Pistage utilisateur sur internet : Browser FingerPrinting

Cet article traite du pistage utilisateur sur internet à travers le Browser FingerPrinting ou empreinte digitale du navigateur WEB.
Le Browser FingerPrinting est une technique qui vise à identifier le navigateur WEB utilisé de manière unique, ce qui permet ensuite de le pister sur la toile.
Cette méthode et technique est probablement peu connue des internautes.

Je rappelle qu’il existe un article qui traite de manière générale du pistage utilisateur : Web Tracking sur internet.

Pistage utilisateur sur internet

Afin d’expliquer ce qu’est le Browser FingerPrinting, il faut bien comprendre ce quoi repose le pistage utilisateur sur internet.
Ces aspects sont assez détaillés sur la page Web Tracking sur internet, voici donc en résumé les grandes lignes.

Pour pister un utilisateur, il faut être capable de reconnaître ce dernier, le but est donc de pouvoir reconnaître un utilisateur de manière unique parmi la multitudes d’internautes qui vont utiliser un service WEB.
Plusieurs techniques sont utilisées, la plus connue des internautes est probablement le tracking cookie. Cette méthode vise à déposer dans le profil du navigateur WEB, un cookie appartenant à un service WEB en particulier (en général une régie publicitaire). Ce cookie pourra alors être appelé par cette régie à tout moment et depuis n’importe quel site WEB utilisant ce dernier.
Le tracking cookies balisent donc les sites visités où les régies publicitaires sont présentes et permettent de dresser un profil consommateur pour ensuite proposer des publicités ciblées.

Le Browser FingerPrint, lui, consiste à constituer un UID (identifiant) unique du navigateur WEB à travers sa configuration comme (le fuseau horaire, résolution écran, la police utilisée, le user-agent etc).
Un service WEB et notamment les régies publicitaires peuvent alors distinguer n’importe quel navigateur WEB parmi d’autres et donc un potentiel l’internaute qui utilise ce dernier.

Pour les défenseurs de la vie privée, ces méthodes ne sont pas acceptables, vous trouverez quelques extensions qui permettent de vous protéger sur internet de ce type de collecte d’informations.

Démonstration

Démonstration sur un forum de test où un pistage et suivi d’internaute par Browser FingerPrint est présent.
Cela permet en autre de détecter les comptes multiples.

Ci-dessous, vous pouvez voir une connexion sur le forum avec le compte Malekal_morte qui sert de témoin.
Vous avez la date de la session et l’UID de l’empreinte digitale
Puis un autre utilisateur avec le même navigateur WEB utilisant un VPN.

L’empreinte digitale du navigateur WEB étant unique, quelque soit l’IP de connexion, on reconnaît le navigateur WEB utilisé et potentiellement l’internaute qui tente de se cacher derrière un VPN.
Cela permet aussi de suivre un internaute utilisant un ordinateur portable ou une tablette qui serait en vacances ou chez sa famille.

Pistage utilisateur sur internet : Browser FingerPrinting

Le User-agent est la version du navigateur WEB, cette information est envoyé aux sites WEB à chaque requête.
Cette information peut-être modifiée par une extension pour renvoyer une fausse version.

La connexion sur le forum avec le VPN (HideMyAss) utilisant Mozilla Firefox.

Pistage utilisateur sur internet : Browser FingerPrinting

 

Test du suivi utilisateur

Il existe différents sites internet qui permettent de tester son navigateur WEB pour savoir si ce dernier est unique.
Ces sites sont en anglais.

Voici les deux sites les plus connus :

Pistage utilisateur sur internet : Browser FingerPrinting

On retrouve ici différents critères de configuration qui permettent de générer l’empreinte digitale du navigateur WEB et son identifiant unique.Pistage utilisateur sur internet : Browser FingerPrinting

Quelques bémols sur ces sites, aucun ne donne d’identifiant, il n’est donc pas possible de savoir si vous êtes capables en installant des protections de faire varier l’empreinte digitale de votre navigateur WEB.

Pistage utilisateur sur les réseaux sociaux

Les réseaux sociaux utilisent aussi le pistage utilisateur, mais récupèrent aussi des informations que vous donnez sciemment via votre profil.
Ces informations sont ensuite monétisées.
Plus d’informations sur ces aspects sur la page : Le danger des réseaux sociaux

Pistage utilisateur sur les réseaux sociaux

Limite et protection du pistage

Si vous avez bien compris le principe, la reconnaissance unique du navigateur WEB se fait à travers une concaténation de multiples paramètres utilisés par le navigateur WEB.
Ces informations sont transmises du navigateur WEB au serveur WEB.
Il est donc tout à fait possible de générer des informations erronées ou aléatoires. Il peut aussi être possible de détecter le script qui collecte ces données pour le bloquer.
Faire varier ces paramètres vont faire en sorte de modifier l’empreinte digitale et donc générer un nouvel identifiant empêchant ainsi la reconnaissance du navigateur WEB.

Parmi l’une d’elle se trouve la résolution écran de Windows.
En changeant la résolution écran, on obtient un nouvel identifiant d’empreinte digitale.
Bien entendu, si vous remettez la résolution d’écran d’origine, on retrouve l’identifiant de départ.

Pistage utilisateur sur internet : Browser FingerPrinting

Même chose en mettant à jour Mozilla Firefox, un nouvel UID est généré :

Pistage utilisateur sur internet : Browser FingerPrinting

Modifier le user agent ne génère pas un nouvel identifiant.
Dans l’exemple ci-dessous, je génère un useragent kikoo, l’empreinte digital reste inchangé.

Pistage utilisateur sur internet : Browser FingerPrinting

Du coup, j’ai aussi testé quelques extensions :

Aucun des deux ne permet de générer un identifiant aléatoire ou de bloquer la récupération d’informations qui permet de le générer.
Ces deux extensions sont inefficaces contre le Browser FingerPrinting (empreinte digitale).
Avec Privacy Badger le site panopticlick affiche ces informations durant le test :

Pistage utilisateur sur internet : Browser FingerPrinting

NoScript peut bloquer les appels JavaScript qui servent à collecter les informations.
Noscript étant inclut directement dans le navigateur WEB du projet TOR, si vous vous connectez avec TOR, il ya de fortes chances que vous soyez protégés de ce type de suivi utilisateur.

Il existe des extensions qui permettent de bloquer aussi ces appels ou de falsifier les informations envoyés.

Mozilla Firefox

L’extension Random Agent Spoofer pour Firefox permet de générer un identifiant aléatoire en chargeant un nouveau profil de navigateur WEB.
Ce profil peut être changé tous les X minutes ou à chaque requête.

Pistage utilisateur sur internet : Browser FingerPrinting

Pistage utilisateur sur internet : Browser FingerPrinting

On trouve bien une empreinte digitale différente pour chaque session.Pistage utilisateur sur internet : Browser FingerPrinting

L’extension CanvasBlocker fait aussi le boulot.
Les appels du script sont détectées et l’extension envoie des informations biaisées.

Pistage utilisateur sur internet : Browser FingerPrinting

Ainsi, l’identificateur unique est modifié à chaque connexion.

Pistage utilisateur sur internet : Browser FingerPrinting

Google Chrome

L’extension CanvasFingerprintBlock ou CanvasDefender fait le boulot.
Par contre, l’extension StopFingerprinting n’a pas fonctionné, l’identifiant a pu être généré.

Pistage utilisateur sur internet : Browser FingerPrinting

On obtient ceci sur le site de test :

Pistage utilisateur sur internet : Browser FingerPrinting

CanvasDefender permet de choisir le délai où un nouveau canvas est généré.
Vous pouvez aussi ajouter des sites en liste blanche.

Pistage utilisateur sur internet : Browser FingerPrinting

ScriptSafe

ScriptSafe blocage de script sur Chrome ou Firefox qui bloque les scripts et donc le code qui permet d’effectuer ce pistage.
En outre, ScriptSafe donne la possibilité de créer un canvas aléatoire ou vide

Par exemple, ci-dessous, comme les scripts par défaut avec ScriptSafe, il est impossible de charger le code qui va permettre d’effectuer le pistage.

ScriptSafe protection contre le Pistage utilisateur sur internet : Browser FingerPrinting

Quelques autres tests d’extension vie privée

En vidéo présentation du Browser FingerPrinting et quelques testes rapides d’extension qui protège la vie privée contre cette technologie.
Dans cette vidéo, les extensions suivantes sont testées :

  • uBlock
  • Disconnect
  • Ghostery
  • Privacy Badger
  • Trace
  • Privbacy Possum

Conclusion & Liens

Il y a de fortes chances que cette méthode de pistage utilisateur soit utilisée par les régies publicitaires, utiliser un bloqueur de publicités (comme uBlock ou AdBlock) doit limiter la casse.
A l’heure où ont été écrites ces lignes, les habituels extension dites de vie privée, comme Ghostery souvent mises en avant, sont relativement inefficaces.

Par exemple, le site lemonde.fr semble utiliser ce type de tracking utilisateur :

Pistage utilisateur sur internet : Browser FingerPrinting

 

Notre dossier sur le Web Tracking sur internet et aussi Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
De manière générale, tous les tutos sur les navigateurs WEB dans le menu : navigateurs WEB.

(Visité 1 797 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet