Un traceur bien collant

Vous pensez qu’en nettoyant vos cookies vous pourriez redevenir anonyme ?

En réalité, il existe de multiples autres lieux dans votre navigateur pour garder un identifiant de manière persistante. Vous voulez une démo ? OK.

Comme un tour de magie, je vous assigne un prénom. Vous serez .

Vous aurez beau supprimer vos cookies de votre navigateur, lorsque vous reviendrez sur cette page, vous aurez toujours le même prénom. Essayez.

Pour vérifier que je n’ai pas juste « hardcodé » ce prénom. Ouvrez cette page dans un autre navigateur ou dans un onglet en mode « navigation privée », vous verrez un autre prénom.

Comment est-ce possible ? Pour ce démonstrateur, je me suis basé sur Evercookie. Ce code a été écrit en 2010, un éternité pour Internet. Pourtant, en contradiction avec le discours des éditeurs de navigateurs qui indiquent prendre au sérieux votre vie privée, ses techniques restent applicables aujourd’hui.

Pourquoi? Car les méthodes de suivi utilisent des fonctionnalités du web que l’utilisateur ne veut pas bloquer car elles sont nécessaire pour une navigation rapide. Notamment, parmi les plus effectives à mon avis :

  • Webstorage, IndexDB, etc… : Ce sont des espaces de stockage de valeurs sur votre ordinateur disponibles pour chaque site web. Si vous les désactivez, vous ne pouvez plus consulter Twitter, Mastodon, etc.. ni lire les commentaires sur certains sites web comme NextInpact. Bref, c’est de plus en plus utilisé pour les sites complexes et vous ne pouvez plus vous en passer.
  • Cache de fichiers du navigateur (etag, png, etc…) : C’est un espace de stockage de fichiers sur votre ordinateur pour accélérer le chargement des pages en réduisant le volume de données à télécharger. En gros, la première fois que vous visitez un site web, votre navigateur va télécharger les fichiers (images, scripts, etc…) et les garder de coté. Comme cela, si vous revenez sur le site plus tard, votre navigateur va juste demander au site web si les fichiers ont changé et si ce n’est pas le cas, les recharger depuis le cache plutôt que de les re-télécharger. Ça va plus vite et économise votre forfait Internet.

J’ai poussé le vice à permettre à d’autre sites web de partager mon traceur. Si bien que le prénom que je vous ai assigné est récupérable depuis un autre site web. Un site web que vous n’avez jamais visité peut ainsi savoir qui vous êtes. (Il suffit de reprendre le bout de code javacript de cet article pour récupérer le prénom sur votre site web)

Par ce truchement, les scripts qui sont inclus sur la plupart des pages web tels que ceux de Google et Facebook, peuvent collecter depuis longtemps tout votre historique de navigation.

Les éditeurs de navigateurs ont beau essayer de se défendre contre le fingerprinting, je pense que la guerre est perdue. Le programmeur web a accès à tellement de fonctionnalités que vous ne pouvez plus contrôler efficacement comment il gère vos données. De plus, 90% du marché de la pub numérique se déroule sur smartphone, là où l’utilisateur a encore moins de contrôle sur son navigateur (vous avez trouvé un moyen d’afficher vos cookies sur Firefox mobile… ? ).

Et ce que je vous montre là est un jouet de 2010. Depuis, les « applications » permettent à Google, Facebook et Microsoft de remonter encore plus de données (localisation, historique de visites, recherches, emails, contacts, photos, documents, etc…)

Ça me fait penser à la différence logiciel libre/fermé sur votre ordinateur. Pour fonctionner aisément, les logiciels présents sur votre ordinateur ont besoin d’accéder librement à ses ressources : écran, clavier, mot de passes, données, CPU, imprimante, webcam, connexion réseau, etc… Pourtant vous ne voulez pas que :

  • le logiciel de capture d’écran envoie des photos de ce vous faites par Internet dans votre dos
  • qu’un logiciel vole vos mots de passe. Mais l’autologin c’est pas mal quand même.
  • qu’un jeu écoute le clavier quand vous êtes sur le site de votre banque.
  • que votre tableur envoie vos données à Microsoft cloud.
  • qu’un jeu se mette à miner des Bitcoin et vous laisse avec la facture d’électricité et un ordi asthmatique.
  • que Skype se mette à filmer en permanence chez vous.

Comment contrôlez vous cela ? Les permissions à la Android ne marchent pas. Dans la pratique, une application bancaire ne se gêne pas pour vous imposer  de donner toutes vos données pour pouvoir utiliser son service. A part en utilisant des logiciels au code libre et vérifié par une communauté je ne vois pas.

Donc à mon avis, la sortie ne se trouve que dans l’usage de sites web respectueux de leur utilisateurs. C’est à dire, pour commencer, pas ceux dont l’existence dépend de la revente des données de leur utilisateurs. C’est à dire Google, Facebook, etc… mais aussi la plupart des sites de journaux.

Il existe des alternatives à ces services à promouvoir tels que Mastodon, NextInpact si vous considérez que votre vie privée n’est pas à vendre.

Comment bloquer ce traceur ?

Empêcher ce suivi nécessite de bloquer l’exécution du script de suivi sans bloquer les autres script nécessaires pour une navigation agréable sur le web. C’est possible avec Umatrix ou une liste personnalisée dans Ublock car j’utilise un nom de domaine bien spécifique pour héberger ce traceur. Mais si le code était embarqué parmi un bouton like de Facebook ou une vidéo intégrée Youtube ce serait beaucoup plus compliqué…

Comment effacer ce traceur ?

Effacer l’historique récent (Ctrl-maj-suppr sous Firefox)

9 réactions sur “ Un traceur bien collant ”

  1. Mirabellette

    C’est triste quand même triste le détournement de la technologie.

    Quand on en arrivera à l’encapsulation généralisée des applications dans des machines virtuelles jetables avec anonymisaton généralisée des adresses ips, certains vont pleurer.

    En parallèle, on a de la chance que le GDPR soit passé en Europe, il freine un peu certaines entreprises dans le choix de la facilité.

  2. Superecureuil

    Bonnes nouvelles sur mobile:
    – en utilisant Privacy Browser (Tor), aucun nom ne s’affiche.
    – en utilisant Firefox Klar (aussi appelé « Focus » en France), le nom change à chaque fois que l’on se recharge la page.

    Par contre sur mon firefox mobile, j’ai beau « effacer mes traces » complètement (toutes cases cochées), le même nom m’est réattribué à chaque fois!
    Une solution???

  3. Superecureuil

    Mon lecteur de flux rss non plus ne m’affiche pas de nom… Tout n’est pas pas perdu pour les adeptes de l’anonymat (-;

  4. Tuxicoman Auteur Article

    @Superecureil : la solution pour l’effacer est indiquée à la fin de l’article ;)
    Ton lecteur RSS n’affiche pas de nom car il n’execute pas de code javascript.

  5. Futing Zhang

    Bonjour,

    Je sais que vous recevez beaucoup de propositions publicitaires ou sans rapport avec votre contenu, alors je vais aller droit au but : j’aimerais beaucoup vous soumettre un article en tant qu’invité ou sponsorisé pour qu’il soit publié sur votre site.

    Cet article est en rapport avec le contenu de votre site web, et bien sûr, il est utile et informatif, ce que votre audience pourrait apprécier.

    Si vous acceptez les articles extérieurs ou sponsorisés, j’aimerai connaitre le prix pour pouvoir publier sur votre site.

    En vous remerciant par avance pour votre temps et l’attention que vous porterez à ma demande!

    Sincères amitiés.
    Futing

  6. phil

    @Futing Zhang:
    Tu te fous de la gueule des gens ? 😂😂😂

  7. EC.

    Merci.

    En effet, Firefox Focus échappe à ce script, ainsi que le serveur rss tt-rss.
    Et noscript sous firefox ?

    La course contre le fingerprint sera longue …

    Merci pour la démonstration.

  8. Tuxicoman Auteur Article

    @Futing : Ce n’est pas le genre de la maison. Si vous avez un produit, idée, ou autre qui peut intéresser mes lecteurs. Vous pouvez le décrire ici et je jugerai si je veux en parler.

  9. Superecureuil

    @Tuxicoman: J’efface bien mon historique récent (pas avec Ctrl-maj-suppr puisque je suis sur Firefox mibile) avec « effacer mes traces » complètement (toutes cases cochées). Puis redémarrage de firefox).
    Cela ne semble pas fonctionner pour effacer le traceur puisque le même nom continue de m’être attribué.
    Une autre solution???

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.