Nos empreintes numériques sur le web

Le monde du web est en tension, entre confort de navigation avec des expériences « utilisateur » de plus en plus riches et dynamiques et une progressive prise de conscience et envie d’anonymat, comme le montre la popularité des bloqueurs de publicité ou de script (des extensions comme Ghostery, Privacy Badger ou NoScript).

Pour qu’un internaute puisse naviguer en tout confort et profiter de contenus web, grâce notamment à des libraires javascript, le système collecte des informations relatives à son navigateur et à son système d’exploitation. Ce qui semble, en soi, assez normal. Mais il y a un revers à la médaille : les éléments collectés peuvent devenir un instrument de traçage car l’empreinte numérique laissée par l’internaute peut se révéler …. unique.

Une étude récente, présentée à l’occasion de la 12e édition de la conférence internationale «Computers Privacy and Data Protection», nous montre jusqu’où peut aller ce traçage numérique. 

De nombreuses traces

Les auteurs de l’étude ont collecté 120 000 empreintes numériques à travers un site construit ad hoc Amiunique (lancé en novembre 2014). Quelques centaines de millisecondes suffisent pour constituer une empreinte numérique à partir d’un ordinateur fixe.

Comment ? Par plusieurs chemins  :

• des plugins (extensions) spécifiques
  97% des plugins apparaissent dans moins de 1% des empreintes numériques collectées et 89% en moins de 0,1%.
   
• des polices spécifiques
  La typographie est un vecteur inattendu d’identification ; la richesse de polices existantes traduit des critères linguistiques et des besoins graphiques qui sont très spécifiques : 97% des polices apparaissent dans moins de 0,1 % des empreintes numériques et dans presque deux tiers des cas elles sont associées à une ou deux empreintes numériques.
   
• le langage HTML (qui permet de coder des pages web) est également une source d’information, entre balises ou éléments permettant de dessiner des graphismes – et donc recensant plusieurs couches du système (navigateur, système d’exploitation, carte graphique etc.)

Les auteurs poussent leur analyse encore plus loin.

Le traçage est tout aussi efficace sur des appareils mobiles, avec un taux d’identification d’environ 80% des empreintes.

En l’absence de plugins et de polices, ce sont les applications et émojis qui gardent des traces !

(illustration ci-contre extraite de l'étude)

Les évolutions possibles

Plusieurs évolutions pourraient réduire significativement ce traçage sur Internet. Par exemple :

• la standardisation du contenu de certains champs html;
• des listes de polices ou d’émojis par défaut, pour toutes les versions de tous les systèmes d’exploitation;
• la disparition progressive des extensions, voire… de Javascript, aujourd’hui, source de confort de navigation pour les internautes.

Cette étude a remporté la dernière édition du prix conjoint CNIL-INRIA qui vise à encourager la recherche scientifique sur la protection de la vie privée et des données personnelles : https://www.inria.fr/actualite/actualites-inria/remise-du-prix-cnil-inria

Illustration adav, Foter.com

Références

P. Laperdrix, W. Rudametkin, B. Baudry. « Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints ». 37th IEEE Symposium on Security and Privacy (S&P 2016), Mai 2016, San José, États-Unis :
https://hal.inria.fr/hal-01285470v2

Pour en savoir plus : https://amiunique.org/. et https://fpcentral.tbb.torproject.org/

Pour plus de données autour du «browser fingerprinting», où comment identifier spécifiquement un visiteur par les réglages spécifiques des préférences de son ordinateur et de son navigateur : Browser Fingerprinting

Pour tester à quel point vous êtes spécifique :

• Am I Unique
• PANOPTICLICK
• Unique Machine
  

Ajouter à mes listes de lecture