Les bases du fingerprinting de navigateur
Quand vous accédez à un site web, le navigateur utilise de nombreuses informations pour afficher la page.
Type de navigateur. Système d’exploitation. Taille d’écran. Langue. Fuseau horaire. Polices prises en charge. Extensions. Résultats de rendu Canvas et WebGL.
Pris un par un, ce sont de petits éléments d’information. Mais une fois combinés, ils deviennent des caractéristiques de cet environnement de navigateur.
L’idée qui consiste à utiliser ces caractéristiques pour distinguer les utilisateurs s’appelle le fingerprinting de navigateur, ou pistage par empreinte de navigateur.
Cet article explique comment le fingerprinting de navigateur se relie à l’anonymat.
Qu’est-ce que le fingerprinting ?
Le fingerprinting de navigateur est une méthode qui combine des caractéristiques du navigateur et de l’appareil pour déduire si des accès viennent du même environnement.
Il diffère un peu des méthodes où un site web enregistre un identifiant dans le navigateur, comme un cookie.
Les cookies servent à l’identification lorsque les valeurs enregistrées sont renvoyées. À l’inverse, le fingerprinting utilise comme matériau l’apparence visible du navigateur lui-même.
| Élément | Empreinte | |
|---|---|---|
| Matériau principal | Valeur enregistrée dans le navigateur | Caractéristiques du navigateur et de l’appareil |
| Vue côté utilisateur | Suppression ou blocage plus faciles à envisager | Difficile de savoir ce qui sert de matériau |
| Facilité de changement | Change quand les cookies sont supprimés | Tend à rester si les paramètres et l’environnement sont les mêmes |
| Impact sur l’anonymat | Relie les visites répétées du même navigateur | Montre des signes du même environnement même sans cookies |
Autrement dit, supprimer seulement les cookies ne suffit pas. Si vous continuez à utiliser le même environnement de navigateur, d’autres indices restent.
Quelles informations deviennent du matériau ?
Le matériau du fingerprinting est constitué des informations que le navigateur utilise pour afficher des pages ou faire fonctionner des fonctions.
| Information | Ce qu’elle montre | Point d’attention pour l’anonymat |
|---|---|---|
| User-Agent | Navigateur, système d’exploitation, version, etc. | Devient une caractéristique générale de l’environnement d’utilisation |
| Taille d’écran | Zone d’affichage et type d’appareil | Devient un matériau suggérant le même appareil |
| Paramètres de langue | Langue préférée | Devient un indice de région ou d’environnement d’utilisation |
| Fuseau horaire | Réglage horaire de l’appareil | Se relie au lieu de vie et aux heures d’activité |
| Polices | Polices disponibles | Devient une caractéristique du système d’exploitation ou de l’environnement d’installation |
| Canvas | Résultat de rendu du navigateur | Devient un matériau lié aux différences d’appareil, de GPU et de navigateur |
| WebGL | Informations autour du rendu 3D | Les caractéristiques du GPU et du pilote apparaissent |
| Extensions | Fonctions ajoutées | Les combinaisons rares se remarquent |
Tous les sites web ne collectent pas ces informations de la même façon. Cependant, sur les pages où JavaScript est activé, beaucoup d’informations côté navigateur peuvent être obtenues.
Quand vous réfléchissez à l’anonymat, vous devez regarder non seulement les « informations que vous avez saisies », mais aussi les « informations que le navigateur expose automatiquement ».
Pourquoi cela concerne l’anonymat
Pour l’anonymat, le problème est que les actions d’une même personne se relient entre elles.
Par exemple, supposons que vous consultiez un site depuis votre connexion domestique, puis que vous accédiez au même site avec un . L’adresse IP a changé. Supposons aussi que vous ayez supprimé les cookies.
Même ainsi, si les caractéristiques du navigateur sont presque les mêmes, il reste des signes indiquant que l’accès vient probablement du même environnement.
Le fingerprinting seul ne permet pas nécessairement d’identifier une personne. Mais combiné à l’adresse IP, aux cookies, à l’état de connexion, à l’heure d’accès et au contenu publié, il devient un matériau de corrélation.
Ce qui est dangereux pour l’anonymat n’est pas seulement une information isolée. C’est l’accumulation de petites informations.
Les paramètres personnalisés peuvent se remarquer
Pour renforcer l’anonymat, on peut être tenté de personnaliser finement son navigateur.
Blocage de publicités. Paramètres anti-pistage. Paramètres de polices particuliers. Nombreuses extensions. Contrôle fin de JavaScript.
Ces éléments peuvent être utiles. Cependant, quand la combinaison de paramètres devient rare, elle se remarque au contraire.
Pour l’anonymat, « ajouter des paramètres qui semblent puissants » n’est pas toujours la bonne réponse. Dans certaines situations, il est important d’aligner son apparence sur celle de nombreux autres utilisateurs.
Browser adopte cette approche. Au lieu d’ajouter pour chaque utilisateur des paramètres visibles, il crée un environnement qui se ressemble autant que possible, afin de rendre l’identification par fingerprinting plus difficile.
Autrement dit, pour l’anonymat, « rejoindre un groupe qui ne se remarque pas » peut être plus important que « ajouter beaucoup de défenses ».
Les combinaisons rares d’extensions, les polices particulières, les tailles d’écran personnalisées et les paramètres de blocage trop fins deviennent des caractéristiques propres à la personne. Des paramètres censés éviter le pistage peuvent au contraire devenir un matériau d’identification.
Différences entre Tor Browser et les navigateurs ordinaires
Les navigateurs ordinaires privilégient la commodité et la compatibilité. C’est pourquoi les différences entre utilisateurs ont tendance à être visibles côté site.
Tor Browser est un navigateur qui privilégie l’anonymat. Il ne se contente pas d’utiliser le réseau Tor ; il est aussi conçu pour uniformiser l’apparence du navigateur.
| Élément | Navigateur ordinaire | Tor Browser |
|---|---|---|
| Objectif principal | Commodité, compatibilité, vitesse | Anonymat, résistance au pistage, contournement de la censure |
| Trajet de communication | Utilise la connexion ordinaire | Utilise le réseau Tor |
| Apparence du navigateur | Les différences entre utilisateurs apparaissent facilement | Conçu pour réduire les différences |
| Extensions | Faciles à ajouter librement | Les ajouter peut faire ressortir l’utilisateur |
| Point d’attention pour l’anonymat | Se mélange facilement avec l’usage sous vrai nom | L’effet s’affaiblit si l’usage s’écarte du fonctionnement prévu |
Si vous installez dans Tor Browser vos extensions habituelles, fixez la taille d’écran à votre façon ou vous connectez à un compte sous vrai nom, l’anonymat s’affaiblit.
Points à regarder dans l’environnement du navigateur
Quand vous réfléchissez au fingerprinting de navigateur, vérifiez les points suivants.
- Réutilisez-vous le même navigateur pour l’usage anonyme et l’usage sous vrai nom ?
- Avez-vous installé les mêmes extensions ?
- Avez-vous trop modifié les paramètres du navigateur à votre façon ?
- La taille d’écran ou les paramètres de langue recoupent-ils ceux de l’usage sous vrai nom ?
- Restent-ils avec des cookies ou un état de connexion ?
- Si vous utilisez Tor Browser, avez-vous conservé les paramètres standard ?
Le point important ici est de ne pas regarder seulement les empreintes. Les caractéristiques du navigateur sont corrélées avec les cookies, l’IP, le moment, les comptes et le contenu publié.
Les mesures contre les empreintes ne se suffisent pas à elles-mêmes.
Quand vous utilisez un environnement conçu comme Tor Browser, la règle de base est de ne pas modifier fortement les paramètres standard. Quand vous utilisez un navigateur ordinaire, les points de départ sont de ne pas mélanger l’usage sous vrai nom et l’usage anonyme, de ne pas ajouter d’extensions inutiles et de vérifier l’état de connexion.
Sites permettant de vérifier votre apparence visible
Le fingerprinting de navigateur peut sembler abstrait si on le comprend seulement par le texte. En regardant réellement des sites de test, il devient plus facile de comprendre quelles informations de l’environnement du navigateur sont visibles côté site web.
EFF Cover Your Tracks est un site de test de l’EFF qui permet d’accéder à un site externe et de vérifier dans quelle mesure votre navigateur est identifiable face aux trackers et aux empreintes. Pendant la vérification, des informations du navigateur sont envoyées à l’EFF ; dans un environnement à haut risque ou un environnement réel d’usage anonyme, il faut donc réfléchir soigneusement au moment de l’utiliser. Le résultat ne juge pas si vous êtes « complètement en sécurité », mais il peut servir de point d’entrée pour comprendre que les informations du navigateur deviennent un matériau d’identification.
URL : https://coveryourtracks.eff.org/
BrowserLeaks Canvas est une page de test qui permet de vérifier une partie de l’environnement du navigateur visible côté site web, avec un accent sur Canvas. Comme elle affiche des valeurs individuelles, elle peut aider à comprendre comment les extensions et les changements de paramètres modifient l’apparence du navigateur.
URL : https://browserleaks.com/canvas
Ces sites sont des destinations de vérification à visée pédagogique. Ils ne servent pas à se rassurer après avoir vu un résultat une fois, mais à comprendre que « mon navigateur expose plus d’informations que je ne le pensais ».
Résumé
Le fingerprinting de navigateur consiste à combiner des caractéristiques du navigateur et de l’appareil pour déduire si des accès viennent du même environnement.
User-Agent, taille d’écran, langue, fuseau horaire, polices, Canvas, WebGL, extensions et détails similaires deviennent du matériau.
Même si vous supprimez les cookies, si l’environnement du navigateur reste le même, l’impression du même utilisateur subsiste. Même si vous changez l’adresse IP, si les caractéristiques du navigateur ne changent pas, elles deviennent un matériau de corrélation.
Pour l’anonymat, multiplier les paramètres personnalisés n’est pas toujours la bonne réponse. Dans certaines situations, il est important d’aligner son apparence sur celle de nombreux autres utilisateurs.
Le fingerprinting de navigateur ne détermine pas à lui seul tout l’anonymat. Mais combiné à l’adresse IP, aux cookies, à l’état de connexion, au moment et au contenu publié, il devient un indice fort.
Outils liés
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
DNSLeakTest
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks WebRTC
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks Fingerprint
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
EFF Cover Your Tracks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.