Qu’est-ce que la prise d’empreintes digitales ?

L'empreinte numérique est le processus par lequel un site ou un service distant rassemble de petites informations sur la machine d'un utilisateur et rassemble ces éléments pour former une image unique, ou « empreinte digitale », de l'appareil de l'utilisateur. Les deux principales formes sont les empreintes digitales du navigateur, où ces informations sont fournies via le navigateur lorsqu'un utilisateur visite des sites distants, et les empreintes digitales de l'appareil, lorsque les informations sont fournies via des applications qu'un utilisateur a installées sur son appareil.

Dans la plupart des cas, la prise d’empreintes digitales est effectuée par un tiers plutôt que directement par le site visité ou l’application utilisée. Lorsqu'un individu utilise son appareil, un tracker tiers spécifique peut être chargé sur plusieurs applications installées ou sites visités. Cela permet à cette entreprise de suivre une personne dans son utilisation de plusieurs sites qu'elle visite ou des applications qu'elle a installées. Ces trackers obtiennent un aperçu sans précédent des activités quotidiennes de l'utilisateur, y compris des informations souvent suffisamment spécifiques pour savoir ce que fait un utilisateur à tout moment et même où il utilise son appareil.

Prise d'empreintes digitales et reciblage anchor link

Les empreintes digitales sont largement réalisées par des sociétés de suivi, qui utilisent ces informations pour cibler les utilisateurs avec des publicités ou vendre ces informations à des courtiers en données . La publicité numérique est un business qui vaut des centaines de milliards de dollars. Le reciblage, ou la reconnaissance d'un visiteur récurrent et de supports marketing en fonction de sa navigation précédente, est un moyen puissant pour les spécialistes du marketing d'augmenter les taux de clics et de générer des revenus. Les empreintes digitales peuvent également être utilisées pour la détection de fraudes et de robots, en utilisant la même technologie que celle utilisée par les trackers à des fins légitimes.

Le moyen le plus courant de recibler les publicités sur le Web consiste à utiliser les cookies du navigateur, et les applications peuvent utiliser l'identifiant annonceur fourni par iOS et Android. Mais l'utilisateur peut effacer les cookies et les identifiants d'annonceur pour supprimer l'identifiant persistant lié à son navigateur ou appareil mobile particulier. Considérez vos habitudes de navigation comme une chaîne qui relie différentes broches sur un tableau. Chaque épingle représente un site que vous avez visité et un tracker peut retracer cette chaîne pour voir ce que vous avez visité dans le passé. Effacer vos cookies revient à couper cette chaîne en différents segments, et plus vous coupez la chaîne souvent, plus les segments deviennent petits. Le tracker ne peut plus voir ce que vous avez visité dans le passé.

La prise d'empreintes digitales crée une chaîne qui ne peut pas être coupée en créant un nouvel identifiant persistant. Il utilise les caractéristiques de votre navigateur ou de votre appareil contre vous, puisque l'identifiant est un résumé de toutes les caractéristiques de votre navigateur ou de votre appareil. La prise d'empreintes digitales peut utiliser toutes sortes de détails apparemment banals sur votre appareil ou votre navigateur, tels que la résolution de l'écran, votre fuseau horaire, la version du système d'exploitation, la durée de vie restante de la batterie, etc. La raison pour laquelle les empreintes digitales existent est de contourner les contrôles normaux dont disposent les utilisateurs qui leur permettent de contrôler leurs propres navigateurs. Afin de reprendre le contrôle de nos navigateurs et de nos appareils, nous devons utiliser des outils spéciaux qui résistent aux empreintes digitales.

Efficacité de la prise d'empreintes digitales comme technique de suivi anchor link

Pour que les empreintes digitales soient efficaces pour les trackers, elles doivent répondre à deux critères.

Premièrement, il doit être persistant. Si l'empreinte digitale de l'utilisateur change rapidement, le tracker n'aura aucun moyen de distinguer une visite d'un utilisateur de la visite suivante. Cette capacité à relier les visites est essentielle pour déterminer qu’il s’agit bien du même utilisateur qui visite des sites Web ou utilise des applications au fil du temps. Cet identifiant persistant est utilisé en remplacement d'un cookie, qui peut être facilement supprimé par l'utilisateur. Une empreinte digitale ne peut pas être supprimée, puisqu'elle ne stocke rien sur la machine de l'utilisateur.

Deuxièmement, il doit être unique. Si deux utilisateurs ou plus ont la même empreinte digitale, le tracker perd la capacité d’identifier un seul individu à l’aide des empreintes digitales. Sans cette capacité, le tracker ne peut pas suivre l'utilisateur individuellement et le placer dans des catégories marketing spécifiques, telles que « amateur de pâtisserie » ou « passionné d'avions ». Dans notre étude Couvrez vos traces (Cover Your Tracks) (anciennement Panopticlick) sur les navigateurs des utilisateurs, lancée en 2010, nous avons découvert que la grande majorité des navigateurs satisfaisaient à ces deux critères.

Dans les applications mobiles, la prise d'empreintes digitales peut également récupérer toutes sortes de données sur votre appareil, depuis la dernière fois que vous redémarrez votre téléphone jusqu'aux autres applications installées. Bien que cela soit difficile à appliquer, cela n’est pas toujours autorisé. Par exemple, Apple demande aux développeurs d'expliquer pourquoi leurs applications peuvent avoir besoin de détails sur l'appareil, souvent utilisés pour la prise d'empreintes digitales, mais comme bon nombre de ces détails ont des utilisations légitimes, il n'est pas toujours possible de savoir si un développeur utilise les données collectées à des fins de fonctionnalité ou de suivi. Sur Android, de nombreuses caractéristiques utilisées pour la prise d'empreintes digitales nécessitent que l'application demande des autorisations spécifiques, mais un examen manuel de ces autorisations est souvent impénétrable et ignoré au profit d'un simple clic sur « autoriser ». Sous iOS et Android, il est recommandé de limiter le nombre d'applications que vous téléchargez et de demander si une application nécessite réellement les privilèges qu'elle demande.

Stratégies de lutte contre les empreintes digitales anchor link

Pour que les outils de lutte contre les empreintes digitales soient efficaces, ils peuvent suivre l'une des deux stratégies suivantes. Premièrement, ils peuvent tenter de supprimer l’un ou les deux critères ci-dessus qui rendent la prise d’empreintes digitales efficace. Deuxièmement, ils peuvent développer une liste de trackers et empêcher chacun d’eux de se charger dans le navigateur ou sur un appareil mobile.

Il existe de nombreux outils qui tentent de briser la persistance des empreintes digitales dans le navigateur. Certains tenteront de randomiser les résultats de certaines caractéristiques, telles qu'une empreinte digitale de canevas ou de toile ou canvas fingerprint et une empreinte AudioContext. Cela peut être une méthode efficace pour briser la persistance, mais il est important de noter qu’un tracker peut être en mesure de déterminer qu’un outil de randomisation est utilisé, ce qui peut en soi être une caractéristique d’empreinte digitale. Il convient de réfléchir attentivement à la manière dont la randomisation des caractéristiques des empreintes digitales sera ou non efficace dans la lutte contre les traqueurs.

Les navigateurs peuvent également lutter contre les empreintes digitales en donnant à toutes les instances du navigateur la même apparence. En rendant les caractéristiques d'empreintes digitales identiques sur toutes les instances de navigateurs, une instance particulière du navigateur ne peut pas être identifiée de manière unique. C'est la méthode adoptée par l'outil d'anonymat Tor Browser.

La plupart des navigateurs semblent uniques et les trackers peuvent les suivre sur le Web.

Les navigateurs Tor se ressemblent, donc les trackers ne peuvent pas suivre les empreintes digitales !

Ceci est très efficace contre les empreintes digitales lorsqu’il est bien fait. Tor Browser a identifié des dizaines d'endroits où des travaux devaient être effectués pour que tous leurs navigateurs se ressemblent dans toutes leurs caractéristiques. Ceci est important car il est facile pour un utilisateur qui modifie des paramètres individuels dans le but de supprimer les trackers de rendre son navigateur plus facile à identifier pour les trackers.

Enfin, un outil permet d'élaborer une liste de trackers et de les bloquer directement. C’est la méthode utilisée par de nombreux modules complémentaires ou extensions de navigateur, tels que Privacy Badger d’EFF. En bloquant les trackers, ces outils sont capables de supprimer la majeure partie des trackers d’empreintes digitales chargés dans le navigateur. Les trackers tiers, qui constituent la majorité de ceux qui utilisent les empreintes digitales pour identifier les utilisateurs, ne sont pas en mesure d'identifier les navigateurs des utilisateurs.

Bien qu’il s’agisse d’une méthode très efficace pour bloquer les empreintes digitales, elle ne bloque pas complètement la possibilité de prendre des empreintes digitales. Les trackers plus sournois qui n’ont pas encore été identifiés, ou les empreintes digitales effectuées directement par un site visité par l’utilisateur plutôt que par un tiers, seront le plus souvent autorisés. Le blocage des empreintes digitales connues est suffisant dans la plupart des cas d’utilisation, mais ne garantit pas un fort anonymat.

Ne personnalisez pas vos propres paramètres pour lutter contre les empreintes digitales anchor link

La personnalisation des paramètres par vous-même pour lutter contre les empreintes digitales aboutit rarement au résultat escompté.

Par exemple, vous pourriez être enclin à remplacer la chaîne d'agent utilisateur de navigateur, qui identifie le navigateur et la version que vous utilisez, par la chaîne d'agent utilisateur de navigateur la plus couramment utilisée sur le Web. Cela a un sens intuitif : l'utilisation d'une chaîne d'agent utilisateur commune entraînera une empreinte digitale plus courante et moins traçable, n'est-ce pas ? Dans certains cas, cependant, l'utilisation de la chaîne d'agent utilisateur la plus courante vous permettra d'obtenir plus d'empreintes digitales, pas moins. C’est contre-intuitif : comment le choix d’une métrique plus courante pourrait-il en faire ressortir davantage ?

Cela dépend de l’indépendance de votre chaîne d’agent utilisateur par rapport aux autres mesures d’empreintes digitales de votre navigateur. Par exemple, Safari sur iOS est en fait un navigateur assez peu imprimable, en raison de la similitude relative du matériel, des logiciels et des pilotes sur les différents appareils. La plupart des utilisateurs de Safari pour iOS se ressemblent relativement.

Mais Safari pour iOS n’est pas de loin l’agent utilisateur le plus courant sur le Web. Supposons pour l'instant que la dernière version de Chrome pour Windows soit l'agent utilisateur le plus courant. Si l'utilisateur devait modifier la chaîne de l'agent utilisateur dans Safari pour iOS en Chrome pour Windows, sans rien changer d'autre, elles apparaîtraient complètement uniques. Ils seraient les seuls à disposer des résultats Safari pour iOS pour les empreintes digitales sur toile et de l'agent utilisateur Chrome pour Windows.

C'est pourquoi ceux qui tentent d'éviter les empreintes digitales doivent faire très attention à ne pas nuire accidentellement à leur vie privée au lieu de l'aider. Afin de vous intégrer, vous devez rejoindre un « pool de confidentialité » d’autres utilisateurs qui ont exactement la même empreinte digitale que vous sur toutes les mesures. Pour ce faire, le plus sûr n'est pas de modifier les paramètres individuellement, mais plutôt de choisir quelque chose comme Tor Browser, Brave ou Firefox qui utilisent des techniques pour rendre toutes les instances de leur navigateur relativement communes.