Jusqu'à il y a quelques heures, le site de la Maison Blanche et le site YouPorn avaient un point commun: le canvas fingerprinting. Ou comment un navigateur demande à votre ordinateur de dessiner une image cachée lorsqu’un site le lui demande. Comme il y a de fortes chances que chaque ordinateur crée un dessin différent –d’où la notion d’empreinte («fingerprint» en anglais)–, cet outil est capable d’assigner un identifiant à votre ordinateur qui le distingue des autres.
A partir de ce numéro unique, un profil peut être être construit en fonction des sites que l'internaute visite. Profil qui permet de déterminer quelles publicités, quels articles d'actualité et autres contenus il se voit proposer.
L'outil a été créé en 2012 et c'est la compagnie AddThis qui a développé ensuite le code implanté sur 95% des sites qui l’utilisent, rapporte le site américain ProPublica, qui a enquêté sur le sujet.
Voici, par exemple, l’image que produit l’ordinateur sur lequel a été écrit cet article chez Slate.fr, grâce au module de test disponible sur Propublica:
Si un pixel est différent d’une autre image produite par un autre ordinateur, cela le différencie de tous les autres qui visitent un site. Julia Angwin, qui a écrit l'enquête de ProPublica, explique:
«Chaque ordinateur a différentes polices de caractères, différents logiciels, l'horloge est paramétrée différement, etc. Les ordinateurs enregistrent automatiquement toutes ces caractéristiques lorsqu'ils se connectent à un autre ordinateur via Internet.»
Le problème, c’est qu’il est très difficile de bloquer ce procédé en modifiant simplement les paramètres de sécurité d'un navigateur ou grâce à des extensions comme AdBlock Plus, utilisé pour bloquer les cookies qui traquent déjà la navigation sur le web.
Sur les sites comme celui de la Maison Blanche ou YouPorn, il n'est jamais demandé de cliquer pour que ce dessin soit créé. L’internaute n’a jamais conscience qu’il existe.
Les chercheurs de Princeton et de l’université KU Leuven en Belgique, qui ont étudié la question, ont trouvé Addthis sur 5% des 100.000 sites qui génèrent le plus de trafic au monde. Cette technique d'«empreinte» a été utilisée par d'autres services, comme Ligatus[1], qui fait notamment apparaître des publicités à la fin des articles sur de nombreux sites de médias (dont Slate.fr), ou le site canadien de rencontres Plentyoffish. La liste complète, disponible ici, inclut également des sites français comme linternaute.com ou programme-tv.net.
Après la publication de l’enquête, YouPorn a réagi: une porte-parole a expliqué que le site porno «n'était pas conscient qu'AddThis comprenait un système de tracking qui pouvait potentiellement menacer la sécurité» de ses utilisateurs. AddThis a été depuis retiré de YouPorn.
L’un des cadres dirigeants d’AddThis a de son côté expliqué que les données ne sont exploitées que pour des recherches au sein de l’entreprise et le développement de l’outil si les utilisateurs installent un cookie spécifique (disponible ici).
Mais pour s'assurer encore plus que «l'empreinte» de votre ordinateur n'est pas identifiée sur l'un des 13 millions de site qui utilisent cette technologie, voici les conseils de Mashable, qui a enquêté avec Propublica:
– Naviguez sur internet grâce à Tor;
– Empêchez Javascript de se charger sur votre navigateur (attention, cela peut «casser» de nombreux sites);
– Utilisez l’extension NoScript, qui bloque JavaScript, qui prend «l'empreinte» via AddThis (cela peut prendre beaucoup de temps, de recherche notamment);
–Installez des cookies qui signalent aux collecteurs d’empreinte que vous ne souhaitez pas que l’empreinte de votre ordinateur soit identifiée. (Attention, «l'empreinte» peut quand même être collectée, mais les compagnies s’engagent à ne pas les utiliser pour de la publicité contextualisée ou de la personnalisation).
Infos d'utilité Geek by WIN