Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute
Même s'il se sert de plusieurs navigateurs

Le , par Stéphane le calme, Chroniqueur Actualités
Disposant de paramètres variés, le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, est souvent utilisé par des sites web par exemple pour diffuser de la publicité ciblée. Parmi ces paramètres, nous pouvons citer l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

Pour combattre ce fléau, les ingénieurs de Mozilla ont annoncé que dans la version à venir de Firefox (Firefox 52), qui sera disponible le 7 mars prochain, le navigateur va intégrer un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. L’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer qu’une liste standard de polices installées par défaut sur chaque système d'exploitation. Dans cette liste pourront figurer des polices que vous aurez incluses au préalable sur une liste blanche.

Mais des chercheurs ont affirmé avoir mis au point une nouvelle technique qui, en plus de fonctionner sur plusieurs navigateurs, va rendre plus précises que les techniques existantes les empreintes numériques sur un navigateur unique.

« Dans cet article, nous proposons une technique de fingerprinting du navigateur qui permet de pister les utilisateurs non seulement sur un navigateur, mais aussi sur différents navigateurs sur la même machine. Plus précisément, notre approche utilise de nombreuses nouvelles fonctionnalités apportées par les systèmes d’exploitation et au niveau des hardwares, comme celles des cartes graphiques, des CPU. Nous extrayons ces fonctionnalités en demandant aux navigateurs d’effectuer des tâches qui reposent sur le système d'exploitation et les fonctionnalités matérielles correspondantes », ont indiqué les chercheurs.

« Notre évaluation montre que notre approche peut identifier avec succès 99,24 % des utilisateurs contre 90,84 % pour l'état de l’art sur l'empreinte numérique d'un seul navigateur avec le même ensemble de données. En outre, notre approche peut atteindre un taux d'unicité plus élevé que la seule approche multinavigatrice avec une stabilité similaire ».

La nouvelle technique de pistage repose sur un code JavaScript suffisamment compact pour s'exécuter rapidement en arrière-plan tandis que les visiteurs se concentrent sur une tâche spécifique, comme lire du texte ou visionner des vidéos. Les chercheurs ont lancé un site pour démontrer les techniques qu’ils ont évoqués dans leur article et ont publié le code source correspondant. Durant une phase de test qui a recueilli 3615 empreintes digitales de 1903 utilisateurs sur une période de trois mois, la technique a réussi à identifier 99,24 % des utilisateurs. En revanche, une technique d'empreintes digitales à un seul navigateur, appelée AmIUnique, avait un taux de réussite de 90,8 %.

Le fingerprinting n’est pas nécessairement mauvais, tout est une question de perspective. Par exemple, certains pourraient approuver que les banques puissent s’en servir : s’appuyant sur l’empreinte numérique, la banque pourrait détecter si un individu tente de se connecter depuis un ordinateur qui n’a pas été utilisé pour entrer dans son compte bancaire. La banque pourrait alors vérifier la légitimité de cette opération avec le titulaire du compte via un appel téléphonique. Néanmoins, la plupart du temps, les empreintes numériques soulèvent des inquiétudes sur la vie privée.

« D’une perspective négative, les gens peuvent utiliser notre pistage multinavigateur pour violer la confidentialité des utilisateurs en diffusant des annonces personnalisées » , a déclaré à Ars Yinzhi Cao, chercheur principal qui est professeur adjoint dans le département informatique et ingénierie de l'Université Lehigh. « Notre travail rend le scénario encore pire, car même si l'utilisateur change de navigateur, la régie publicitaire sera encore en mesure de le reconnaître. Afin de vaincre la violation de la vie privée, nous pensons que nous devons bien connaître notre ennemi ».

Les chercheurs envisagent d’améliorer leurs recherches en s’intéressant par exemple à la protection qu’offre la virtualisation.

site web pour tester l'empreinte numérique

code source (GitHub)

Source : article des chercheurs (au format PDF)

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système en se servant d'un mécanisme de liste blanche


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Mingolito Mingolito - Membre chevronné https://www.developpez.com
le 15/02/2017 à 13:51
Et le navigateur Tor peut il aussi en être victime ou pas ?
Avatar de raphchar raphchar - Membre confirmé https://www.developpez.com
le 16/02/2017 à 8:19
Bon, j'ai testé, et … mes empreintes IE (pour une fois que ça sert ) et FF sont différentes (ouf). Bon il faut dire que c'est pas insensible au navigateur (ouf).
Après, firefox indique que ce script ne répond pas à un certain moment donc, ça doit être un peu lourd.
Et je ne comprends pas, si on ajoute des plugins, change un peu les fonts, l'empreinte est-elle censée rester la même.

@Mingolito: Sur Tor, il me semble que l'extension NoJS bloque l’exécution des scripts.
Avatar de stigma stigma - Membre éprouvé https://www.developpez.com
le 17/02/2017 à 16:26
Comme Mingolito, je pense que Tor n'a rien à craindre !
Avatar de Fagus Fagus - Membre régulier https://www.developpez.com
le 17/02/2017 à 23:13
si on veut éviter l'empreinte unique, chose très utile lors de l'achat des billets d'avion (les compagnies montent les prix au fil du temps et peuvent servir des tarifs différents selon les profils), ma technique du navigateur isolé dans une machine virtuelle dédiée et jetable, avec IP différente, reste assez robuste je pense.
Je les mets au défit de trouver des fontes, temps de calcul ou de latences similaires etc.

Mon profil de session commence à me donner des prix en augmentation ? Pas de soucis : remise à zéro, nouvelle identité et c'est magique, c'est moins cher.
Avatar de mm_71 mm_71 - Membre habitué https://www.developpez.com
le 18/02/2017 à 6:41
La nouvelle technique de pistage repose sur un code JavaScript
Une nouvelle preuve que javascript est le meilleur ennemi de l'homme...

A part ça j'ai fait trois tests de la page indiquée.

Firefox Linux: Même en débloquant le javascript et les requêtes externes ( Extension Requestpolicy ) il ne se passe rien, j'ai juste un bouton "get my fingerprint".
Midori Linux version brute de décoffrage: Encore mieux J'ai un bouton "running" une ligne qui dit Fingerprinting GPU... et un beau message d'erreur: "JavaScript: Your browser does not support WebGL".
Tor browser: Avec ou sans les extensions activées résultats identiques qu'avec un firefox "normal".

Encore une grande réussite à la gloire des pubars...
Avatar de jfduflot jfduflot - Membre à l'essai https://www.developpez.com
le 18/02/2017 à 10:22
Utilisation justifiée d'empreintes numériques par les banques : Il me semble que c'est déjà fait, au moins sur les smartphones : La "banque" allemande N26 identifie l'utilisateur à partir des caractéristiques de son smartphone. Vous pouvez changer de puce et de numéro sans conséquence, mais si vous changez de smartphone il faut recommencer la procédure de reconnaissance de l'appareil.
Avatar de alexetgus alexetgus - Membre à l'essai https://www.developpez.com
le 18/02/2017 à 11:09
Pas tout à fait au point leur histoire.
Leur script plante lamentablement quel que soit le navigateur utilisé.

Donc, le fingerprint "undefined", c'est moi !
Avatar de Ngork Ngork - Membre éclairé https://www.developpez.com
le 20/02/2017 à 17:43
Curieux (et vaguement inquiet), j'ai testé aussi depuis mon petit Linux Mageia avec les navigateurs classiques.
Avec Firefox et Web Chromium, en autorisant le JS, l'analyse a très bien fonctionné quoiqu'un peu lente et dégradant fortement les performances (processeur et carte graphique ne sont pas vraiment jeunes non plus), mais cela donne des empreintes différentes ... tant mieux ! Avec Epiphany et Konqueror, cela a lamentablement échoué !

Je suppose que le site de test est destiné à affiner les algorithmes et améliorer l'identification ...
Avatar de Mingolito Mingolito - Membre chevronné https://www.developpez.com
le 20/02/2017 à 17:55
Citation Envoyé par stigma Voir le message
Comme Mingolito, je pense que Tor n'a rien à craindre !
Je n'en pense rien j'ai juste posé une bête question :

Citation Envoyé par Mingolito Voir le message
Et le navigateur Tor peut il aussi en être victime ou pas ?
Offres d'emploi IT
Ingénieur développement logiciel embarqué temps réel (model based) H/F
Safran - Ile de France - VILLAROCHE
Responsable de lot vérification et qualification (IVVQ) H/F
Safran - Alsace - MASSY Hussenot
Responsable de projet logiciel H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil