Fingerprinting – encore une technique de traçage et de profilage

Dans un article récent de IEEE Spectrum les auteurs montrent que les techniques utilisées par les entreprises de traçage et de profilage vont bien au-delà de ce qu'on croyait possible, et se jouent des protections installées dans les navigateurs.

Au début étaient les cookies. Chaque site peut envoyer à votre navigateur un petit paquet d’information qui est stocké localement sur votre ordinateur et peut être interrogé ultérieurement par le site. Les cookies sont principalement utilisés pour implémenter la notion de connexion à un site (connexion, utilisation, déconnexion) ou de transaction longue (p.ex. l’achat de plusieurs objets sur un site). Il peuvent aussi servir à stocker les préférences et autres paramètres d’un utilisateur pour chaque site.

Les cookies ont rapidement été mis à contribution par les publicistes. En mémorisant les actions d’un utilisateur sur un site ils peuvent en déduire ses intérêts, ses habitudes, etc.  et donc lui présenter des articles ou publicités mieux ciblées. Mais il y a plus, des sites peuvent se mettre d’accord pour partager leurs cookies. C’est pourquoi Google mail est capable d’afficher des publicités pour le type de livres qui vous intéresse ou pour les destinations de vacances auxquelles vous réfléchissez actuellement.

Mais il est facile de se protéger de ces manoeuvres, il suffit d’effacer régulièrement les cookies stockées par son navigateur. Qu’à cela ne tienne, les publicistes et les officines un peu troubles auxquelles ils recourent ont trouvé mieux : on ne va plus stocker les informations dans les cookies, donc chez l’utilisateur, mais de manière centralisée dans des serveurs spécialisés. Ainsi, chaque fois qu’un information vous concernant est collectée, elle vient s’ajouter à votre “fiche” sur le serveur.

Comment ça marche ? Lorsqu’un site fait afficher un bannière publicitaire, celle-ci est fournie par un serveur spécialisé. En plus du contenu visuel de la bannière, le site envoie un script (en javascript) qui vient s’exécuter dans le navigateur. Ce script collecte un maximum d’information dans le navigateur (URL de la page actuellement visitée, etc.) et l’envoie au serveur. Mais surtout, le script collecte des information permettant d’identifier de manière unique l’utilisateur. Sachant qu’un utilisateur utilise pratiquement toujours la même machine et le même navigateur (éventuellement une ou deux autres), le script récupère la taille de l’écran, la liste des polices installées, la liste des plugins installés, le fuseau horaire, etc. Ces informations sont suffisamment différentes d’un utilisateur à l’autre pour pouvoir les identifier de manière unique, comme le montre  le Panopticlic de l’Electronic frontier foundation. Et voilà !

Il est extrêmement difficile de lutter contre ce traçage car effacer les cookies ne sert à rien, ajouter un plugin de défense ne fait que mettre la puce à l’oreille des traceurs, changer de machine tous les jours est difficile, …