Des cher­cheurs de l’uni­ver­sité ca­tho­lique de Louvain et de l’uni­ver­sité de Princeton ont publié en 2014, sous le titre « The web never forgets: Per­sis­tent tracking me­cha­nisms in the wild », une étude sur les méthodes modernes de traçage des in­ter­nautes. En plus de l’ever­coo­kie et de la syn­chro­ni­sa­tion des cookies, l’article traite surtout d’une technique peu connue jusque-là : le Canvas-Fin­ger­prin­ting. Lors de la pu­bli­ca­tion de l’article, plus de 5,5 pourcent des 100.000 prin­ci­paux sites dont celui de la Maison-Blanche uti­li­saient cette nouvelle technique de re­con­nais­sance et de pistage des in­ter­nautes.

Qu’est-ce que le canvas fin­ger­prin­ting ?

Keaton Mowery et Hovav Shacham, de l’uni­ver­sité ca­li­for­nienne de San Diego, ont en 2012 formulé leurs re­cherches dans un article qui a pour titre « Pixel Perfect: Fin­ger­prin­ting Canvas in HTML5 » et qui développe pour la première fois l’idée du Fin­ger­print tracking. Dans cette pu­bli­ca­tion ils y exposent leurs re­cherches, et notamment la technique du canvas fin­ger­prin­ting qui utilise le composant canvas de HTML5 et peut ainsi générer sans problème une empreinte digitale in­di­vi­duelle sur la base du système de con­fi­gu­ra­tion des uti­li­sa­teurs. Une année plus tard, le pro­gram­meur russe Valentin Vasylyev, inspiré par les travaux des deux cher­cheurs ca­li­for­niens, développe et publie le premier code de canvas fin­ger­print sous une licence open source via GitHub. Son code a notamment été utilisé par les en­tre­prises comme AddThis et Ligatus afin de créer un processus de pistage.

Le composant canvas mentionné ci-dessus comporte des domaines définis (hauteur et largeur), qui peuvent être dessinés en utilisant Ja­vaS­cript pour créer par exemple des gra­phiques, logos et boutons avec texte. Mais la com­bi­nai­son du matériel et des logiciels suivants est souvent unique :  

  • Système d‘ex­ploi­ta­tion
  • Na­vi­ga­teur
  • Carte graphique
  • Pilotes de la carte graphique
  • Les polices ins­tal­lées

Ces com­po­sants assurent que chaque texte sera par­ti­cu­liè­re­ment différent, ce qui est rendu possible par le canvas fin­ger­prin­ting. Les opé­ra­teurs de sites Internet ont besoin pour effectuer un pistage internet d’un code spé­ci­fique de canvas fin­ger­prin­ting, ce qui oblige le na­vi­ga­teur de présenter un texte caché en arrière-plan via Ja­vaS­cript lorsque la page est en char­ge­ment, les in­for­ma­tions obtenues sont trans­mises au serveur Web. Grâce à cette technique d’empreinte digitale du na­vi­ga­teur, plus de 80 pour cent des cas sont uniques et sont toujours re­con­nais­sables, tant que l’uti­li­sa­teur ne modifie pas les con­fi­gu­ra­tions de son système. 

La valeur du canvas fin­ger­prin­ting pour l’analyse Web

Un canvas fin­ger­print ne contient en principe que les in­for­ma­tions men­tion­nées pré­cé­dem­ment sur le système d’ex­ploi­ta­tion et le na­vi­ga­teur. Cependant il offre aussi la pos­si­bi­lité d’iden­ti­fier les uti­li­sa­teurs du site Internet en tant qu’individu, afin de suivre les com­por­te­ments de na­vi­ga­tion. Cela re­pré­sente les activités sur un site mais également sur plusieurs sites Web, dans cette mesure le script est réalisé sur dif­fé­rentes pages. Par con­sé­quent ce procédé est destiné pour l’op­ti­mi­sa­tion du site Internet mais également pour la con­cep­tion de publicité. Un avantage important de cette nouvelle méthode de pistage et qu’elle ne collecte pas les données per­son­nelles des uti­li­sa­teurs. Tout cela fait du Fin­ger­print-Tracking une sérieuse al­ter­na­tive aux cookies pour les ana­ly­seurs Web. En effet, les cookies sont lé­ga­le­ment con­tes­tables et sont désormais bloqués ou ré­gu­liè­re­ment supprimés par beaucoup d’uti­li­sa­teurs.

Con­trai­re­ment à l’empreinte digitale humaine, l’empreinte digitale Internet n’est pas à 100 pour cent unique, ce qui signifie que les résultats du canvas fin­ger­prin­ting  ne sont pas toujours corrects. Par exemple, deux visiteurs d’un site Internet avec la même con­fi­gu­ra­tion recevront le même nom d’uti­li­sa­teur, créant ainsi un problème pour l’analyse des visiteurs. Comme cette po­ten­tia­lité augmente avec le nombre  de visiteur d’un site, le canvas fin­ger­prin­ting est ainsi moins per­for­mant pour les sites avec un haut taux de trafic. Un autre problème du Fin­ger­print tracking est l’iden­ti­fi­ca­tion des visiteurs qui utilisent un appareil mobile : en effet le matériel et les logiciels utilisés sur les tablettes et smart­phones sont en général trop stan­dar­di­sés, avec trop peu de ca­rac­té­ris­tiques per­ti­nentes pour générer une empreinte digitale unique.

Les uti­li­sa­teurs peuvent éviter le canvas fin­ger­prin­ting

Con­trai­re­ment aux cookies, les canvas fin­ger­prints ne peuvent pas être supprimés fa­ci­le­ment, les données sont en effet di­rec­te­ment trans­mises au serveur – Il n’y a pas de stockage du côté client. Utiliser la na­vi­ga­tion privée du na­vi­ga­teur n’est pas utile contre cette technique de pistage, en effet le script du canvas et les in­for­ma­tions du système et du na­vi­ga­teur sont toujours partagées. Mais les uti­li­sa­teurs ne sont tout de même pas sans solution pour contrer cette méthode de traçage. En effet il est possible d’arrêter les scripts à l’avance avec les mesures suivantes :

  • Dé­sac­ti­va­tion du Ja­vaS­cript : Sans Ja­vaS­cript, les éléments du canvas ne peuvent pas se charger et ainsi aucune in­for­ma­tion d’un client ne peut être récupérée. Mal­heu­reu­se­ment cela peut affecter les per­for­mances de votre na­vi­ga­teur, en effet de nombreux sites Internet utilisent un Ja­vaS­cr­pit, ces sites Web ne peuvent donc être cor­rec­te­ment consultés lorsque Ja­vaSc­pript est désactivé.

  • Adblock Plus : Adblock Plus est surtout célèbre pour être une extension de na­vi­ga­teur utilisée pour bloquer les pu­bli­ci­tés, notamment les pop-ups. Mais si cet outil gratuit est combiné avec le filtre des listes Ea­sy­Pri­vacy, vous pouvez alors vous protéger en avance du pistage en ligne.

  • Can­vas­Blo­cker : les uti­li­sa­teurs de Firefox  peuvent té­lé­char­ger cet add-on gratuit Can­vas­Blo­cker qui permet d’avoir des options pour bloquer le canvas fin­ger­prin­ting. Il est par exemple possible d’ignorer toutes les demandes du canvas ou de manipuler les données trans­mises.

La trans­pa­rence comme condition de base

Quand en 2014 la liste des sites Web qui utilisent canvas fin­ger­prin­ting fut publiée, certains opé­ra­teurs de sites Internet furent surpris de rentrer dans la catégorie des 5000 com­pag­nies utilisant canvas fin­ger­prin­ting –  en effet elles ne pensaient pas utiliser cette technique de traçage. Un cas notable en Europe est celui de Ligatus, une société allemande basée à Cologne. Cette en­tre­prise de marketing digital a en effet échoué à clarifier et expliquer ce qu’était le canvas fin­ger­prin­ting et comment cette technique fonc­tion­nait pour ses clients, dont des sites allemands po­pu­laires comme kicker.de, golem.de, et n-tv.de. Selon les dé­cla­ra­tions de l’agence, il s’agissait sim­ple­ment d’un test d’essai limité, dans ce cadre elle col­lec­tait des in­for­ma­tions anonymes sur des uti­li­sa­teurs spé­ci­fiques sans pos­si­bi­lité de partage. La majorité des sites Internet de la liste uti­li­saient le code de traçage de la société amé­ri­caine Addthis, célèbre pour les boutons des réseaux sociaux des sites Internet.

Mais en plus de l’ignorance des opé­ra­teurs de sites Web, le problème est le manque d’in­for­ma­tion dis­po­nible pour les visiteurs des sites Internet. Nous re­com­man­dons donc fortement aux uti­li­sa­teurs de se fa­mi­lia­ri­ser avec le canvas fin­ger­prin­ting avant de décider si vous souhaitez le bloquer (voir ci-dessus). Si toutefois vous souhaitez utiliser la technique canvas fin­ger­prin­ting pour votre société sur Internet, il est alors prudent de re­cher­cher les lois de votre pays et d’informer les visiteurs de votre site que vous utilisez cette méthode de pistage en ligne, cela laisse ainsi l’option aux uti­li­sa­teurs de quitter votre site ou de cacher leurs canvas.

Aller au menu principal