Le Fingerprinting et la vie privée

Les atteintes à la vie privée font régulièrement l’actualité et il ne s’agit pas que des scandales de Facebook.

Il y a différent moyens de protéger sa vie privée sur Internet comme les réglages de vie privée dans les applications et les sites web ou le blocage du traçage et des pubs.

Vous devriez probablement quitter des plateformes toxiques comme Facebook mais passons. Si vous n’avez jamais entendu parler de fingerprinting, cet article est pour vous.

Les sites web collectent vos empreintes

Si vous ne protégez pas votre IP, derrière un VPN par exemple, vous devriez y songer car celle-ci pointe vers un appareil identifiable et une localisation assez précise en général.

Pour autant, même en protégeant cette information, vous ne serez jamais 100% anonyme contrairement à ce que promettent certains fournisseurs de VPN sans scrupule.

Il existe en effet des moyens moins directs d’identifier un appareil. Chaque fois que vous surfez vous laissez des traces. Des techniques vont utiliser ces traces pour identifier des appareils et des navigateurs même quand les cookies sont complètement désactivés.

Les sites web peuvent collecter certaines informations comme votre système d’exploitation, la langue du navigateur, la résolution d’écran, et bien d’autres qui peuvent vous identifier au moins partiellement.

Cela s’appelle le browser fingerprinting et c’est utilisé quasiment partout, en particulier dans la pub par les annonceurs pour grouper les internautes par centres d’intérêt.

Les multinationales s’en fichent pas mal de qui vous êtes et d’où vous venez (au sens adresse précise mais la localisation compte beaucoup en revanche). Elles identifient et ciblent des profils.

Le fingerprinting pour détecter des activités criminelles

Il existe des bases de données immenses qui stockent des millions d’empreintes numériques à des fins d’analyses.

Cela peut être utilisé pour débusquer des botnets et mêmes des hackers.

Les autorités et les équipes de défense informatique peuvent utiliser ces empreintes numériques pour attraper des attaquants, exactement comme les policiers chassent les criminels avec des empreintes digitales collectées sur une scène de crime.

Effectivement, un utilisateur va générer des empreintes uniques avec son navigateur et sa machine. Il y a finalement assez peu de chances que quelqu’un d’autres génère exactement les mêmes empreintes.

On peut très facilement utiliser le langage Javascript pour récupérer ces données anonymes. Ouvrez la console du navigateur et entrez navigator. Vous verrez tout ce que vous obtiendrez sur votre configuration.

Même des éléments HTML5 comme <canvas> vont générer des données particulières dans le navigateur.

Le fingerprinting des appareils peut servir à détecter des activités suspectes. Beaucoup d’applis enregistrent l’appareil de leurs utilisateurs.

Le moindre changement d’appareil peut entrainer une suspension de comptes en cas de soupçon de fraude, par exemple, quand un hacker pirate l’accès d’un utilisateur et se connecte avec un appareil inconnu jusque là.

Cependant, dans le même temps, l’adresse MAC et l’ID de l’appareil sont collectées, ce qui est une atteinte assez majeure à la vie privée.

En effet, ce fingerprinting peut identifier complètement un utilisateur, en particulier avec les téléphones mobiles car ces appareils sont souvent connectés à des services comme les porte-feuilles électroniques, Apple Pay, la G-Suite, etc.

Ces empreintes sont aussi appelées PII, pour Personally Identifiable Information (~information identifiable personnellement). Les marketeux les adorent mais les hackers aussi.

Dans une autre perspective, les lanceurs d’alerte et les activistes peuvent être retracés avec ce genre de techniques.

Un peu de maths

Il n’est pas si évident de comprendre comment des empreintes numériques peuvent être aussi uniques. Après tout, on utilise souvent des navigateurs assez populaires et on achète des appareils qui sont beaucoup vendus.

Il s’agit en fait d’une collection de signals qui va être mesurée en bits d’entropie.

Par exemple, 15 bits d’entropie veut dire qu'1 appareil sur 32768 (215) possède les mêmes empreintes. Les specs des téléphones et d’autres données augmentent significativement le niveau d’entropie.

Comment se protéger

Oubliez le mode incognito et toutes ces conneries et évaluez vos empreintes. Utilisez des plugins comme Ad block.

Utilisez des navigateurs orientés vie privée comme DuckDuckGo, qui s’installent comme une extension navigateur sur desktop et comme une application sur mobile.

Cependant, Tor reste le navigateur le plus efficace et de loin. Attention, la sécurité n’est pas maximale par défaut, il faut le configurer correctement.

Beaucoup de gens pensent que Tor est automatiquement au plus haut niveau de sécurité mais ce n’est pas du tout le cas.

Conclusion

Le fingerprinting permet certe de lutter contre la fraude mais c’est aussi une grande menace pour la vie privée et de nombreuses techniques passent sous le radar de la RGPD.

A voir aussi