Disposant de paramètres variés, le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, est souvent utilisé par des sites web par exemple pour diffuser de la publicité ciblée. Parmi ces paramètres, nous pouvons citer l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc. Pour combattre ce fléau, les ingénieurs de Mozilla ont annoncé que dans la version à venir de Firefox (Firefox 52), qui sera disponible le 7 mars prochain, le navigateur va intégrer un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. L’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer qu’une liste standard de polices installées par défaut sur chaque système d'exploitation. Dans cette liste pourront figurer des polices que vous aurez incluses au préalable sur une liste blanche.
Mais des chercheurs ont affirmé avoir mis au point une nouvelle technique qui, en plus de fonctionner sur plusieurs navigateurs, va rendre plus précises que les techniques existantes les empreintes numériques sur un navigateur unique.
« Dans cet article, nous proposons une technique de fingerprinting du navigateur qui permet de pister les utilisateurs non seulement sur un navigateur, mais aussi sur différents navigateurs sur la même machine. Plus précisément, notre approche utilise de nombreuses nouvelles fonctionnalités apportées par les systèmes d’exploitation et au niveau des hardwares, comme celles des cartes graphiques, des CPU. Nous extrayons ces fonctionnalités en demandant aux navigateurs d’effectuer des tâches qui reposent sur le système d'exploitation et les fonctionnalités matérielles correspondantes », ont indiqué les chercheurs.
« Notre évaluation montre que notre approche peut identifier avec succès 99,24 % des utilisateurs contre 90,84 % pour l'état de l’art sur l'empreinte numérique d'un seul navigateur avec le même ensemble de données. En outre, notre approche peut atteindre un taux d'unicité plus élevé que la seule approche multinavigatrice avec une stabilité similaire ».
La nouvelle technique de pistage repose sur un code JavaScript suffisamment compact pour s'exécuter rapidement en arrière-plan tandis que les visiteurs se concentrent sur une tâche spécifique, comme lire du texte ou visionner des vidéos. Les chercheurs ont lancé un site pour démontrer les techniques qu’ils ont évoqués dans leur article et ont publié le code source correspondant. Durant une phase de test qui a recueilli 3615 empreintes digitales de 1903 utilisateurs sur une période de trois mois, la technique a réussi à identifier 99,24 % des utilisateurs. En revanche, une technique d'empreintes digitales à un seul navigateur, appelée AmIUnique, avait un taux de réussite de 90,8 %.
Le fingerprinting n’est pas nécessairement mauvais, tout est une question de perspective. Par exemple, certains pourraient approuver que les banques puissent s’en servir : s’appuyant sur l’empreinte numérique, la banque pourrait détecter si un individu tente de se connecter depuis un ordinateur qui n’a pas été utilisé pour entrer dans son compte bancaire. La banque pourrait alors vérifier la légitimité de cette opération avec le titulaire du compte via un appel téléphonique. Néanmoins, la plupart du temps, les empreintes numériques soulèvent des inquiétudes sur la vie privée.
« D’une perspective négative, les gens peuvent utiliser notre pistage multinavigateur pour violer la confidentialité des utilisateurs en diffusant des annonces personnalisées » , a déclaré à Ars Yinzhi Cao, chercheur principal qui est professeur adjoint dans le département informatique et ingénierie de l'Université Lehigh. « Notre travail rend le scénario encore pire, car même si l'utilisateur change de navigateur, la régie publicitaire sera encore en mesure de le reconnaître. Afin de vaincre la violation de la vie privée, nous pensons que nous devons bien connaître notre ennemi ».
Les chercheurs envisagent d’améliorer leurs recherches en s’intéressant par exemple à la protection qu’offre la virtualisation.
site web pour tester l'empreinte numérique code source (GitHub)Source : article des chercheurs (au format PDF)
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système en se servant d'un mécanisme de liste blanche 
) et FF sont différentes (ouf). Bon il faut dire que c'est pas insensible au navigateur (ouf).
Envoyé par stigma
