Des chercheurs américains et belges ont démontré une nouvelle technique permettant d’identifier un navigateur ou une machine afin de suivre en permanence son comportement de surf, sans moyen de la bloquer.
Les cookies vous les connaissez, depuis le temps que vous les côtoyez, et vous vous en méfiez comme de la peste, eux qui disent tout de votre navigation sur le Web. Avec l’aide de quelques logiciels adéquats, vous avez même réussi à les faire taire et à surfer en vous disant que la Toile était encore un espace de liberté non surveillée. Ca, c’était jusqu’au 1er juillet dernier.Surfez, vous êtes identifié
Enfin, disons que c’est la date à laquelle l’illusion a pris un sérieux coup dans l’aile. C’est en effet le 1er juillet dernier que des chercheurs de l’université de Louvain et de Princeton ont publié un rapport sur une de leur découverte : une application d’une méthode de pistage de l’utilisateur en ligne, théorisée pour la première fois en 2012.
Cette technique s’appelle canvas fingerprinting et consiste à demander au navigateur de générer une image cachée à partir de texte.
Selon ces chercheurs, en utilisant l’API Canvas, implémentée dans les navigateurs récents, il est possible d’identifier de manière unique – d’où le terme d’empreinte – un navigateur ou un appareil qui accède au Web. La différence permettant l’identification se ferait dans la façon dont est « rendu » le texte.
Ce dernier sera affiché différemment en fonction du système d’exploitation, de la librairie de polices de caractère, de la carte graphique et de ses pilotes, du navigateur, des réglages de l’anti-aliasing, du « lissage des sous-pixels » et même l’écran.
Il suffirait d’une fraction de seconde pour que cette empreinte soit prise, sans bien sûr que l’utilisateur soit au courant et sans qu’il ne puisse vraiment s’y opposer.
Une tendance encore naissante
Pour prendre la mesure de la menace qui pèse sur nos épaules, les six chercheurs sont partis à la chasse au script permettant au « canvas » d’identifier un appareil. Le résultat est assez impressionnant. Sur les 100 000 sites les plus fréquentés dans le monde selon Alexa, plus de 5,5% de ces sites contiennent le script.
Nos confrères de Propublica indiquent que des sites aussi différents que YouPorn.com ou WhiteHouse.org sont ainsi concernés par ce système de « suivi ». Mais le plus intéressant est de constater que 95% de ces espions proviennent d’une seule et même source : Addthis. Une société, fondée en 2006, qui « combine les meilleurs outils marketing du Web avec le big data et les services de ciblage de l’audience ».
Difficile, voire impossible à bloquer
Le problème de cette méthode d’identification est qu’elle ne peut pas être bloquée en utilisant les outils habituels garantissant notre vie privée en ligne, qu’ils soient intégrés aux navigateurs ou installés par l’utilisateur, comme AdBlock Plus.
Mais cette relative impossibilité à bloquer cette prise d’empreinte de la machine est d’autant plus inquiétante qu’elle semble pouvoir être mise en place à l’insu de l’administrateur du site.
Ainsi, Propublica indique que YouPorn a annoncé ne pas être au courant de la présence de ce « module » sur son site. Il est en effet présent dans l’outil de partage social d’AddThis.
Evidemment, comme pour les cookies, qu’ils soient permanents ou temporaires, l’objectif de ce canvas fingerprinting est de récolter des données sur les utilisateurs pour pouvoir dresser leur profil. Richard Harris, directeur général d’AddThis, ne s’en cache d’ailleurs pas. Il déclarait à nos confrères : « Nous cherchons une alternative aux cookies ». C’est pourquoi sa société a commencé à les tester en début d’année. Evidemment ses équipes se sont posées la question du respect de la vie privée avant de se lancer dans cette opération mais ont conclu que ce procédé « s’inscrivait parfaitement dans les règles et régulations, lois et règlements que nous avons ».
Les Internautes sont évidemment tout à fait en droit de ne pas être de cet avis, même si effectivement l’empreinte n’est qu’un chiffre et n’est pas associé à un nom ou à une personne… Pour autant, la vie privée semble bien mal en point.
La bonne nouvelle pourrait être que cette technologie ne semble être précise qu’à 90% et ne pas bien fonctionner sur mobile. Or, c’est sur cette plate-forme que se porte actuellement le marché publicitaire. Le canvas fingerprinting pourrait donc ne pas devenir le remplaçant tant attendu des cookies. Un vague espoir alors que le débat sur le Do Not Track continue de s’enliser et semble tout à coup bien obsolète.