D’après une étude, la collecte d’empreintes JavaScript est un fléau qui concerne presque la moitié des sites Web les plus populaires. Les outils de protection sont peu efficaces, à l’exception notable du navigateur d’Apple.
En quelques années, la collecte d’identifiants JavaScript — ou « browser fingerprinting » — est devenue une véritable plaie. Ces mouchards publicitaires d’un nouveau type ont tendance à remplacer les cookies, dont l’usage commence à être fortement réglementé.
Ils ont l’avantage d’être particulièrement discrets, car ils tentent de générer un profil d’utilisateur en exécutant en douce certaines fonctions JavaScript particulières.
Le rendu d’une image invisible ou la compression d’un signal sonore inaudible permettent, par exemple, d’identifier presque de manière certaine l’équipement informatique sous-jacent. D’autres caractéristiques sont moins précises, comme la langue ou la taille d’écran, mais plus il y en a, plus grande est la chance de générer une empreinte unique.
Comment évaluer la présence de ces mouchards sur les sites Web ? Et les outils de protection existants, sont-ils efficaces ? Un groupe de chercheurs berlinois vient de réaliser une vaste étude sur le sujet, qui a été présentée à l’occasion de la conférence annuelle du Chaos Computer Club.
En s’appuyant sur des techniques d’analyse Web et de rétro-ingénierie, ils ont d’abord recensé les 115 fonctions JavaScript les plus utilisées pour le fingerprinting.
Puis ils ont développé une extension de navigateur baptisée FPMON, capable de surveiller l’utilisation de ces fonctions sur n’importe quel site. Prises individuellement, ces fonctions n’ont rien de suspect a priori. Mais à partir du moment où une page Web en utilise plusieurs en même temps, il est probable que ce soit dans une logique de fingerprinting.
Certains sites sont particulièrement agressifs
Le résultat des analyses est sidérant. Parmi les 10 000 sites Web les plus populaires, environ 47 % collectent des données d’utilisateurs par fingerprinting sans recueillir le moindre consentement.
Cette collecte peut être soutenue (19 %) ou moyenne (28 %), en fonction du nombre et du type de fonctions JavaScript utilisées. Certains paramètres ont particulièrement le vent en poupe, comme le rendu de polices de caractères et le rendu d’images. Parmi les sites les plus agressifs en la matière figurent nasdaq.com, bloomberg.com et easyjet.com, qui utilisent plus de la moitié des 115 fonctions JavaScript identifiées. Un véritable festival de prise d’empreintes !
Les chercheurs en ont profité pour tester l’efficacité des principales mesures de protection qui existent actuellement. A savoir les extensions EFF PrivacyBadger, DuckDuckGo Privacy et AdBlock Plus, ainsi que les techniques anti-mouchards directement intégrées dans Firefox et Safari.
Résultat : le navigateur d’Apple est le seul outil capable de diminuer de façon significative le fingerprinting. Les scores ont pu être réduits presque de moitié. Pour toutes les autres solutions, l’efficacité reste très parcellaire. Elles fonctionnent bien sur certains sites, mais pas du tout sur d’autres.
Moins de caractéristiques uniques chez Safari
L’explication est simple. Apple est seul à réduire la surface d’attaque en présentant une version simplifiée et unifiée des paramètres JavaScript. Ce qui permet de faire en sorte qu’un grand nombre de terminaux partagent les mêmes caractéristiques. La création d’une empreinte unique est donc plus difficile.
Tous les autres outils testés, à l’inverse, s’appuient sur des listes noires de mouchards. Certes, elles sont actualisées en permanence, mais l’étude montre que les trous dans la raquette sont béants.
Mais, même avec Safari, il est impossible d’éliminer totalement le fingerprinting. La seule solution serait de désactiver JavaScript, mais, dans la pratique, c’est évidemment impossible. Le fléau du fingerprinting n’est donc pas prêt de disparaître. Consolons-nous, au moins, chacun d’entre nous peut désormais le mesurer grâce à l’extension FPMON, qui est disponible pour tous.
Source : site FPMON
Aucun commentaire:
Enregistrer un commentaire