Menu Fermer

ETag et le pistage des internautes sans cookies

Cette entrée fait partie d'une série de 5 sur 21 dans la série Le pistage sur internet : Le dossier

Il existe de nombreuses techniques et technologies pour pister les internautes.
On connaît l’empreinte digitale des navigateurs internet (Browser Finger Printing), les tracking cookies
Cet article évoque le pistage par l’Etag.
Le fonctionnement est assez similaire aux tracking cookies, de ce fait, par extension, on peut nommer cette méthode :  HTTP cookies.

Le but est de comprendre cette technique et comment s’en protéger.

ETag et le pistage des internautes sans cookies

Pistage des internautes : technique de l’Etag

Pour ne pas refaire le monde, voici la définition de la page Wikipedia sur le Etag.

Un ETag est un identifiant unique opaque assigné par le serveur web à chaque version d’une ressource accessible via une URL. Si la ressource accessible via cette URL change, un nouvel ETag différent du précédent sera assigné. Utilisés ainsi, les ETags sont similaires à des empreintes digitales, et peuvent être rapidement comparés pour vérifier si deux versions sont identiques, et ainsi savoir si une demande peut être honorée par un cache local ou pas.

Source Wikipedia

Un serveur WEB attribue à ses ressources un identifiant (ETags).
Lorsqu’un navigateur internet demande une page internet, les ressources (images, etc) sont envoyées par le serveur WEB au navigateur internet avec un identifiant Etag.
Cela permet lorsque vous retournez sur la page, de savoir si cette ressource a été modifiée entre temps, si ce n’est pas le cas, le navigateur internet pioche dans son cache internet au lieu de redemander la ressources.
Cela permet d’économiser de la bande passante des deux côtés et faire en sorte que les pages internet se charge plus vite.
Le schéma ci-dessous récapitule cette transaction :

Le pistage par l'Etag en théorie

Ci-dessous, la réponse avec l’en-tête HTTP avec les champs ETags.

Le champs Etag sur une requête HTTP qui peut-être utilisé pour vous pister

Avec l’identifiant et la date, il est alors possible de générer un identifiant unique afin de vous pister.

Pour tester ce pistage utilisateur, vous pouvez vous connecter au site suivant : https://ochronus.com/tracking-without-cookies/
Ce dernier est capable d’afficher la dernière connexion établie et la date.
Il peut lier votre passage à une information saisie pour la ré-afficher lors d’un prochain passage.
Le site est donc capable de vous reconnaître et vous pister.

Contre mesure du HTTP cookies

Il n’y a pas vraiment de mesures efficaces. Les extensions de protection de la vie privée ne semble pas protéger contre ce type de pistage.
Si vous tester le lien précédent, dans la majorité des cas, le site est capable de vous pister.
Pour qu’il ne puisse plus vous reconnaître, il faut vider le contenu du site : Comprendre le cache internet et de Windows

ETag et le pistage des internautes sans cookies
ETag et le pistage des internautes sans cookies

En théorie donc pour être protégé, il faudrait soit suivre ces recommandations :

Ces deux solutions possèdent un inconvénient, vous ne bénéficiez plus du cache de votre navigateur internet notamment dans le second cas.
Ainsi à chaque connexion, tout le contenu est re-télécharger, cela bouffe la bande passante et peut ralentir le chargement des pages internet.

Ainsi, d’autres solutions de filtrages existent notamment avec des extensions de protections telles que :

Autres liens autour du pistage des internautes

De manière générale, tous les tutos sur les navigateurs WEB dans le menu : navigateurs WEB.

Notre dossier sur le Web Tracking sur internet et aussi Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
Il existe aussi un article dédiée à la protection des mouchards sur internet.