Vous pensez pouvoir échapper à la surveillance en ligne en désactivant les cookies ? Un tiers des sites vous traquent sans les utiliser

Atlantico.fr : Pouvez-vous nous expliquer en quelques mots en quoi consiste le « fingerprinter » ? Est-ce dangereux pour les utilisateurs ?  

Franck DeCloquement : Afin d’expliquer ce qu’est le browser Fingerprinting, il faut tout d'abord bien comprendre sur quoi repose le pistage utilisateur sur internet. Un browser (dit également « navigateur web » ou « browser ») est un programme informatique qui vous permet de visualiser des documents, des données et de naviguer sur la toile. Les navigateurs peuvent afficher différents types de ressources d'information ; principalement des documents HTML. Cependant, d'autres types de fichiers et de contenus multimédias sont également disponibles, tels que PDF, JPEG, MPEG, GIF ou le méta langage de balisage. En utilisant les Plugin spéciaux et les paramètres applicables, les navigateurs prennent en charge Flash, JavaScript ou Java Applets pour rendre disponible le contenu multimédia interactif ou transférer des adresses de messagerie vers un programme de messagerie.

Pour pister un utilisateur, il faut être en outre capable de reconnaître un utilisateur de manière unique, et le discriminer parmi la multitude des autres internautes présents. Plusieurs techniques existent et parfois hybrides afin de pouvoir pister au mieux l’internaute. En tant qu'utilisateur régulier du web, nous connaissons tous bien l'incessant tracking qui nous vise via les fameux « cookies », également appelé « pistage » par les cookies. Dans le cas spécifique de « fingerprinter », nous avons affaire à une méthode de tracking avancée, mais cette fois-ci, « sans cookies ». Une méthode qui exploite en définitive les possibilités du HTML5 afin de pister discrètement les internautes.

En définitive, fingerprint fonctionne en constituant un identifiant unique de votre navigateur Web. Cela se fait à travers l’identification de sa configuration spécifique. Autrement dit de ses réglages, comme le fuseau horaire, la résolution écran, la police utilisée, le user-agent, etc. La constitution de cette empreinte unique se base sur plusieurs attributs du navigateur WEB. Des codes JavaScript ou appel API permettent de récupérer ces derniers, et notamment ceux-ci :

• Les réglages Audio.

• La toile ou « Canvas ». Canvas est une API HTML5 qui permet de dessiner des graphiques et des animations sur une page Web via un script en JavaScript.

• Les polices d’écriture ou fonts et leurs utilisations.

• WebGL est une API JavaScript permettant de rendre des graphiques 3D interactifs dans n’importe quel navigateur Web compatible sans utiliser de plug-ins. Les applications WebGL sont constituées d’un code de contrôle écrit en JavaScript, et d’un code à effets spéciaux exécuté sur le processeur graphique d’un ordinateur. Les éléments WebGL peuvent être mélangés avec d’autres éléments HTML et composés avec d’autres parties de la page ou de l’arrière-plan de la page.

Les services Web, et notamment les régies publicitaires, peuvent alors distinguer n’importe quel navigateur Web spécifiques parmi d’autres machines utilisées, et donc visé un potentiel internaute. Cet identifiant unique s’assimile à une sorte « d'empreinte digitale » de ce dernier, d’où la sémantique explicative utilisée. Pour les défenseurs de la vie privée, ces méthodes de collectes ne sont évidemment pas acceptables...

Résumons : fingerprinting permet donc aux sites web et aux régies publicitaires d’identifier les internautes. Ils ne sont donc plus identifiés grâce à de simples cookies, mais via les composants et les réglages de leur propre machine. Cette méthode est bien plus efficace et plus pérenne que l'usage de simples cookies, puisque les internautes ne peuvent pas supprimer les composants de leur ordinateur ou leur mobile, comme ils pouvaient supprimer par ailleurs les cookies. Une fois l’internaute identifié, il l'est à vie, ou presque, grâce au fingerprinting. Techniquement, lorsque vous chargez une page web qui exploite cette méthode, un script demande à votre navigateur de « dessiner » un graphique, sans l’afficher. Le résultat obtenu dépend des composants de votre terminal (version du navigateur, version du système d’exploitation, carte graphique, extensions installées, etc.). Ainsi, on identifie dès lors assez finement un internaute particulier grâce à la détection de la  combinaison de tous ces paramètres. Et si cela n’était pas suffisant, on peut toujours recouper les informations obtenues via cette technique, avec d’autres méthodes de tracking pour identifier encore spécifiquement un internaute. Le meilleur des mondes en somme...

Est-il encore possible de naviguer de manière anonyme sur Internet ?

Très schématiquement, il est toujours possible de contrer partiellement ces méthodes intrusives de tracking, mais cela devient évidemment de plus en plus compliqué pour le commun des mortels, chemin faisant. Vous trouverez par exemple quelques extensions qui permettent de vous protéger sur internet de ce type de collecte sauvage d’informations. Pour préserver la vie privée des internautes des actions ourdies de dispositifs toujours plus ingénieux comme le fingerprinting, Mozilla a par exemple décidé de bloquer par défaut, l’exécution des scripts de celui-ci.

Du côté de la protection de la vie privée, le blocage du « cryptomining » et du fingerprinting est au menu de Firefox 67. En revanche, ces deux fonctions ne sont pas activées par défaut. Il vous faudra donc vous rendre dans « Options » puis « Vie privée et sécurité » pour ce faire. À ce titre, le navigateur Firefox à partir de sa version 58 sortie en janvier 2018, demandait déjà votre autorisation éclairée pour exécuter un script fingerprinting dont l’objectif fallacieux était d’obtenir votre « image unique ».

Ce fonctionnement rappelle celui du navigateur Tor, qui bloque aussi par défaut le fingerprinting. Des modules d'extension de navigateur comme « Privacy Badger » ou « DoNotTrackMe » sont également capables de bloquer les tentatives de suivi des sites tiers comme les régies publicitaires. Mais ils seront cependant inefficaces pour bloquer les suivis implantés directement sur un site visité par l'internaute. Le Tor browser offre aussi une meilleure protection contre le ciblage et le tracking. Il avertit l'utilisateur lorsque le site web tente de produire un  fingerprinting, et il offre la possibilité de retourner l'empreinte d'une page blanche pour déjouer la tentative de suivi numérique.

Cependant, L’empreinte digitale d'un navigateur Web étant unique, quelque soit l’IP de connexion, on reconnaîtra immanquablement le navigateur Web utilisé. Ainsi le fait de se cacher derrière un simple VPN ne permet pas de vous rendre totalement anonyme. Enfin cela permet aussi de suivre un internaute utilisant un ordinateur portable ou une tablette qui serait en vacances ou chez en villégiature temporaire dans sa famille.

Très pratiquement, il existe différents sites internet qui vous permettent de tester votre navigateur Web pour savoir si ce dernier est unique. Ces sites existent pour la plupart en langue anglais. Voici les deux sites usités les plus connus :

• https://panopticlick.eff.org/

• https://amiunique.org

• Le site suivant retourne un identifiant, assez pratique pour tester vos protections : https://codepen.io/run-time/pen/XJNXWV

Comment les gouvernements et les entreprises peuvent-ils faire, pour faire face à des méthodes digitales de plus en plus intrusives telles que le fingerprinting ?

Pour les institutions et le secteur privé, il s'agit d'une course de vitesse permanente contre les malveillances et les intrusions sournoises, compte tenu des avancées technologiques perpétuelles. Les fonctions institutionnelles sont relativement bien protégées en France grâce à l’expertise reconnue de l'ANSSI.

Mais concernant les pratiques individuelles délétères de nos parlementaires en matière de cyberprotection, c’est une autre affaire comme nous l'avons déjà évoqué dans un précédent article pour Atlantico. Il en va de même pour nos hauts fonctionnaires et toutes nos administrations. Le secteur privé de la petite et moyenne entreprise n'a, de son côté, pas toujours le degré de compréhension, de maturité managériale et de financement suffisant pour systématiquement faire face aux risques inhérent à nos écosystèmes numériques. Une situation économique durcie et concurrentielle très tendue sur le plan international n’arrangeant pas cette affaire, et laisse perdurer de nombreux « trous dans la raquette » propice aux ingérences digitales.