Canvas fingerprinting, un cookies qui ne se bloque pas

Des chercheurs américains et belges ont démontré une nouvelle technique permettant d’identifier un navigateur ou une machine et suivre en permanence son comportement sur la Toile, sans moyen de la bloquer.

July 23, 2014

Des chercheurs américains et belges ont démontré une nouvelle technique permettant d’identifier un navigateur ou une machine et suivre en permanence son comportement sur la Toile, sans moyen de la bloquer : Canvas fingerprinting.

Depuis le 1er juillet, des chercheurs de l’université de Louvain et de Princeton ont publié un rapport sur le canvas fingerprinting : une méthode de pistage qui consiste à demander au navigateur de générer une image cachée à partir de texte. Le remplaçant du cookie est né et il semble coriace.

Pister toutes les empreintes

En utilisant l’API Canvas, implémentée dans les navigateurs récents, il est possible d’identifier de manière unique chaque navigateur ou appareil qui accède au Web. Il suffirait d’une fraction de seconde pour que cette empreinte soit prise, sans bien sûr que l’utilisateur soit au courant et sans qu’il ne puisse vraiment s’y opposer. Il est très difficile de l’éliminer, que ce soit en activant une option ad hoc, en vidant le cache ou en installant des extensions comme AdBlock Plus. La seule méthode radicale consiste à bloquer JavaScript, mais elle compromet l’accès à de nombreux sites Web.

La chasse est ouverte

Les six chercheurs sont partis à la chasse au script : sur les 100 000 sites les plus fréquentés dans le monde (selon Alexa), plus de 5,5% de ces sites contiennent le script. 95% de ces espions proviennent d’une seule et même source : Addthis, son créateur.

Richard Harris, directeur général d’AddThis, a déclaré « Nous cherchons une alternative aux cookies ». Lancé l’année dernière, le système serait près d’être abandonné faute de résultats. Si l’empreinte est unique, elle n’est précise qu’à 90% et ne pas bien fonctionner sur mobile.

Dessine moi un cookie

Pour comprendre comment cela fonctionne, voici la méthode identifiée : le canvas demande à l’ordinateur de dessiner une image cachée lorsqu’il se connecte à un site, sans que l’internaute la voit. L’ordinateur crée un dessin qui sera différent pour chaque ordinateur. Il n’y a plus qu’à assigner un identifiant à chaque ordinateur qui le distingue des autres. L’empreinte est alors créée avec un numéro unique et va répertorier tous les sites visités.

Parmi les victimes de ce ‘widget’ (parfois à leur insu) : YouPorn, la Maison Blanche, le FAI allemand T-Online, UStream.tv, L’Internaute ou même Programme-TV. En tout il y en aurait plus de 13 millions.

Watch video

In the same category