Les empreintes digitales numériques sont les nouveaux cookies
La KU Leuven et la Princeton University viennent de dévoiler un nouveau système de pistage en ligne baptisé canvas fingerprinting, grâce auquel des sites web peuvent suivre en secret les activités internet de leurs visiteurs.
La KU Leuven et la Princeton University viennent de dévoiler un nouveau système de pistage en ligne baptisé canvas fingerprinting, grâce auquel des sites web peuvent suivre en secret les activités internet de leurs visiteurs. L’étudiant Ph.D turc Gunes Acar, qui a participé à la recherche pour la KU Leuven, a expliqué à Data News comment ce système fonctionne exactement, quelles informations des utilisateurs sont ainsi exposées et/ou comment le mécanisme peut être sorti du monde virtuel.
“Les sites web exploitent depuis assez longtemps déjà de petits programmes ou scripts leur permettant de créer des profils d’utilisateurs tenant à jour leur comportement de navigation – où ils ont cliqué, ce qu’ils ont acheté en ligne, quelles vidéos ils ont visionnées, etc. Sur cette base, les sites peuvent par exemple proposer des publicités à la mesure de ces utilisateurs”, prétend Acar.
“Initialement, l’on utilisait des cookies pour ce faire, à savoir de petits fichiers de texte contenant des informations sur l’utilisateur stockées dans le navigateur. Chaque fois que vous visitez un site web, votre navigateur transfère automatiquement ces cookies vers les serveurs du site, afin que ce dernier puisse vous identifier. Mais l’utilisateur peut l’en empêcher en supprimant les cookies.” Avec le browser fingerprinting, il en va tout autrement, selon Acar.
“Il s’agit d’un mécanisme de traçage similaire ayant pour objet de reconnaître les utilisateurs et collectant des informations sur vos appareils, navigateurs, système d’exploitation, fuseau horaire, langue, plug-ins,… Ces fragments d’information diffèrent d’un ordinateur à l’autre et peuvent donc servir de moyen d’identification. Mais même si vous supprimez les cookies, les sites web peuvent de nouveau collecter ces renseignements lors de votre prochaine visite et ainsi de nouveau savoir qui vous êtes.”
“Le canvas fingerprinting est la toute nouvelle forme de browser fingerprinting”, ajoute Gunes Acar. “Lorsque vous visitez un site web, une illustration invisible est dessinée sur votre écran avec l’API Canvas – l’une des fonctions récemment ajoutées aux navigateurs, et généralement utilisée pour créer des animations, des jeux ou tout autre contenu interactif.
Ici encore, du fait que les pilotes graphiques, les systèmes d’exploitation et les navigateurs de chaque ordinateur sont différents, les illustrations créées sont uniques et peuvent donc être utilisées pour vous identifier et vous pister.”
Ces empreintes digitales numériques ne sont pas dangereuses, selon Acar, mais les entreprises qui les tiennent à jour ne sont pas très appréciées.
“Vous pouvez exercer un contrôle sur les cookies: vous pouvez les bloquer ou les supprimer. Tel n’est pas le cas de la prise d’empreintes digitales. Vos empreintes digitales sont conservées sans que vous le sachiez et ne peuvent être supprimées. L’utilisation du navigateur sécurisé Tor ou d’outils tels AdBlock ou Disconnect.me peuvent certes aider, mais seulement en partie.”
Il y a une vingtaine d’entreprises qui utilisent ce système de pistage en ligne et qui ont été découvertes par Gunes Acar et son équipe. L’entreprise publicitaire allemande Ligatus en est une. Mais l’entreprise américaine de ‘socialbookmarking’ AddThis en est la principale. C’est elle qui fournit les boutons ‘share’ et ‘follow’ bien connus. Des milliers de sites, dont YouPorn et le site web de la Maison Blanche, sont équipés de ce genre de boutons. Tous ces sites prennent donc aussi des empreintes digitales numériques, sans qu’ils en soient parfois eux-mêmes conscients ou non.
“Le problème, c’est que vous ne devez même pas appuyer sur un bouton ‘share’ ou ‘follow’ pour être pisté”, ajoute Acar. “Dès que vous vous trouvez sur ce type de site, cela suffit.”
A quoi une entreprise telle AddThis utilise-t-elle les infos qu’elle collecte sur les visiteurs de sites web? “Bonne question”, réagit Acar. “Nous n’avons-nous-mêmes aucune donnée démontrant ce qu’elles font avec ces renseignements. Le CEO d’AddThis a simplement déclaré à moi et à l’un de mes collègues de la Princeton University que son entreprise n’exploite le canvas fingerprinting que dans le cadre d’une expérience et pas pour approcher les utilisateurs avec des offres commerciales par exemple. De notre enquête, il ressort cependant qu’AddThis s’est lancée dans la prise d’empreintes digitales en janvier de cette année. Cela fait donc six mois maintenant, ce qui est plutôt long pour un petit test d’une nouvelle technologie, selon moi. Mais je le répète, je ne peux prouver qu’il a raison ou tort.”
Manifestement, Gunes Acar et son équipe ont eu un impact avec leurs dévoilements car selon le chercheur Ph.D, tant AddThis que Ligatus ont entre-temps interrompu le canvas fingerprinting. Et YouPorn, whitehouse.gov et d’autres ont retiré les boutons d’AddThis de leurs sites web.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici