Le fingerprinting permet de suivre les internautes

Le fingerprinting permet de suivre les internautes

Is ne vont probablement pas disparaître, mais leur usage va largement diminuer : les cookies, ces petits fichiers utili­sés pour identifier un internaute et enregistrer sa navigation, sont l’un des maillons essentiels de la publicité ciblée sur Internet, et concentrent à la fois l’attention des régulateurs, des éditeurs de navigateurs Internet et des dé­fenseurs de la vie privée. Mais les cookies ne sont pas le seul outil qui permette d’espionner la navi­gation des internautes. Une autre technologie, relativement bien connue, permet dans de nombreux cas d’attribuer un identifiant unique à un utilisa­teur pour suivre son activité en ligne : le « fingerprinting », ou prise d’empreinte.

Cette pratique part d’un constat simple : la vaste majorité des in­ternautes utilisent, pour surfer sur le Web, un terminal qui présente certaines caractéristiques : son système d’exploitation, la ré­solution de son écran, le type de navigateur et son numéro de ver­sion… En croisant ces différents paramètres, on peut aboutir à une « empreinte » qui a de bonnes chances d’être unique pour peu que l’on multiplie les points de mesure ; des millions d’internau­tes utilisent un naviga­teur Chrome depuis un PC Win­dows, mais il n’y en a possible­ment qu’un seul qui utilise Chrome sur un PC Windows 8, avec une résolution d’écran de 1024 × 768 pixels, et a installé cinq extensions spécifiques sur son navigateur.

En théorie, un mouchard qui mesurerait tous ces paramètres pourrait donc identifier l’inter­naute de façon fiable, comme un commerçant qui prendrait une photographie de toutes les per­sonnes passant devant sa vitrine. Mais ces techniques, qui font par­ fois aussi appel à des outils très élaborés sont loin d’être parfaites. Plusieurs études portant sur quel­ques centaines de milliers d’inter­nautes montraient qu’il était pos­sible d’identifier ainsi plus de 80 % des internautes ; mais une autre réalisée sur deux millions d’utilisateurs sur un site com­mercial, aboutissait à la conclu­sion que seul un tiers des em­preintes étaient uniques.

Pas assez performant
« Deux facteurs expliquent princi­palement ces différences », estime Nathalie Drix, de l’Institut national de re­ cherche en sciences et technolo­gies au sein de l’UMR Cristal et créateur du site amiunique.org, qui permet de vérifier quelle est l’empreinte de votre navigateur.
« D’abord, plus la base d’utilisa­teurs est importante, plus on a sta­tistiquement de chances d’avoir des empreintes identiques. Et les études précédentes étaient en gé­néral menées sur des sites spécifi­ques, ce qui pouvait introduire une forme de biais avec une surrepré­sentation d’utilisateurs sous Linux, par exemple », ajoute­ t­’elle. Ce manque de fiabilité, par rap­port aux cookies, fait que le fin­gerprinting ne s’est jamais im­posé auprès des publicitaires. Les études à grande échelle sur les si­tes les plus fréquentés dans le monde montrent que moins de 4 % des sites utilisent cette techni­que, qui a aussi des utilisations lé­gitimes en matière de sécurité, par exemple pour identifier les machines automatisées ou véri­fier si un internaute utilise bien sa machine habituelle pour se connecter au site de sa banque.
Aujourd’hui, le fingerprinting n’est pas assez performant pour pouvoir identifier avec certitude un utilisateur de façon unique. Si on veut l’appliquer dans un sys­tème publicitaire, avec une base d’utilisateurs potentiels d’un mil­liard de personnes, ça n’est pas possible.  Par ailleurs, l’écosystème publici­taire actuel dépend beaucoup du système de real­time­ bidding [en­ chères en temps réel]. Ce système a besoin de pouvoir identifier très rapidement la personne. Or le fingerprinting nécessite de faire des tests longs, avec des temps de col­lecte des informations beaucoup plus importants que lorsqu’on uti­lise des cookies.

Malgré tout, certains naviga­teurs, comme Firefox ou Brave, ont d’ores et déjà commencé à li­miter techniquement les possibi­lités de « prise d’empreinte », an­ticipant un éventuel développe­ment de ces techniques, plus insi­dieuses que les cookies puisque, en l’absence de fichier sur sa ma­chine, il est plus difficile pour l’utilisateur de savoir quelles in­formations sont collectées.
De son côté, l’industrie publici­taire semble réfléchir à une solu­tion systémique mais encore très floue. L’Internet Advertising Bureau (IAB), la principale organisa­tion professionnelle de la publi­cité en ligne, a annoncé ce 11 fé­vrier travailler sur un « projet Rearc », vaste chantier technique visant à établir un « système d’identifiant unique et chiffré » qui « respectera la vie privée » des internautes tout en permettant de continuer à proposer de la pu­blicité ciblée.
Aucun détail technique sur ce projet, encore à l’état de ré­ flexion, n’a été communiqué.

0 Avis

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

*