Tech & internet

De YouPorn au site de la Maison Blanche, un outil traque «l'empreinte» de votre ordinateur

Temps de lecture: 2 minutes - Repéré sur ProPublica, Mashable

Jusqu'à il y a quelques heures, le site de la Maison Blanche et le site YouPorn avaient un point commun: le canvas fingerprinting. Ou comment un navigateur demande à votre ordinateur de dessiner une image cachée lorsqu’un site le lui demande. Comme il y a de fortes chances que chaque ordinateur crée un dessin différent –d’où la notion d’empreinte («fingerprint» en anglais)–, cet outil est capable d’assigner un identifiant à votre ordinateur qui le distingue des autres.

A partir de ce numéro unique, un profil peut être être construit en fonction des sites que l'internaute visite. Profil qui permet de déterminer quelles publicités, quels articles d'actualité et autres contenus il se voit proposer.

L'outil a été créé en 2012 et c'est la compagnie AddThis qui a développé ensuite le code implanté sur 95% des sites qui l’utilisent, rapporte le site américain ProPublica, qui a enquêté sur le sujet

Voici, par exemple, l’image que produit l’ordinateur sur lequel a été écrit cet article chez Slate.fr, grâce au module de test disponible sur Propublica:

Si un pixel est différent d’une autre image produite par un autre ordinateur, cela le différencie de tous les autres qui visitent un site. Julia Angwin, qui a écrit l'enquête de ProPublica, explique:

«Chaque ordinateur a différentes polices de caractères, différents logiciels, l'horloge est paramétrée différement, etc. Les ordinateurs enregistrent automatiquement toutes ces caractéristiques lorsqu'ils se connectent à un autre ordinateur via Internet.» 

Le problème, c’est qu’il est très difficile de bloquer ce procédé en modifiant simplement les paramètres de sécurité d'un navigateur ou grâce à des extensions comme AdBlock Plus, utilisé pour bloquer les cookies qui traquent déjà la navigation sur le web.

Sur les sites comme celui de la Maison Blanche ou YouPorn, il n'est jamais demandé de cliquer pour que ce dessin soit créé. L’internaute n’a jamais conscience qu’il existe.

Les chercheurs de Princeton et de l’université KU Leuven en Belgique, qui ont étudié la question, ont trouvé Addthis sur 5% des 100.000 sites qui génèrent le plus de trafic au monde. Cette technique d'«empreinte» a été utilisée par d'autres services, comme Ligatus [1], qui fait notamment apparaître des publicités à la fin des articles sur de nombreux sites de médias (dont Slate.fr), ou le site canadien de rencontres Plentyoffish. La liste complète, disponible ici, inclut également des sites français comme linternaute.com ou programme-tv.net.

Après la publication de l’enquête, YouPorn a réagi: une porte-parole a expliqué que le site porno «n'était pas conscient qu'AddThis comprenait un système de tracking qui pouvait potentiellement menacer la sécurité» de ses utilisateurs. AddThis a été depuis retiré de YouPorn.

L’un des cadres dirigeants d’AddThis a de son côté expliqué que les données ne sont exploitées que pour des recherches au sein de l’entreprise et le développement de l’outil si les utilisateurs installent un cookie spécifique (disponible ici).

Mais pour s'assurer encore plus que «l'empreinte» de votre ordinateur n'est pas identifiée sur l'un des 13 millions de site qui utilisent cette technologie, voici les conseils de Mashable, qui a enquêté avec Propublica:

– Naviguez sur internet grâce à Tor;

– Empêchez Javascript de se charger sur votre navigateur (attention, cela peut «casser» de nombreux sites);

– Utilisez l’extension NoScript, qui bloque JavaScript, qui prend «l'empreinte» via AddThis (cela peut prendre beaucoup de temps, de recherche notamment);

–Installez des cookies qui signalent aux collecteurs d’empreinte que vous ne souhaitez pas que l’empreinte de votre ordinateur soit identifiée. (Attention, «l'empreinte» peut quand même être collectée, mais les compagnies s’engagent à ne pas les utiliser pour de la publicité contextualisée ou de la personnalisation).

[1] Mise à jour à 13h50: Le directeur général de Ligatus pour l'Europe du Sud explique à Slate.fr qu'il s'agissait d'une utilisation en test sur quelques dizaines de sites. Il affirme que ces tests ont été arrêtés après quelques semaines mais que certaines lignes de code sont restées sans être efficientes, d'où la présence de Ligatus dans la liste publiée par les chercheurs de Princeton. «Nous avons collecté durant une phase de test des identifiants anonyme sans possibilités de les relier à des utilisateurs. À aucun moment, Ligatus a stocké des données utilisateurs dans un but opérationnel ou ne les a incorporées dans un processus d'optimisation ou de diffusion de publicité sur son réseau. Ce test d'une durée limitée est désormais terminé.»

 

cover
-
/
cover

Liste de lecture