Le cauchemar de la vie privée du fingerprinting des navigateurs

 (kevinboone.me)
13 points par GN⁺ 2025-11-23 | 1 commentaires | Partager sur WhatsApp
  • Le fingerprinting du navigateur (browser fingerprinting) est une technique de traçage sérieuse difficile à bloquer, même avec des cookies ou un VPN, car elle combine des informations sur l’environnement de l’utilisateur pour créer un identifiant unique
  • Divers éléments comme le système d’exploitation, la version du navigateur, la langue, le fuseau horaire, les polices, les extensions et les résultats de rendu du canvas sont combinés, ce qui accroît la possibilité d’identifier une personne
  • Des défenses simples comme la désactivation de JavaScript, le camouflage du navigateur et la manipulation du canvas peuvent au contraire laisser des indices d’identification ou casser le fonctionnement des sites web
  • Certains navigateurs comme Brave, Mullvad et Librewolf intègrent des fonctions de résistance au fingerprinting, mais une protection complète reste impossible et entraîne des désagréments comme une baisse d’ergonomie et davantage de CAPTCHA
  • Les lois existantes comme le GDPR offrent une base réglementaire floue, d’où la nécessité d’une nouvelle réponse législative

Pourquoi le fingerprinting du navigateur est apparu

  • Par le passé, les cookies tiers constituaient la principale menace pour la vie privée
    • Les cookies avaient à l’origine été conçus comme un moyen de maintenir un dialogue persistant entre le navigateur et le serveur, mais les réseaux publicitaires s’en sont servis pour relier les informations d’un utilisateur entre plusieurs sites
    • En Europe, une obligation d’information légale a été introduite à ce sujet
  • À mesure que les navigateurs ont amélioré la séparation des cookies, les risques liés au traçage par cookies ont diminué, mais le fingerprinting s’est imposé comme une nouvelle menace

Comment fonctionne le fingerprinting du navigateur

  • Il fonctionne sans cookies et permet de conserver une certaine capacité d’identification même lorsqu’un VPN est utilisé
  • Il combine les informations de base fournies par le navigateur au serveur (version du navigateur, OS, langue, fuseau horaire, etc.) afin de générer un identifiant numérique unique
  • Grâce à JavaScript, il est possible de collecter en plus des polices, des extensions et des informations matérielles
  • Le canvas fingerprint exploite les différences de pixels lors du rendu de texte par le navigateur pour repérer de légères différences selon les systèmes
    • Son unicité est si élevée que, sur environ 1 000 navigateurs, un seul peut partager le même canvas fingerprint
  • Des réglages mineurs comme la taille de la fenêtre, le thème ou la résolution peuvent aussi servir d’indices d’identification supplémentaires

Les limites des tentatives de défense

  • Désactiver JavaScript bloque le canvas fingerprint, mais fait aussi de « JavaScript est désactivé » une caractéristique rare qui devient un nouvel élément de fingerprint
  • Même si un navigateur se fait passer pour une autre plateforme (spoofing), le serveur peut déduire l’environnement réel à partir d’autres signaux
  • Des techniques de camouflage sophistiquées, comme la manipulation du canvas, peuvent provoquer des dysfonctionnements des sites web ou laisser des traces supplémentaires
  • Au final, le fingerprinting est une technique extrêmement difficile à bloquer, que les entreprises de tracking continuent de perfectionner

Réponses partielles et limites concrètes

  • Des sites de test comme amiunique.org fonctionnent dans un environnement plus simple que le tracking réel, ce qui leur donne une faible représentativité du monde réel
  • Même si un fingerprint est « unique », il peut évoluer avec le temps et ne constitue donc pas un indicateur de suivi parfait
  • Certains navigateurs comme Brave, Mullvad et Librewolf proposent des fonctions intégrées de résistance au fingerprinting
    • Librewolf active par défaut les fonctions de résistance de Firefox
    • Brave et Mullvad répondent au problème de manière différente
  • Cependant, les acteurs du fingerprinting perfectionnent eux aussi leurs techniques, si bien qu’une défense complète reste impossible

Mesures que l’utilisateur peut prendre

  • Supprimer les cookies de longue durée et utiliser un VPN constituent la base
    • Un VPN masque l’adresse IP, mais le simple fait d’en utiliser un peut lui-même devenir un élément du fingerprint
  • Conserver le navigateur dans son état par défaut et limiter au maximum les changements d’extensions, de polices et de thème
  • Plus l’on utilise un environnement courant (Windows 11 + Chrome, par exemple), plus la probabilité d’identification diminue
  • Utiliser les protections intégrées de Mullvad, Librewolf et Firefox (avec la résistance au fingerprinting activée)
  • Même en appliquant toutes les mesures, la probabilité de suivi ne baisse qu’environ de 99 % à 50 %

Les effets secondaires de la résistance au fingerprinting

  • Activer la résistance au fingerprinting dans Firefox ou Librewolf peut entraîner une taille de fenêtre fixe, l’impossibilité de changer le thème et des contraintes d’interface
  • Comme le serveur ne reconnaît pas correctement le navigateur, la fréquence des CAPTCHA augmente
  • Sur certains sites web, on peut observer des erreurs de couleur, des problèmes de positionnement du texte et d’autres dysfonctionnements visuels

Incertitude juridique et nécessité d’une régulation

  • Le GDPR comporte des dispositions sur les cookies, mais pas de règles claires concernant le fingerprinting
  • L’ICO britannique (Information Commissioner’s Office) porte un regard négatif sur le fingerprinting
  • Sa légalité reste floue, et il existe une marge pour invoquer un usage raisonnable à des fins de sécurité
  • Pour l’instant, la conclusion est qu’il faut adopter de nouvelles lois
  • Le fingerprinting est invisible pour l’utilisateur, et les données collectées ont un caractère de court terme et statistique,
    mais il est pointé comme un moyen majeur de soutenir les pratiques de tracking excessives de l’industrie publicitaire

Conclusion

  • Le fingerprinting du navigateur est une menace pour la vie privée difficile à détecter techniquement et située dans une zone grise sur le plan juridique
  • Au niveau technologique actuel, une défense complète est impossible, et il faut à la fois un renforcement de la régulation législative et des réponses au niveau des navigateurs
  • Tant que les pratiques de tracking de l’industrie publicitaire se poursuivront, l’environnement Internet restera exposé en permanence au risque d’atteinte à la vie privée

À lire aussi

1 commentaires

 
GN⁺ 2025-11-23
Commentaires sur Hacker News

  • J’avais remarqué il y a quelque temps que, chaque fois qu’on cliquait sur « ne pas traduire cette langue » dans Chrome, cette langue était automatiquement ajoutée à l’en-tête Accept-Language
    Même sans configuration manuelle, Chrome continuait d’inclure ce choix dans toutes les requêtes
    Comme cette combinaison formait un ordre de langues unique qui m’était propre, j’ai eu l’impression que cela pouvait être un signal très utile pour le fingerprinting
    Il y a bien eu une proposition à ce sujet, mais elle n’a pas été adoptée → proposition reduce-accept-language

    • Je me demande si, lorsque Chrome choisit « ne pas traduire », il suppose que l’utilisateur sait lire cette langue et l’ajoute donc à l’en-tête. C’est intéressant
    • J’ai envie de lancer un avertissement d’intérêt public (PSA) pour dire de ne pas utiliser Chrome
    • D’après le contenu de la proposition, l’idée était que le navigateur fasse la négociation de langue à la place du site, mais je trouve ça peu réaliste. Si un site est multilingue, il peut simplement afficher une interface de choix de langue à l’utilisateur
    • J’ai eu des problèmes avec la langue des sous-titres YouTube qui s’affichait n’importe comment, et même si j’accédais au service depuis plusieurs appareils, cela arrivait surtout quand j’utilisais Chrome
    • Depuis que Google a bloqué uBlock Origin, il me semble clair que Chrome et la vie privée sont incompatibles
      Article connexe : discussion HN

  • Je pense que la combinaison Firefox + Arkenfox user.js est la plus solide du point de vue de la vie privée
    Elle offre des protections au niveau du navigateur Tor, comme la suppression automatique des cookies, la falsification d’empreinte canvas et le verrouillage du fuseau horaire sur UTC
    Elle bloque les domaines publicitaires et de tracking au niveau DNS, et bloque par défaut les contenus tiers avec uBlock Origin ou uMatrix

    • Mais si seules quelques personnes utilisent ce type de configuration, cela devient en soi une empreinte
      Comme avec Tor, il faut qu’un grand nombre de personnes utilisent la même configuration pour que cela ait du sens
      Si on est seul à utiliser ce type de masquage, on devient au contraire plus visible
    • Je me demande aussi s’il est possible de masquer le nom du GPU ou l’adresse IP interne exposée via WebRTC
      En plus, de nombreux scripts de fingerprinting sont chargés depuis des domaines de première partie, ce qui rend un blocage complet difficile
    • Orion Browser(Kagi) bloque par défaut les scripts de collecte d’empreinte
      Référence : guide de confidentialité Orion
    • Les techniques anti-fingerprinting basées sur JavaScript peuvent au contraire augmenter l’unicité
    • Je me demande si la configuration Arkenfox est réellement plus puissante que le drapeau privacy.resistFingerprinting de Firefox. Les fonctions décrites semblent déjà activées par ce drapeau

  • On confond souvent caractéristiques d’identification et tracking quand on parle de fingerprinting
    Passer le fuseau horaire en UTC ne rend pas le tracking impossible
    Il existe des signaux bien plus puissants, comme l’IP ou la GeoIP
    Si une famille utilise la même IP avec des navigateurs configurés différemment, cela peut au contraire rendre le suivi plus facile
    Pour vraiment éviter le tracking, il faut combiner rotation de VPN et randomisation des en-têtes de requête
    Si on veut simplement de l’anonymat, le navigateur Tor reste le plus efficace

  • Si vous voulez mieux comprendre le fonctionnement de la collecte d’empreinte du navigateur, vous pouvez lire l’article que j’ai écrit
    Browser Fingerprinting Explained

    • Comme l’empreinte reste cohérente d’un site à l’autre, cela crée le même problème de confidentialité que les cookies tiers

  • Ce n’était pas mentionné dans l’article, mais parmi les premiers outils de diagnostic d’empreinte il y avait Cover Your Tracks (EFF)

    • Mais certains estiment qu’il ne faut pas faire une confiance totale à l’EFF

  • Je suis d’accord avec l’idée générale de l’article. Le fingerprinting est une menace majeure pour la liberté individuelle
    En même temps, je pense que les créateurs de contenu doivent être rémunérés de manière légitime
    Le modèle financé par la publicité est efficace, mais au prix de la vie privée

    • En réalité, on dirait que l’industrie publicitaire nous a trompés avec l’argument de la « rémunération des créateurs »
      La plupart des blogueurs ne gagnent pas grand-chose, et ce sont surtout les régies publicitaires qui s’enrichissent
      Je trouve que l’internet d’autrefois, centré sur le contenu gratuit, était plus sain
    • La solution est simple : il suffit de revenir aux publicités contextuelles (contextual ads)
    • Le problème, ce n’est pas la publicité en elle-même, c’est le tracking
      Le fait de me suivre ne rend pas non plus les publicités plus efficaces
      Au contraire, on me répète des publicités pour des produits dont je n’ai pas besoin
      C’est une expérience glauque comparable à une boutique physique qui ferait de la pub ciblée par reconnaissance faciale
    • Je me demande ce qu’on pourrait faire avec un modèle pay-per-view plutôt qu’un « abonnement à 5 dollars par mois »
      Si le coût publicitaire n’était pas intégré au prix des produits, tout pourrait même devenir moins cher au final
    • Si des micropaiements anonymes étaient possibles, cela pourrait résoudre non seulement le problème de la surveillance, mais aussi celui de la défense contre les DDoS
      J’imagine un système où l’on paie 1 centime par page vue, avec un prix qui augmente selon la charge du serveur

  • Cela me rappelle un jeu qu’on faisait en cours de classification des données
    « Combien de questions oui/non faut-il pour identifier toutes les personnes dans cette pièce ? »
    C’est de cette manière que le fingerprinting du navigateur réduit progressivement l’ensemble des personnes possibles à partir de quelques signaux
    Par exemple, la combinaison « Linux + Firefox + moniteur de gauche » réduit déjà la population à plusieurs dizaines de milliers de personnes

    • Mais si les questions sont fortement corrélées entre elles, la quantité d’information diminue
      Par exemple, « cheveux longs ? » et « femme ? » portent des informations proches, donc n’ajoutent presque aucun bit supplémentaire
      À l’inverse, une question comme « metalhead ? » fournit beaucoup d’information quand la réponse est rarement « oui »
    • Une remarque plus simple a aussi été faite : « ne devrait-on pas se limiter à des questions oui/non ? »

  • Le cœur du problème, c’est qu’on a fait du modèle où du JavaScript charge et exécute encore d’autre JavaScript le comportement par défaut
    Stallman avait raison

    • Mais le vrai problème n’est peut-être pas JavaScript en soi, plutôt le fait que des technologies comme WebRTC ou WebGL s’exécutent sans autorisation et soient détournées pour collecter des empreintes
    • Plus je vieillis, plus je me rends compte à quel point RMS était un guerrier de la liberté
    • Cela dit, beaucoup de scripts de fingerprinting s’exécutent depuis des domaines de première partie comme Cloudflare ou Akamai, donc bloquer simplement JS ne suffit pas
    • Le navigateur fonctionne comme un soldat idiot qui fait entrer le cheval de Troie
    • Bloquer totalement JS casserait la moitié du web, donc ce n’est pas une alternative réaliste. Le fingerprinting reste possible même sans JS

  • Pour vérifier quelles informations votre navigateur expose, le site Am I Unique? est utile

  • Pour être utile, une empreinte doit avoir non seulement de l’unicité, mais aussi de la persistance
    Si on installait et supprimait des polices aléatoirement à chaque fois, ne deviendrait-il pas impossible de relier la personne d’aujourd’hui à celle de demain ?

    • Mais d’après les recherches, même si l’empreinte change avec le temps, on peut quand même estimer qu’il s’agit du même utilisateur avec une précision de 99,1 %
      Référence : PDF de recherche EFF, explication de Mullvad
    • En pratique, on ne peut vérifier que la présence de certaines polices installées, sans obtenir la liste complète
      L’API queryLocalFonts de Chrome nécessite une fenêtre d’autorisation
    • Si on soumet une empreinte trop irréaliste, cela devient au contraire une autre empreinte à cause de la détection de falsification
      BD connexe : xkcd 1105
    • Avec les cookies, l’empreinte elliptique de la poignée de main SSL, la classification en personas anonymes fondée sur le RGPD/CCPA, etc., on finit de toute façon par être reconnecté
      Aujourd’hui, on détermine à quelle persona appartient un utilisateur en moins de 5 ms pendant le chargement de la page
      Cela dit, la plupart des plateformes de données suppriment automatiquement les données après 90 jours pour rester conformes au RGPD