Qu'est-ce que l'empreinte digitale du navigateur? – TechTalks – Bien choisir son serveur d impression
Par Gabor Takacs
Le suivi Web est la pratique par laquelle les sites Web et les sociétés tierces collectent des informations sur l'activité en ligne des utilisateurs. La base du suivi est l'identification précise des utilisateurs – vous êtes détecté et identifié même lorsque vous ne faites que traverser un site Web aléatoire auquel vous n'êtes pas connecté. La solution conventionnelle pour implémenter l'identification et le suivi consiste à enregistrer les cookies Web dans le navigateur de l'utilisateur.
Sommaire
Comment fonctionne le suivi basé sur les cookies?
Imaginez que l'utilisateur Alice visite une boutique en ligne et place un T-shirt dans son panier. À ce moment, l'ID utilisateur d'Alice et l'ID produit du T-shirt sont enregistrés dans le navigateur sous forme de cookie, ce qui permet de connaître le contenu du panier d'Alice sur la page de paiement. Alternativement, il suffit d'enregistrer uniquement l'ID utilisateur dans le navigateur si la paire ID utilisateur / ID produit est enregistrée dans la base de données de la boutique en ligne.
Le scénario précédent semble assez normal, mais les cookies peuvent également être utilisés à des fins de suivi. Imaginez qu'Alice lit des antidépresseurs sur un site Web médical. Ensuite, une société de publicité tierce qui contrôle une petite section du site Web place un cookie dans le navigateur d'Alice et enregistre qu'elle a lu sur le produit XY au moment T. Supposons qu'Alice visite un site Web totalement indépendant qui est également en contrat avec la même agence de publicité. Son activité précédente peut être suivie à travers le cookie, et comme une surprise désagréable, des publicités antidépressives apparaissent sur le site Web non lié.
L'exemple précédent montre pourquoi l'application de cookies tiers est considérée comme une pratique discutable qui viole la confidentialité des utilisateurs. Les principaux navigateurs ont déjà commencé à prendre des mesures contre cette pratique. Safari bloque les cookies tiers par défaut depuis 2017. Firefox le fait également depuis 2019 et Chrome prévoit de les rejoindre également.
Les cookies peuvent être bloqués – quelle est la prochaine étape?
Comme le suivi basé sur les cookies devient plus difficile, l'entreprise de suivi s'oriente vers différentes techniques telles que les empreintes digitales du navigateur. L'idée derrière les empreintes digitales du navigateur est de collecter des informations sur le navigateur et son environnement à des fins d'identification. Ces attributs incluent le type et la version du navigateur, le système d'exploitation, la langue, le fuseau horaire, les plug-ins actifs, les polices installées, la résolution d'écran, la classe CPU, la mémoire de l'appareil et divers autres paramètres. Les attributs sont concaténés en une longue chaîne et l'empreinte digitale est définie comme une valeur de hachage de la chaîne.
On peut se demander à quel point ces empreintes digitales sont uniques. Il s'avère qu'ils ont tendance à être uniques dans la majorité des cas. Les lecteurs curieux peuvent vérifier leur propre navigateur sur amiunique.org. Si une empreinte digitale de navigateur s'avère non unique, elle peut probablement être rendue unique en la combinant avec l'adresse IP de l'appareil. En d'autres termes, les empreintes digitales du navigateur sont capables d'identifier totalement ou partiellement les utilisateurs lorsque les cookies sont désactivés.
Empreinte digitale du navigateur découverte
Afin de capturer les empreintes digitales d'un navigateur réel en action, analysons certains sites Web. Plus précisément, j'utiliserai le mode Incognito Chrome pour que toutes les extensions soient désactivées. Bien que j'essaie de présenter des expériences reproductibles, gardez à l'esprit que les empreintes digitales du navigateur peuvent dépendre du navigateur ou de l'emplacement, ou ne peuvent être activées que pour un sous-ensemble aléatoire d'adresses IP. De plus, les scripts fingerprinter reçoivent parfois une mise à jour de version. Par conséquent, la reproductibilité à 100% ne peut pas être garantie.
Cela dit, ouvrons le site Web mobile.de. Les outils de développement du navigateur contiennent un analyseur de performances qui révèle quelles fonctions JavaScript ont été appelées après le chargement du site Web. Si nous recherchons «empreinte digitale» dans l'arborescence des appels, un appel de fonction intéressant apparaît:
Le script est chargé à partir de https://script.ioam.de/iam.js. Voici le code source de la fonction:
La chaîne d'empreintes digitales est accumulée dans la variable t. Les composants de l'empreinte digitale sont la chaîne User-Agent, les plug-ins installés avec le numéro de version, les types MIME reconnus par le navigateur et les informations liées à ActiveX également, si le navigateur est Internet Explorer.
Si nous mettons un point d'arrêt sur la ligne 22 et rechargeons la page, nous pouvons observer la valeur finale de t. C'est le suivant pour mon navigateur:
Après avoir appliqué le hacher() fonction, l'empreinte digitale devient "94qaxn". Et ce n'est pas seulement mobile.de qui utilise ce empreinte digitale() une fonction. Par exemple, immobilienscout24.de, spiegel.de et wetteronline.de l'intègrent et l'exécutent également.
Un type similaire d'empreintes digitales peut être observé sur le site d'actualités lemonde.fr. Le code JavaScript correspondant est chargé à partir de https://cdn.keywee.co/dist/sp-2.9.1.js. Le code est minifié, ce qui le rend plus difficile à suivre. Néanmoins, si nous imprimons assez le code, l'extrait de code suivant peut être trouvé, à partir de la ligne 1454:
Tout d'abord, les composants de l'empreinte digitale sont calculés. Ensuite, à la ligne 16, une chaîne est créée à partir des composants d'empreintes digitales et un code de hachage entier est calculé à l'aide de la fonction k. Sur ma machine, la chaîne d'empreintes digitales est
et le code de hachage calculé est 641572758.
Des techniques plus subtiles sont également présentes sur le web. Par exemple, express.co.uk utilise de nombreuses ressources externes. Entre autres, il charge et exécute le code JavaScript à partir de https://securepubads.g.doubleclick.net/gpt/pubads_impl_2020020309.js. Le domaine appartient à la société de diffusion d'annonces DoubleClick. Le code est à nouveau minifié. Après une jolie impression, l'extrait suivant peut être trouvé, à partir de la ligne 8095:
En plaçant un point d'arrêt sur la ligne 1 et en rechargeant le site Internet, nous pouvons revérifier que ce code est bien exécuté. Ensuite, une exécution pas à pas nous permet d'étudier ce qui se passe ici. Les lignes 1 à 11 préparent le dictionnaire F et remplissez-le avec divers attributs du navigateur. À la ligne 12, la fonction Euh lance une chaîne d'appels de fonction. Le premier paramètre de Euh est une structure de données complexe qui a été créée auparavant. L'un de ses attributs est le tableau un B qui a déjà 40 éléments lorsque Euh est appelé. Le principal effet de Euh de notre point de vue, il ajoute toutes les paires valeur-clé de F mettre en réseau un B. Ensuite, le reste du code augmente un B avec d'autres attributs. Par exemple, la ligne 38 interroge la mémoire de l'appareil à partir de l'objet navigateur et l'ajoute à la fin de un B.
Une fois la ligne 38 exécutée, le contenu de un B est le suivant:
Les 40 premiers éléments de un B contiennent des attributs non liés aux empreintes digitales, et ils ne sont pas affichés ici. Je n'ai trouvé aucun signe de calcul d'un code de hachage à partir des éléments liés aux empreintes digitales de un B. Cependant, cela peut être facilement effectué côté serveur après le transfert des données vers DoubleClick.
Les empreintes digitales basées sur DoubleClick sont également présentes, par exemple, sur lequipe.fr, news.com.au, t-online.de et également sur tous les sites Web mentionnés précédemment (mobile.de, immobilienscout24.de, spiegel.de, wetteronline.de et lemonde.fr).
Le paysage des empreintes digitales du navigateur
Bien sûr, le paysage de l'empreinte digitale du navigateur est diversifié. Voici quelques autres fonctions de prise d'empreintes digitales ainsi que des sites Web qui les appliquent:
Contre-mesures contre les empreintes digitales du navigateur
Comme la plupart des utilisateurs, nous pensons que toute personne devrait avoir le droit de refuser toute forme de suivi Web, y compris les empreintes digitales du navigateur. C'est pourquoi nous travaillons sur des algorithmes qui détectent les activités d'empreinte digitale du navigateur.
Nous collectons et analysons les cas connus d'empreintes digitales du navigateur et identifions des modèles en fonction de ceux-ci. La méthode conventionnelle de détection serait de faire correspondre exactement ces modèles avec les sites Web et de trouver ceux qui appliquent les méthodes d'empreintes digitales connues. Cependant, on peut faire plus avec l'intelligence artificielle. Un détecteur d'empreintes digitales basé sur l'IA est capable d'effectuer une correspondance de modèle inexacte et de détecter de nouvelles méthodes d'empreinte digitale. Les utilisateurs bénéficient donc d'une défense plus forte contre les empreintes digitales du navigateur.
A propos de l'auteur:
Gabor Takacs est titulaire d'une maîtrise en informatique et d'un doctorat en apprentissage automatique. Il a participé à plusieurs concours de science des données, dont le prix Netflix et GE Flight Quest. Il était l'un des fondateurs de Yusp – une société de systèmes de recommandation. Actuellement, il est professeur agrégé à l'Université de Gyor et scientifique en chef des données à CUJO AI.
Commentaires
Laisser un commentaire