Vous pensez pouvoir échapper à la surveillance en ligne en désactivant les cookies ? Un tiers des sites vous traquent sans les utiliser | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Vous pensez pouvoir échapper à la surveillance en ligne en désactivant les cookies ? Un tiers des sites vous traquent sans les utiliser
©Sénat

Minute Tech

Vous pensez pouvoir échapper à la surveillance en ligne en désactivant les cookies ? Un tiers des sites vous traquent sans les utiliser

Le "fingerprinting" est l'une des nombreuses techniques dites "d'empreinte digitale de navigateur", qui permet aux sites web d'identifier et de suivre les internautes lors de leur navigation sur Internet.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico.fr : Pouvez-vous nous expliquer en quelques mots en quoi consiste le « fingerprinter » ? Est-ce dangereux pour les utilisateurs ?  

Franck DeCloquement : Afin d’expliquer ce qu’est le browser Fingerprinting, il faut tout d'abord bien comprendre sur quoi repose le pistage utilisateur sur internet. Un browser (dit également « navigateur web » ou « browser ») est un programme informatique qui vous permet de visualiser des documents, des données et de naviguer sur la toile. Les navigateurs peuvent afficher différents types de ressources d'information ; principalement des documents HTML. Cependant, d'autres types de fichiers et de contenus multimédias sont également disponibles, tels que PDF, JPEG, MPEG, GIF ou le méta langage de balisage. En utilisant les Plugin spéciaux et les paramètres applicables, les navigateurs prennent en charge Flash, JavaScript ou Java Applets pour rendre disponible le contenu multimédia interactif ou transférer des adresses de messagerie vers un programme de messagerie.

Pour pister un utilisateur, il faut être en outre capable de reconnaître un utilisateur de manière unique, et le discriminer parmi la multitude des autres internautes présents. Plusieurs techniques existent et parfois hybrides afin de pouvoir pister au mieux l’internaute. En tant qu'utilisateur régulier du web, nous connaissons tous bien l'incessant tracking qui nous vise via les fameux « cookies », également appelé « pistage » par les cookies. Dans le cas spécifique de « fingerprinter », nous avons affaire à une méthode de tracking avancée, mais cette fois-ci, « sans cookies ». Une méthode qui exploite en définitive les possibilités du HTML5 afin de pister discrètement les internautes.

En définitive, fingerprint fonctionne en constituant un identifiant unique de votre navigateur Web. Cela se fait à travers l’identification de sa configuration spécifique. Autrement dit de ses réglages, comme le fuseau horaire, la résolution écran, la police utilisée, le user-agent, etc. La constitution de cette empreinte unique se base sur plusieurs attributs du navigateur WEB. Des codes JavaScript ou appel API permettent de récupérer ces derniers, et notamment ceux-ci :

• Les réglages Audio.

• La toile ou « Canvas ». Canvas est une API HTML5 qui permet de dessiner des graphiques et des animations sur une page Web via un script en JavaScript.

• Les polices d’écriture ou fonts et leurs utilisations.

• WebGL est une API JavaScript permettant de rendre des graphiques 3D interactifs dans n’importe quel navigateur Web compatible sans utiliser de plug-ins. Les applications WebGL sont constituées d’un code de contrôle écrit en JavaScript, et d’un code à effets spéciaux exécuté sur le processeur graphique d’un ordinateur. Les éléments WebGL peuvent être mélangés avec d’autres éléments HTML et composés avec d’autres parties de la page ou de l’arrière-plan de la page.

Les services Web, et notamment les régies publicitaires, peuvent alors distinguer n’importe quel navigateur Web spécifiques parmi d’autres machines utilisées, et donc visé un potentiel internaute. Cet identifiant unique s’assimile à une sorte « d'empreinte digitale » de ce dernier, d’où la sémantique explicative utilisée. Pour les défenseurs de la vie privée, ces méthodes de collectes ne sont évidemment pas acceptables...

Résumons : fingerprinting permet donc aux sites web et aux régies publicitaires d’identifier les internautes. Ils ne sont donc plus identifiés grâce à de simples cookies, mais via les composants et les réglages de leur propre machine. Cette méthode est bien plus efficace et plus pérenne que l'usage de simples cookies, puisque les internautes ne peuvent pas supprimer les composants de leur ordinateur ou leur mobile, comme ils pouvaient supprimer par ailleurs les cookies. Une fois l’internaute identifié, il l'est à vie, ou presque, grâce au fingerprinting. Techniquement, lorsque vous chargez une page web qui exploite cette méthode, un script demande à votre navigateur de « dessiner » un graphique, sans l’afficher. Le résultat obtenu dépend des composants de votre terminal (version du navigateur, version du système d’exploitation, carte graphique, extensions installées, etc.). Ainsi, on identifie dès lors assez finement un internaute particulier grâce à la détection de la  combinaison de tous ces paramètres. Et si cela n’était pas suffisant, on peut toujours recouper les informations obtenues via cette technique, avec d’autres méthodes de tracking pour identifier encore spécifiquement un internaute. Le meilleur des mondes en somme...

Est-il encore possible de naviguer de manière anonyme sur Internet ?

Très schématiquement, il est toujours possible de contrer partiellement ces méthodes intrusives de tracking, mais cela devient évidemment de plus en plus compliqué pour le commun des mortels, chemin faisant. Vous trouverez par exemple quelques extensions qui permettent de vous protéger sur internet de ce type de collecte sauvage d’informations. Pour préserver la vie privée des internautes des actions ourdies de dispositifs toujours plus ingénieux comme le fingerprinting, Mozilla a par exemple décidé de bloquer par défaut, l’exécution des scripts de celui-ci.

Du côté de la protection de la vie privée, le blocage du « cryptomining » et du fingerprinting est au menu de Firefox 67. En revanche, ces deux fonctions ne sont pas activées par défaut. Il vous faudra donc vous rendre dans « Options » puis « Vie privée et sécurité » pour ce faire. À ce titre, le navigateur Firefox à partir de sa version 58 sortie en janvier 2018, demandait déjà votre autorisation éclairée pour exécuter un script fingerprinting dont l’objectif fallacieux était d’obtenir votre « image unique ».

Ce fonctionnement rappelle celui du navigateur Tor, qui bloque aussi par défaut le fingerprinting. Des modules d'extension de navigateur comme « Privacy Badger » ou « DoNotTrackMe » sont également capables de bloquer les tentatives de suivi des sites tiers comme les régies publicitaires. Mais ils seront cependant inefficaces pour bloquer les suivis implantés directement sur un site visité par l'internaute. Le Tor browser offre aussi une meilleure protection contre le ciblage et le tracking. Il avertit l'utilisateur lorsque le site web tente de produire un  fingerprinting, et il offre la possibilité de retourner l'empreinte d'une page blanche pour déjouer la tentative de suivi numérique.

Cependant, L’empreinte digitale d'un navigateur Web étant unique, quelque soit l’IP de connexion, on reconnaîtra immanquablement le navigateur Web utilisé. Ainsi le fait de se cacher derrière un simple VPN ne permet pas de vous rendre totalement anonyme. Enfin cela permet aussi de suivre un internaute utilisant un ordinateur portable ou une tablette qui serait en vacances ou chez en villégiature temporaire dans sa famille.

Très pratiquement, il existe différents sites internet qui vous permettent de tester votre navigateur Web pour savoir si ce dernier est unique. Ces sites existent pour la plupart en langue anglais. Voici les deux sites usités les plus connus :

https://panopticlick.eff.org/

https://amiunique.org

• Le site suivant retourne un identifiant, assez pratique pour tester vos protections : https://codepen.io/run-time/pen/XJNXWV

Comment les gouvernements et les entreprises peuvent-ils faire, pour faire face à des méthodes digitales de plus en plus intrusives telles que le fingerprinting ?

Pour les institutions et le secteur privé, il s'agit d'une course de vitesse permanente contre les malveillances et les intrusions sournoises, compte tenu des avancées technologiques perpétuelles. Les fonctions institutionnelles sont relativement bien protégées en France grâce à l’expertise reconnue de l'ANSSI.

Mais concernant les pratiques individuelles délétères de nos parlementaires en matière de cyberprotection, c’est une autre affaire comme nous l'avons déjà évoqué dans un précédent article pour Atlantico. Il en va de même pour nos hauts fonctionnaires et toutes nos administrations. Le secteur privé de la petite et moyenne entreprise n'a, de son côté, pas toujours le degré de compréhension, de maturité managériale et de financement suffisant pour systématiquement faire face aux risques inhérent à nos écosystèmes numériques. Une situation économique durcie et concurrentielle très tendue sur le plan international n’arrangeant pas cette affaire, et laisse perdurer de nombreux « trous dans la raquette » propice aux ingérences digitales.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !