Un traceur bien collant

Vous pensez qu’en nettoyant vos cookies vous pourriez redevenir anonyme ?

En réalité, il existe de multiples autres lieux dans votre navigateur pour garder un identifiant de manière persistante. Vous voulez une démo ? OK.

Comme un tour de magie, je vous assigne un prénom. Vous serez .

Vous aurez beau supprimer vos cookies de votre navigateur, lorsque vous reviendrez sur cette page, vous aurez toujours le même prénom. Essayez.

Pour vérifier que je n’ai pas juste « hardcodé » ce prénom. Ouvrez cette page dans un autre navigateur ou dans un onglet en mode « navigation privée », vous verrez un autre prénom.

Comment est-ce possible ? Pour ce démonstrateur, je me suis basé sur Evercookie. Ce code a été écrit en 2010, un éternité pour Internet. Pourtant, en contradiction avec le discours des éditeurs de navigateurs qui indiquent prendre au sérieux votre vie privée, ses techniques restent applicables aujourd’hui.

Pourquoi? Car les méthodes de suivi utilisent des fonctionnalités du web que l’utilisateur ne veut pas bloquer car elles sont nécessaire pour une navigation rapide. Notamment, parmi les plus effectives à mon avis :

  • Webstorage, IndexDB, etc… : Ce sont des espaces de stockage de valeurs sur votre ordinateur disponibles pour chaque site web. Si vous les désactivez, vous ne pouvez plus consulter Twitter, Mastodon, etc.. ni lire les commentaires sur certains sites web comme NextInpact. Bref, c’est de plus en plus utilisé pour les sites complexes et vous ne pouvez plus vous en passer.
  • Cache de fichiers du navigateur (etag, png, etc…) : C’est un espace de stockage de fichiers sur votre ordinateur pour accélérer le chargement des pages en réduisant le volume de données à télécharger. En gros, la première fois que vous visitez un site web, votre navigateur va télécharger les fichiers (images, scripts, etc…) et les garder de coté. Comme cela, si vous revenez sur le site plus tard, votre navigateur va juste demander au site web si les fichiers ont changé et si ce n’est pas le cas, les recharger depuis le cache plutôt que de les re-télécharger. Ça va plus vite et économise votre forfait Internet.

J’ai poussé le vice à permettre à d’autre sites web de partager mon traceur. Si bien que le prénom que je vous ai assigné est récupérable depuis un autre site web. Un site web que vous n’avez jamais visité peut ainsi savoir qui vous êtes. (Il suffit de reprendre le bout de code javacript de cet article pour récupérer le prénom sur votre site web)

Par ce truchement, les scripts qui sont inclus sur la plupart des pages web tels que ceux de Google et Facebook, peuvent collecter depuis longtemps tout votre historique de navigation.

Les éditeurs de navigateurs ont beau essayer de se défendre contre le fingerprinting, je pense que la guerre est perdue. Le programmeur web a accès à tellement de fonctionnalités que vous ne pouvez plus contrôler efficacement comment il gère vos données. De plus, 90% du marché de la pub numérique se déroule sur smartphone, là où l’utilisateur a encore moins de contrôle sur son navigateur (vous avez trouvé un moyen d’afficher vos cookies sur Firefox mobile… ? ).

Et ce que je vous montre là est un jouet de 2010. Depuis, les « applications » permettent à Google, Facebook et Microsoft de remonter encore plus de données (localisation, historique de visites, recherches, emails, contacts, photos, documents, etc…)

Ça me fait penser à la différence logiciel libre/fermé sur votre ordinateur. Pour fonctionner aisément, les logiciels présents sur votre ordinateur ont besoin d’accéder librement à ses ressources : écran, clavier, mot de passes, données, CPU, imprimante, webcam, connexion réseau, etc… Pourtant vous ne voulez pas que :

  • le logiciel de capture d’écran envoie des photos de ce vous faites par Internet dans votre dos
  • qu’un logiciel vole vos mots de passe. Mais l’autologin c’est pas mal quand même.
  • qu’un jeu écoute le clavier quand vous êtes sur le site de votre banque.
  • que votre tableur envoie vos données à Microsoft cloud.
  • qu’un jeu se mette à miner des Bitcoin et vous laisse avec la facture d’électricité et un ordi asthmatique.
  • que Skype se mette à filmer en permanence chez vous.

Comment contrôlez vous cela ? Les permissions à la Android ne marchent pas. Dans la pratique, une application bancaire ne se gêne pas pour vous imposer  de donner toutes vos données pour pouvoir utiliser son service. A part en utilisant des logiciels au code libre et vérifié par une communauté je ne vois pas.

Donc à mon avis, la sortie ne se trouve que dans l’usage de sites web respectueux de leur utilisateurs. C’est à dire, pour commencer, pas ceux dont l’existence dépend de la revente des données de leur utilisateurs. C’est à dire Google, Facebook, etc… mais aussi la plupart des sites de journaux.

Il existe des alternatives à ces services à promouvoir tels que Mastodon, NextInpact si vous considérez que votre vie privée n’est pas à vendre.

Comment bloquer ce traceur ?

Empêcher ce suivi nécessite de bloquer l’exécution du script de suivi sans bloquer les autres script nécessaires pour une navigation agréable sur le web. C’est possible avec Umatrix ou une liste personnalisée dans Ublock car j’utilise un nom de domaine bien spécifique pour héberger ce traceur. Mais si le code était embarqué parmi un bouton like de Facebook ou une vidéo intégrée Youtube ce serait beaucoup plus compliqué…

Comment effacer ce traceur ?

Effacer l’historique récent (Ctrl-maj-suppr sous Firefox)

9 Comments

Add a Comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.