Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Etude de l'EFF : votre navigateur est unique et il vous trahit
Même sans cookies, les web-marketeurs ne s'y trompent pas

Le , par Gordon Fowler

0PARTAGES

4  0 
Aucune configuration d'internaute ne ressemble à une autre.

C'est ce qui ressort d'une étude de l'Electronic Frontier Foundation (EFF) qui révèle que 84 % des combinaisons système d'exploitation / navigateurs / plug-ins / etc. sont absolument uniques.

Et alors ? - direz-vous.

Et alors, ces données ne sont pas camouflées. Elles donc largement et très facilement accessibles par les sites webs, y compris en mode de navigation furtive (ou privée). Et ce, même avec les cookies désactivés.

Autrement dit, chaque navigateur laisse une empreinte unique (l'étude parle de « fingerprints »). Une empreinte facilement accessible qui permet de dresser le profil d'un internaute (sans pour autant le lier à une identité réelle).

L'intérêt devient tout de suite plus évident.

Les experts en webmarketing les plus précurseurs ne s'y sont d'ailleurs pas trompés. Le traçage sans l'aide des cookies semble être un secteur d'avenir.

Et pas que pour le pire.

La société ThreatMetrix a par exemple utilisé cette technique d'identification de navigateur pour contrer une fraude massive.

Des cybercriminels serbes avaient récupéré des numéros de cartes bleues volées. Ils ont alors essayé de multiplier les transactions à 1,99 dollars sur un site marchand. Chaque transaction était faite depuis une IP différente. Mais cette « empreinte » du navigateur restait la même. Plusieurs IP, un même profil. La supercherie était dévoilée.

L'EFF précise qu'à 94 %, les navigateurs donnent suffisamment d'informations pour être différenciés les uns des autres.

Les informations qu'ils livrent touchent l'OS, le navigateur lui même, sa version, ses plug-in, l'écran, sa résolution, ses couleurs, la langue par défaut et les polices de caractères installées.

Comme le contrôle des cookies se fait de plus en plus facilement - et que dans une moindre mesure, les proxys et autres VPN commencent à se démocratiser - les webmarchands sont particulièrement intéressés par cette nouvelle source d'informations.

D'autant plus qu'il est « très difficile », d'après les dires du responsable de l'étude, de camoufler ces données.

« Analyser l'empreinte d'un navigateur est une technique puissante, et cette empreinte doit être prise en compte aussi sérieusement que les cookies et les adresses IP quand nous parlons de respect de la vie privée des utilisateurs ».

L'étude « How Unique Is Your Web Brower » note cependant que quelques navigateurs sont – pour l'instant – épargnés. Principalement ceux des smartphones. L'explication tient au fait que la diversité des configurations est beaucoup plus limitée sur ces terminaux que sur les ordinateurs de bureaux.

En revanche les extensions comme NoScript (qui bloque le JavaScript) pour Firefox ou Tor (The Onion Router) seraient particulièrement efficaces pour se préserver de ce traçage.

Efficace mais pas encore si « user friendly » que cela, surtout pour Tor.

« Nous espérons que les développeurs de navigateurs travailleront pour réduire ces risques d'intrusions dans la vie privée dans les futures versions de leurs codes », conclue l'étude.

Un beau vœu pieux ?

Source :

L'étude « How Unique Is Your Web Brower » (pdf)
La page test de l'EFF qui montre ce que votre navigateur révèle sur vous

Lire aussi :

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Webmarketing
JavaScript
Développement Web

Et vous ?

Cette étude est-elle un nouveau FUD ?
Ou cette analyse vous parait-elle pertinente ? Et quelles solutions préconisez-vous pour luter contre cette « empreinte » des navigateurs ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Marc Lussac
Rédacteur en Chef https://www.developpez.com
Le 18/05/2010 à 18:13
Citation Envoyé par gangsoleil Voir le message
Bonjour,
Ce qui est drole, c'est de voir que d'un cote, Facebook declare 450 millions de membres, dont une grande partie qui ne sait pas proteger ses donnees, et de l'autre on recommande la plus grande attention quand aux plugins que l'on peut devoiler a son insu dans un navigateur ??
Je ne sais pas si c'est ça la question.
Quand tu es webmaster, si tu regardes bien les informations que tu peux récupérer sur un visisteur tu te rends compte qu'avec les numéros de versions et le nombre important de données, la combinaison de l'ensemble fait que dans plus de 80% des cas tu peux identifier un visiteur, même sans cookies.

Donc pour les visiteurs qui veulent êtres anonymes, masquer son IP (en passant par un proxy par exemple) ne suffit pas, puisqu'on peut tracer un visiteur par les informations techniques navigateurs accessibles aux webmaster du site.

Citation Envoyé par gangsoleil Voir le message

Les gens sont volontaires pour donner des informations, donc je ne vois pas en quoi une information de plus ou de moins va changer quoi que ce soit. C'est juste un nouveau moyen de glaner des informations pour le marketing, afin de vendre des pubs ciblees.
Ca ne sert pas que pour la pub, ça peut servir à autre chose, comme par exemple à un webmaster d'un forum pour identifier un saboteur récidiviste, ou à tout autre usage...

Je dirais que l'utilité de la news est de prévenir les visiteurs qu'ils sont traçables facilement sur le net, pas que avec leur adresse IP, mais aussi avec leurs informations navigateur. C'était déjà le cas avant, mais avec la multiplication des navigateurs, des versions, des versions des OS, des plugings, etc, l'identification deviens de plus en plus exacte c'est ça la nouveauté...

Désactiver les cookies et passer par un proxy n'est pas suffisant pour être anonyme, il faut le savoir.

Effectivement d'un point de vue marketing tu peux te demander pourquoi certains sites arrivent à afficher des pubs totalement ciblées, genre un jour tu as acheté sur internet un pack de bière, et pendant un mois tu ne vas voir que des pubs sur la bière, au bout d'un moment c'est soulant (c'est le cas de le dire ), et bien il faut savoir que même cookies désactivés, c'est techniquement possible de le faire, avec une régie qui te suit à la trace quelque soit le site, vu que la régie peut passer sur plusieurs sites.

Big brother is watching you
3  0 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 19/05/2010 à 22:28
Citation Envoyé par superresistant Voir le message
Là je vois bien le danger, mais je ne vois ce que va déduire mon employeur ou mon banquier de mon navigateur web et des polices installés sur ma machine.
Tout mon blabla ne portait pas sur cette news en particulier, mais avait pour but de situer l'info dans un certain contexte. Je vais prendre le temps de me faire comprendre...

Tu as demandé en quoi les données récupérées sur ton navigateur pourraient te nuire. Tu as demandé des exemples. Et bien je t'en ai donné, tout simplement Si tu n'as pas conscience de la terrible guerre pour l'information qui se livre en coulisse, tu peux lire des pages et des pages de news comme celle-ci sans que cela ne t'apporte quoi que ce soit dans ta vie. Regarde donc : en très peu de temps, 2 entreprises sorties de nulle part sont devenues gigantesques : Google et FaceBook. Elles ont tout explosé en terme de croissance / revenus / ... sans rien te faire payer ! C'est gratuit ! Des milliards de $$$ pleuvent sans qu'aucun ne sorte de ta popoche !!? Autant de puissance en si peu de temps sans rien faire payer aux gens... personnellement, ça m'interpelle. Alors, je cherche à comprendre, à développer une vue d'ensemble. Comment qu'on fait ?

Quand j'ai besoin de comprendre comment est architecturé un logiciel compliqué, je cherche à synthétiser des éléments microscopiques pour les assembler, les connecter, les relier. Et de cette interconnexion des éléments, j'obtiens un beau diagramme UML qui me permet, en un rapide coup d'oeil, d'appréhender les millons de ligne de code. En revanche, si je ne dégage pas cette vue d'ensemble du système, tout est laborieux, source de confusion et de problèmes : j'apprends très lentement et dans la douleur. Et bien c'est exactement la même chose dans la vie.

Donc, cette infiormation qui tombe aujourd'hui, en elle-même, elle n'est d'aucun intérêt. Elle n'a de sens que si on la situe dans un contexte (ça aussi c'est valable avec tout le reste en général), que si on la relie à un ensemble d'autres petites informations. Et quand on commence à dégager le diagramme UML de l'environnement dans lequel on baigne, alors on réalise tous les jours un peu plus qu'on n'est qu'une bille qui se fait trimballer dans un méga flipper, et on éprouve le désir d'être un peu moins spectateur de sa vie et un peu plus acteur. Voilà donc pour la parenthèse - excusez mon roman.

Si tu te situes dans le contexte "tout ce que tu mets sur le web t'échappe car d'autres s'en emparent sans qu'il te soit possible de le récupérer", alors il devient intéressant d'être informé de tout ce que tu es susceptible de laisser sur le web. Et c'est simplement en cela que cette brève est intéressante. Rien de plus!

Citation Envoyé par superresistant Voir le message
Google peut encore rêver ça ne me dérange pas.
On va inverser l'approche. Si demain Google te permet en toute discrétion de consulter 10 mails de ton choix dans la boite mail de n'importe qui de ton choix [qui est chez GMail] contre la modique somme de 10€, que ferais-tu ? Idem pour FaceBook. Prends bien le temps de réfléchir à l'énorme profit que tu pourrais en tirer, et alors, tu comprendras peut être 2 choses essentielles :
- il y a les vendeurs de lait d'un côté, et ceux qui se font traire de l'autre
- tu es au centre du problème

Citation Envoyé par dams78 Voir le message
Ya quand même une petite différence (je trouve).
Certainement, mais ce n'était pas mon propos. Je me souviens juste que la première fois que je suis entré dans une pizzeria sous vidéo surveillance il y a 10 ans j'ai été super choqué. Aujourd'hui, dans une (petite) pharmacie, je "m'amuse" à remarquer comment les 13 (!) caméras présentent font partie du décor, de même que le vigile à l'entrée. Je ne suis plus choqué, mais j'arrive encore - parfois - à m'étonner que 4 caméras puissent servir à surveiller un rayon de brosses à dents, et de la docilité avec laquelle je montre mon ticket de caisse (2€30) à la sortie.

Sur la base de cette expérience personnelle, je garde simplement à l'esprit que ce qui me parait absurde / révoltant aujourd'hui pourra facilement faire partie de mon décor demain. Et ça me fait réfléchir, c'est tout
2  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 18/05/2010 à 17:28
Bonjour,

Ce qui est drole, c'est de voir que d'un cote, Facebook declare 450 millions de membres, dont une grande partie qui ne sait pas proteger ses donnees, et de l'autre on recommande la plus grande attention quand aux plugins que l'on peut devoiler a son insu dans un navigateur ??

Les gens sont volontaires pour donner des informations, donc je ne vois pas en quoi une information de plus ou de moins va changer quoi que ce soit. C'est juste un nouveau moyen de glaner des informations pour le marketing, afin de vendre des pubs ciblees.
1  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 19/05/2010 à 12:14
Reste pas bloqué sur google, le problème c'est pas google ici, mais la possibilité technique de constituer ces fichiers. Et ce par n'importe qu'elle entreprise (ou gouvernement) qui y mettrait les moyens.

Et même si comme toi on décide de ne penser qu'à google, qu'est-ce qui te permet d'affirmer avec certitude qu'à l'avenir, jamais ils ne chercherons a vendre leurs fichiers (ça coûte très cher sur le marché) ou encore que jamais il se le feront voler ?

Si la constitution de tels fichiers est illégales, c'est pas pour rien ! L'histoire est pleines d'exemples !

Et même sans penser au pire (sinon on va crier a la paranoïa). Si je ne souhaite pas que ce genre d'information soit recueilli, et quelle qu'en soit la raison. C'est bien mon droit non ?!
Pourquoi ne devrais-je pas pouvoir faire ce choix sous prétexte que pour le moment elles ne servent que de la pub ?!

Pourquoi le simple objectif d'un fichier (la publicité dans ton exemple google) devrait permettre de définir les informations qu'il est possible ou non de recueillir et la façon de le faire ?
Pour de la pub ? C'est bon, vous pouvez tout pomper et sans demander.
Pour un classement des population ? Ah ben non, là vous pouvez pas. Dites officiellement que c'est pour de la pub, après c'est plus notre problème.
1  0 
Avatar de superresistant
Futur Membre du Club https://www.developpez.com
Le 19/05/2010 à 14:02
Citation Envoyé par koala01 Voir le message
ne pas aller mettre votre nez là où mon chien ne mettrait pas son cul
tout est dit
1  0 
Avatar de Bryce de Mouriès
Membre averti https://www.developpez.com
Le 18/05/2010 à 17:30
Hum ça fait un peu peur tout ça :/
Mais du moment qu'on change la moindre informations la trace changera, comme l'ajout la retrait d'un plugin, des outils vont donc certainement apparaître pour contrer cette combine.

Par contre ça me réconforte que TOR est toujours efficace mais je ne comprend pas pourquoi en fait. Par contre je le trouve très user friendly, il s'installe très facilement, puis avec le plugin sur FF qui va avec il suffit d'appuyer en bas de la fenêtre pour passer dans le réseau TOR et inversement, rien de plus simple !
0  0 
Avatar de
https://www.developpez.com
Le 18/05/2010 à 19:36
Cette identification est la meilleure et la pire des choses alors.

L'idéal serait de garder le bon et se débarrasser du pire.

Pour se protéger d'une fraude à la carte il faudrait confier volontairement des infos d'identification à un "tiers de confiance" et brouiller le profil public en acceptant des mime-types aléatoires à chaque GET http...

Problème :
Le tiers de confiance n'existe pas
Le proxy de brouillage de profil non plus
0  0 
Avatar de Marc Lussac
Rédacteur en Chef https://www.developpez.com
Le 18/05/2010 à 19:45
Citation Envoyé par unBonGars Voir le message
Cette identification est la meilleure et la pire des choses alors.
Exactement, c'est un outil qui peut être utilisé à bon ou mauvais escient.
0  0 
Avatar de trenton
Membre éclairé https://www.developpez.com
Le 18/05/2010 à 19:45
Ca ne sert pas que pour la pub, ça peu servir à autre chose, comme par exemple à un webmaster d'un forum pour identifier un saboteur récidiviste, ou à tout autre usage...
Ben, il suffit d'utiliser deux navigateurs...
0  0 
Avatar de Marc Lussac
Rédacteur en Chef https://www.developpez.com
Le 18/05/2010 à 19:47
Citation Envoyé par trenton Voir le message
Ben, il suffit d'utiliser deux navigateurs...
Il reste d'autres infos traçables (ton os, etc...)
Et puis à chaque fois que tu veux faire un truc en anonyme (pour une raison qui t'est propre) tu vas installer un nouveau navigateur ?
0  0