourraient me nuire ?

Ce ne sont pas les données en elle même qui sont problématiques, mais le fait que celles-ci vous identifient de manière unique. Ainsi, une regie publicitaire presente sur plusieurs sites peut identifier chaque internaute, et savoir qui vient sur quel site, a quelle heure, etc.

Quant a l'utilisation qui en est faite, aujourd'hui, ce n'est probablement que minime, mais qui sait si on ne trouvera pas des applications demain ?

Une idee : afficher un contenu different selon l'utilisateur (pas seulement de la pub, toute une partie du site qui change selon le profile de l'utilisateur)

[kenji_getpowered]

ça fait peur!

Il faut aussi garder à l'esprit que nous sommes en pleine période de croissance du "profilage". Les techniques se perfectionnent et leur utilisation se démocratise.

A la question "comment peuvent nuire les données", je ne sais pas trop comment y répondre. Il y a le côté marketing avec le ciblage des publicités mais en même temps je ne vois pas vraiment ce qui est mal (je n'achète que ce dont j'ai besoin et pas ce dont j'ai envi). Est ce que plus tard cela pourra servir aux services de renseignement? je sais pas.

[superresistant]

Une idee : afficher un contenu different selon l'utilisateur (pas seulement de la pub, toute une partie du site qui change selon le profile de l'utilisateur)

Pourquoi pas, mais je vois déjà les limites :
- j'utilise plusieurs ordinateurs (perso, au moins 3 différents par semaine)
- j'utilise plusieurs navigateurs web (j'en utilise 3 différents chaque jours)
- j'utilise plusieurs système d'exploitation sur ma machine
- il y a plusieurs personnes qui utilisent la machine (sans changer de session)
- je formate de temps en temps

[LaBelette]

Your browser fingerprint appears to be unique among the 977,407 tested so far.

et...

System Fonts | 19.9+ | 977407

Intéressant... je vais blâmer mon designer qui me pousse à installer des polices pour mon manque d'intimité web!

[Aurelien.Regat-Barrel]

Bonjour,
Après réflexion, je n'arrive pas a voir en quoi les données récupérés sur mon navigateur web pourraient me nuire ?
Avez-vous des exemples ?

Pour ta recherche d'emploi. C'est encore au stade artisanal, mais ça va se développer. Les sociétés spécialisées dans la vente d'information sur quelqu'un vont se développer, établir des partenariats, etc... Les entreprises vont faire appel à elles pour établir ton profil plutôt que de te faire passer un premier entretient. Ton banquier va sûrement faire pareil pour t'accorder un prêt. On peut imaginer que les sites qui testent le QI vendent ça aux écoles, etc... Selon certains, le rêve de Google c'est de numériser ton patrimoine génétique, et proposer un moteur de recherche. Par exemple, ta copine pourra faire une petite recherche sur toi histoire de voir ce que tu pourrais transmettre à ta descendance. En attendant cette étape, ton dossier médical peut déjà donner pas mal d'infos, et intéresser les assureurs etc... Mais ne t'inquiète pas, dans 5 ans on trouvera tout ça normal, comme le fait d'avoir un vigile dans chaque magazin ou des caméras de surveillance partout.

On en reviens a ce que j'ai precedement, au final quel est le mal que google peut bien te faire meme s'il arrive a savoir que tes homo ou musulman ou plutot de gauche, te refiller des t-shirt a l'efigie du Che ? un site de rencontre gay dans ta region ? un boutique en ligne de produit hallal ?

Ou discrimination à l'embauche.

Un gouvernement, ca deviens autrement plus terrifiant et rappelle les heures sombres et pas si lointaine de notre histoire

lol. Aucun pays occidental ne va envahir la Pologne quand le tiers monde est lui est offert. Cela fait bien longtemps que les grands groupes industriels se sont accaparés le pouvoir et font faire ce qu'ils veulent à nos gouvernements et donc notre police. Il n'a pas fallu bien longtemps pour aller se servir en Irak, et depuis 1 mois les OGM sont aurorisés en Europe.

Pour en revenir à Internet... Hier, Adopi a été votée (l'industrie est contente!). Aujourd'hui, Obama fait passer le message qu'Internet est une menace pour la démocracie... Et demain ?

[dams78]

... Mais ne t'inquiète pas, dans 5 ans on trouvera tout ça normal, comme le fait d'avoir un vigile dans chaque magazin ou des caméras de surveillance partout.

Ya quand même une petite différence (je trouve).

[Aurelien.Regat-Barrel]

Là je vois bien le danger, mais je ne vois ce que va déduire mon employeur ou mon banquier de mon navigateur web et des polices installés sur ma machine.

Tout mon blabla ne portait pas sur cette news en particulier, mais avait pour but de situer l'info dans un certain contexte. Je vais prendre le temps de me faire comprendre...

Tu as demandé en quoi les données récupérées sur ton navigateur pourraient te nuire. Tu as demandé des exemples. Et bien je t'en ai donné, tout simplement Si tu n'as pas conscience de la terrible guerre pour l'information qui se livre en coulisse, tu peux lire des pages et des pages de news comme celle-ci sans que cela ne t'apporte quoi que ce soit dans ta vie. Regarde donc : en très peu de temps, 2 entreprises sorties de nulle part sont devenues gigantesques : Google et FaceBook. Elles ont tout explosé en terme de croissance / revenus / ... sans rien te faire payer ! C'est gratuit ! Des milliards de $$$ pleuvent sans qu'aucun ne sorte de ta popoche !!? Autant de puissance en si peu de temps sans rien faire payer aux gens... personnellement, ça m'interpelle. Alors, je cherche à comprendre, à développer une vue d'ensemble. Comment qu'on fait ?

Quand j'ai besoin de comprendre comment est architecturé un logiciel compliqué, je cherche à synthétiser des éléments microscopiques pour les assembler, les connecter, les relier. Et de cette interconnexion des éléments, j'obtiens un beau diagramme UML qui me permet, en un rapide coup d'oeil, d'appréhender les millons de ligne de code. En revanche, si je ne dégage pas cette vue d'ensemble du système, tout est laborieux, source de confusion et de problèmes : j'apprends très lentement et dans la douleur. Et bien c'est exactement la même chose dans la vie.

Donc, cette infiormation qui tombe aujourd'hui, en elle-même, elle n'est d'aucun intérêt. Elle n'a de sens que si on la situe dans un contexte (ça aussi c'est valable avec tout le reste en général), que si on la relie à un ensemble d'autres petites informations. Et quand on commence à dégager le diagramme UML de l'environnement dans lequel on baigne, alors on réalise tous les jours un peu plus qu'on n'est qu'une bille qui se fait trimballer dans un méga flipper, et on éprouve le désir d'être un peu moins spectateur de sa vie et un peu plus acteur. Voilà donc pour la parenthèse - excusez mon roman.

Si tu te situes dans le contexte "tout ce que tu mets sur le web t'échappe car d'autres s'en emparent sans qu'il te soit possible de le récupérer", alors il devient intéressant d'être informé de tout ce que tu es susceptible de laisser sur le web. Et c'est simplement en cela que cette brève est intéressante. Rien de plus!

Google peut encore rêver ça ne me dérange pas.

On va inverser l'approche. Si demain Google te permet en toute discrétion de consulter 10 mails de ton choix dans la boite mail de n'importe qui de ton choix [qui est chez GMail] contre la modique somme de 10€, que ferais-tu ? Idem pour FaceBook. Prends bien le temps de réfléchir à l'énorme profit que tu pourrais en tirer, et alors, tu comprendras peut être 2 choses essentielles :
- il y a les vendeurs de lait d'un côté, et ceux qui se font traire de l'autre
- tu es au centre du problème

Ya quand même une petite différence (je trouve).

Certainement, mais ce n'était pas mon propos. Je me souviens juste que la première fois que je suis entré dans une pizzeria sous vidéo surveillance il y a 10 ans j'ai été super choqué. Aujourd'hui, dans une (petite) pharmacie, je "m'amuse" à remarquer comment les 13 (!) caméras présentent font partie du décor, de même que le vigile à l'entrée. Je ne suis plus choqué, mais j'arrive encore - parfois - à m'étonner que 4 caméras puissent servir à surveiller un rayon de brosses à dents, et de la docilité avec laquelle je montre mon ticket de caisse (2€30) à la sortie.

Sur la base de cette expérience personnelle, je garde simplement à l'esprit que ce qui me parait absurde / révoltant aujourd'hui pourra facilement faire partie de mon décor demain. Et ça me fait réfléchir, c'est tout

[dams78]

Certainement, mais ce n'était pas mon propos. Je me souviens juste que la première fois que je suis entré dans une pizzeria sous vidéo surveillance il y a 10 ans j'ai été super choqué. Aujourd'hui, dans une (petite) pharmacie, je "m'amuse" à remarquer comment les 13 (!) caméras présentent font partie du décor, de même que le vigile à l'entrée. Je ne suis plus choqué, mais j'arrive encore - parfois - à m'étonner que 4 caméras puissent servir à surveiller un rayon de brosses à dents, et de la docilité avec laquelle je montre mon ticket de caisse (2€30) à la sortie.

Sur la base de cette expérience personnelle, je garde simplement à l'esprit que ce qui me parait absurde / révoltant aujourd'hui pourra facilement faire partie de mon décor demain. Et ça me fait réfléchir, c'est tout

C'est vrai qu'on s'habitue à certaines choses, ton exemple est bien trouvé, ça me fait penser à l'interdiction de fumer dans les lieux publiques aussi.
Mais d'un autre côté j'ai l'impression qu'il y a toujours des gens pour râler et se plaindre du moindre changement et qu'au bout d'un moment, ils se rendent compte que c'est quand même mieux avec cette décision qu'avant, ou du moins que ça ne changeait rien pour eux.
Enfin dans la plupart des cas et effectivement ce n'est pas une raison pour ne pas réfléchir aux conséquences...

[superresistant]

Pour ta recherche d'emploi. C'est encore au stade artisanal, mais ça va se développer. Les sociétés spécialisées dans la vente d'information sur quelqu'un vont se développer, établir des partenariats, etc... Les entreprises vont faire appel à elles pour établir ton profil plutôt que de te faire passer un premier entretient. Ton banquier va sûrement faire pareil pour t'accorder un prêt.

Là je vois bien le danger, mais je ne vois ce que va déduire mon employeur ou mon banquier de mon navigateur web et des polices installés sur ma machine. Bon peut être que si je postule pour être graphiste ça le fait si j'ai plein de polices installés et que j'ai un mac mais bon...

On peut imaginer que les sites qui testent le QI vendent ça aux écoles, etc... Selon certains, le rêve de Google c'est de numériser ton patrimoine génétique, et proposer un moteur de recherche. Par exemple, ta copine pourra faire une petite recherche sur toi histoire de voir ce que tu pourrais transmettre à ta descendance.

Google peut encore rêver ça ne me dérange pas.
Si l'on projette d'avoir des enfants et qu'une tare génétique pourrait nuire a sa descendance autant en parler avec sa femme avant plutôt que de faire la surprise : "au fait je t'avais pas dit mais..."

En attendant cette étape, ton dossier médical peut déjà donner pas mal d'infos, et intéresser les assureurs etc...

Bienvenue à Gattaca lol
[ame="http://www.youtube.com/watch?v=m_nkVmRSpfE&feature=related"]YouTube- Gattaca 1997 Movie Trailer[/ame]

[Invité]

Ces discussions sur la légitimité de l'identification sont certes intéressantes mais :

Les questions simples demeurent :

Je veux éviter d'être profilé à mon insu :
1. précautions à prendre, 2. logiciels à installer

Je veux sécuriser ma machine
1. vol d'info bancaire 2. prise de contrôle du pc 3. vol de fichiers confidentiels..

etcaetera....

Si chaque issue de sécurité tourne à la discussion philosophique, on s'en sort pas. Les gens ont le droit d'être plus parano que vous, il ont même peut-être raison !

[superresistant]

Je veux éviter d'être profilé à mon insu :
1. précautions à prendre, 2. logiciels à installer

En vrac :
Utilise différents navigateurs quand tu surf ou la fonction "s'identifier comme..." (identification du navigateur) présente sur certains navigateur ou via des plug-in. Change les polices et plug-in installés sur ta machine. Utilise si possible plusieurs ordinateurs ou un smartphone. Surprime automatiquement le cache/cookies/données récoltées en surfant. Formate ta machine.

Je veux sécuriser ma machine
1. vol d'info bancaire 2. prise de contrôle du pc 3. vol de fichiers confidentiels..

En vrac :
Installe un bon anti-virus. Utilise un bon par-feu à paramétrer manuellement et apprend à t'en servir. Prend un ou plusieurs anti-spyware qui scanne automatiquement et régulièrement.
Réfléchis avant de transmettre des données personnelles. Utilise l'inux ou un mac.

PS : ça tourne parfois à l'absurde je sais.