Accueil » Actualité » La Maison-Blanche utilise «l’empreinte digitale» de votre navigateur

La Maison-Blanche utilise «l’empreinte digitale» de votre navigateur

Image 1 : La Maison-Blanche utilise «l'empreinte digitale» de votre navigateurOn vous espionne

Des chercheurs de Princeton et de l’Université catholique néerlandophone de Louvain ont publié un papier présentant une nouvelle méthode utilisée par plusieurs sites Internet, dont YouPorn ou celui de la Maison-Blanche, générant un identifiant unique au navigateur d’un utilisateur afin de suivre ses mouvements sur la Toile. La méthode se nomme Canvas Fingerprinting. Elle consiste à ordonner au navigateur de dessiner une image cachée et de la convertir en un code de type base64. Le site prend une partie de la chaîne de caractères générée par l’encodage et l’attribue au navigateur de l’utilisateur pour créer un code unique ou quasiment unique à chaque utilisateur.

En effet, l’image est un pangramme (Cwm fjordbank glyphs vext quiz), c’est-à-dire qu’elle utilise toutes les lettres de l’alphabet. Ainsi, chaque navigateur va en principe dessiner l’image un peu différemment produisant une chaîne de caractères unique et dans les cas où les chaînes seraient identiques, comme c’est souvent le cas sur mobile où les aspects logiciels et matériels de la machine sont identiques, il est possible de changer un seul pixel de l’image très rapidement afin de produire une chaîne unique. Cette chaîne utilisée comme identifiant est ce que les chercheurs appellent «l’empreinte digitale» du navigateur.

Une vieille méthode, mais de nouveaux problèmes

Les outils de la méthode sont simples et connus depuis longtemps. Le fait de convertir une image en base64 pour générer une chaîne de caractères est très ancien. Le fait d’utiliser un identifiant pour tracer un navigateur est le principe même du cookie. Néanmoins, l’utilisation de cette technique est nouvelle et dangereuse, car elle permet de créer un système de traçage à l’insu de l’utilisateur et très difficile à bloquer. Le Canvas Fingerprinting a été conçu par l’agence AddThis qui l’a utilisé entre le 15 janvier et le 1er février 2014, selon le papier.

Les réactions ne se sont pas fait attendre. YouPorn a affirmé retirer les services AddThis de son site, expliquant qu’il n’était pas au courant de cette pratique et qu’il prenait la vie privée de ses utilisateurs très au sérieux. Le P.D.G d’AddThis a quant à lui expliqué à Pro Publica que la société n’avait pas violé de lois et qu’elle avait seulement testée cette méthode sans l’utiliser à des fins commerciales. Aujourd’hui, très peu de navigateurs bloquent cette technique par défaut. Le plus connu d’entre eux est sans doute Tor.