Fingerprinting : l’arme absolue pour le pistage des internautes ?

Remis au goût du jour depuis peu par Google, le fingerprinting permet d’identifier de manière unique la plateforme logicielle utilisée par un internaute. Le plus grand flou juridique entoure cette pratique quasi indétectable.

Depuis le 16 février dernier, Google a mis à jour les règles de ses plateformes publicitaires, autorisant notamment le fingerprinting, une technique permettant d’identifier un terminal ou un navigateur de manière unique ou quasi unique grâce à un certain nombre de caractéristiques, appelées attributs. L’annonce a en réalité été faite en décembre dernier, elle s’applique désormais aux annonceurs sur Google Ads. Elle suscite la polémique, car, contrairement aux cookies qui peuvent être effacés ou bloqués, le fingerprinting est une pratique qui peut être réalisée de manière totalement invisible, sans le consentement des internautes.

« Il existe de très nombreuses techniques permettant d’identifier de manière quasi unique un trio ordinateur / navigateur / système d’exploitation. Si vous collectez le nom du navigateur, sa version, les langues supportées, les plug-ins installés et sa résolution, et si vous y ajoutez des informations sur le système d’exploitation de l’ordinateur ainsi que sur les caractéristiques du microprocesseur (aucun microprocesseur ne réalise strictement les calculs de la même manière), vous obtenez une empreinte unique de l’utilisateur », déclare Vladimir Kolla, CEO et cofondateur de Patrowl.

Il suffit pour s’en convaincre de se rendre sur le site « Am I unique » qui montre quel est le niveau d’unicité de la plateforme logicielle (navigateur, OS, polices, plug-ins…) utilisée par un internaute. Hébergé par l’INRIA, ce site est maintenu par une équipe de chercheurs soutenue financièrement par le projet européen « Diversify ». Il vise à donner aux utilisateurs des éléments d’information (plus d’une cinquantaine d’attributs) sur leur configuration et le degré de traçabilité de celle-ci.

Exemple d’une empreinte navigateur considérée comme unique
(base de données de plus de 3,4 millions d’empreintes) © Am I unique

Un quart des 10 000 sites les plus importants utilise le fingerprinting

« Nous avons découvert que, dans le cas du browser fingerprinting, la très grande diversité et la richesse de l’écosystème web sont devenues un problème pour la vie privée : cet écosystème très riche permet à chacun de disposer d’une plateforme qui correspond parfaitement à ses envies et à son confort, mais c’est ce même phénomène qui rend chaque plateforme unique et donc traçable », déclare le chercheur Benoit Baudry au site Framablog. Benoit Baudry est coordinateur du projet Diversify, mais également Professeur en génie logiciel à l’Université de Montréal et Professeur au sein du WASP (The Wallenberg AI, Autonomous Systems and Software Program), un grand programme de recherche suédois.

« Le problème d’avoir une plateforme unique, c’est que les sites marchands peuvent personnaliser leur contenu en fonction de la plateforme (pratiques tarifaires en fonction des clients ou publicités ciblées). Par exemple, les sites peuvent faire varier les prix en fonction de la localisation de l’internaute, déduite approximativement par l’adresse IP, ou en fonction du système d’exploitation », ajoute Benoit Baudry, qui cite notamment un article du Wall Street Journal montrant que l’agence de voyages en ligne Orbitz Worldwide Inc. a découvert que les personnes utilisant un Mac dépensent jusqu’à 30 % de plus par nuit d’hôtel. Le site web d’Orbitz Worldwide commence donc à leur montrer des options de voyage différentes, et parfois plus coûteuses, que celles que voient les visiteurs ayant Windows comme OS.

Dans un article scientifique publié en 2020, une équipe d’universitaires de l’Université de l’Iowa, de Mozilla et de l’Université de Californie à Davis, a analysé la manière dont les scripts d’empreintes de navigateur les plus populaires sont utilisés aujourd’hui par les exploitants de sites web. À l’aide d’une boîte à outils en machine learning qu’elle a elle-même développée (baptisée FP-Inspector), l’équipe de recherche a scanné et analysé les 100 000 sites web les plus populaires de l’internet, d’après le classement Alexa.

« Nous constatons que l’empreinte navigateur est désormais présente sur plus de 10 % des 100 000 premiers sites web et sur un quart des 10 000 premiers sites web », a déclaré l’équipe de recherche. Le constat est sans appel : plus le site est important, plus les techniques de fingerprinting sont présentes (30,60 % pour les 1 000 premiers sites, 7,70 % pour les sites classés entre les rangs 50 000 et 100 000).

Autre enseignement tiré de cette étude : les sites d’information arrivent largement en tête des sites les plus utilisateurs de fingerprinting, devant les sites e-commerce, les sites pour adultes et les sites technologiques.

Un encadrement juridique par le RGPD et la loi « Informatique et libertés »

Juridiquement, le fingerprinting est encadré principalement par le Règlement général sur la protection des données (RGPD). En effet, cette technique constitue un traitement de données personnelles lorsqu’elle permet d’identifier un individu. Il est également encadré par l’article 82 de la loi « Informatique et libertés » qui transpose une directive européenne dite « ePrivacy ». Il pose des règles spécifiques pour l’accès ou le stockage d’information sur un terminal (ordinateur, smartphone).

« Le fingerprinting n’est pas interdit en soi par la règlementation, mais son utilisation est encadrée. Tout d’abord, les personnes doivent être informées de l’utilisation de cette technique et de ses finalités (principe de transparence). Par ailleurs, le recours à cette technique ne peut se faire qu’avec le consentement de l’utilisateur, sauf exception (exemple : nécessité technique pour fournir un service demandé). À titre d’exemple, l’usage du fingerprinting à des fins publicitaires nécessite le consentement des utilisateurs qui doit pouvoir refuser aussi simplement que d’accepter », nous fait savoir le service communication de la CNIL.

« Il est souvent difficile de se protéger contre ce type de suivi : la plupart des informations utilisées sont souvent techniquement nécessaires au bon affichage du site consulté. De plus, dans certains cas, le calcul de l’empreinte numérique peut être nécessaire pour des raisons de sécurité (exemple : pour détecter l’utilisation d’un ordinateur inhabituel et éviter une usurpation d’identité). Par ailleurs, son fonctionnement technique complexe et ‘invisible’ soulève des questions en matière de contrôle des données personnelles par les utilisateurs. Tandis que les cookies peuvent être effacés ou bloqués, le fingerprinting repose sur des caractéristiques matérielles et logicielles uniques, ce qui le rend plus résistant aux mesures de protection classiques », ajoute le service communication de la CNIL.

Quelles parades pour se protéger contre le fingerprinting ?

Un certain nombre de moyens existent pour se protéger – partiellement – des techniques de pistage. Les utilisateurs peuvent notamment paramétrer leur système d’exploitation (Windows, macOS, Linux…) afin de limiter la collecte de données les concernant. Ils peuvent aussi contrôler les permissions données aux applications pour échanger – ou non – avec d’autres systèmes. Le paramétrage de leur navigateur – ainsi que l’ajout de certaines extensions (bloqueurs de publicité et de traqueurs) – permet également de se protéger contre le pistage. Certains internautes privilégient l’utilisation de navigateurs comme Tor.

Mais le fingerprinting reste globalement indétectable et ce, pour plusieurs raisons. Contrairement aux cookies ou aux scripts de tracking classiques, le fingerprinting ne nécessite pas de stocker des données sur le navigateur. Il repose sur la collecte d’informations (résolution d’écran, langue, fuseau horaire, polices, extensions, etc.), ce qui rend le processus difficile à identifier.

Le fingerprinting utilise par ailleurs une multitude de points de données (user-agent, canvas, WebGL, fonts, etc.) pour créer un profil unique. Chaque point pris isolément semble inoffensif, mais combiné à d’autres, il devient une signature difficile à bloquer ou à détecter. Enfin, les scripts de fingerprinting sont souvent intégrés dans d’autres scripts légitimes (pour la sécurité par exemple), rendant leur détection encore plus difficile. Certains sont même conçus pour ressembler à des comportements normaux de pages web.

Chez Oodrive, une solution – pour le moment réservée aux entreprises – semble émerger. Il s’agit de VirtualBrowser, une solution de virtualisation de navigateur (RBI / Remote Browser Isolation). « Avec le RBI, vous ne surfez pas depuis votre poste, mais depuis un serveur qui est distant, dans le cloud ou chez le client on-premise, et qui renvoie de manière transparente un flux de pixel dans votre navigateur. De ce fait, vous êtes complètement invisible et intouchable sur le web. Invisible, car c’est un poste Chromium qui est vu, avec un poste Linux qui se connecte depuis une IP qui est n’importe où dans le monde. Intouchable, car il n’existe techniquement aucun moyen de remonter jusqu’à l’utilisateur, c’est ce qu’on appelle une rupture protocolaire », explique Édouard de Rémur, CEO de VirtualBrowser et cofondateur d’Oodrive.

Cette solution est utilisée par des personnes qui veulent se protéger (admin systems, dirigeants, personnes évoluant sur des réseaux à diffusion restreinte…) ou être invisibles (dans le cadre d’un SOC, de démarches OSINT, d’enquêtes policières, de recherches sur le dark web ou sur des sites corrompus). « VirtualBrowser est une alternative pour les puristes. Nous espérons que, à terme, cette technologie pourra se développer vers le grand public, car c’est vraiment la solution ultime pour se protéger contre le fingerprinting et, plus globalement, contre toutes les cyberattaques, même le phishing », conclut Édouard de Rémur.