Les extensions de votre navigateur web pourraient être utilisées pour vous identifier de manière unique sur le web.
Pour donner aux gens une chance d’en faire l’expérience, un chercheur en sécurité a créé un site web qui analyse les extensions Google Chrome installées pour générer une empreinte digitale, qui, selon lui, peut être utilisée pour les suivre en ligne.
« Chaque fois qu’il y a quelque chose de semi-unique dans un ordinateur, cela peut être utilisé pour dériver une empreinte digitale », a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, par e-mail. « Le caractère unique de cette empreinte digitale pourrait dépendre de ce qui est mesuré ou testé ».
Comment mettre à jour le navigateur Chrome ?
Le chercheur, qui utilise le pseudonyme z0ccc, a expliqué que l’empreinte du navigateur est une méthode puissante que de nombreux sites Web utilisent pour collecter toutes sortes de détails sur les visiteurs, notamment le type et la version de leur navigateur, leur système d’exploitation, les plugins actifs, le fuseau horaire, la langue, la résolution de l’écran et divers autres paramètres actifs.
Il a fait valoir que, même si ces points de données ne sont pas très utiles en soi, ils peuvent, une fois combinés, permettre d’identifier une personne en particulier, car il y a très peu de chances que plusieurs personnes possèdent le même ensemble de points de données.
Nos réglementations en matière de protection de la vie privée ont beaucoup de retard à rattraper.
« Les sites web utilisent les informations que les navigateurs fournissent pour identifier les utilisateurs uniques et suivre leur comportement en ligne », explique z0ccc. « Ce processus est donc appelé ’empreinte digitale du navigateur' ».
Sur la base de la combinaison des extensions installées, le site Web génère un hash de suivi qui peut être utilisé pour suivre ce navigateur particulier sur le Web.
Le chercheur a expliqué que son test Extensions Fingerprint repose sur certaines propriétés des extensions de navigateur, qui, selon lui, sont présentes dans plus de 1100 extensions, y compris les plus populaires comme AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, etc.
Il a admis que certaines extensions prennent des mesures pour empêcher leur détection. Cependant, il a trouvé une astuce pour utiliser leur comportement afin de déterminer si l’une de ces extensions protégées était installée.
Dans une interview, z0ccc a affirmé que, bien qu’il ne collecte aucune donnée concernant les extensions installées par les personnes qui utilisent son site Web, ses tests ont montré que le fait d’avoir 3+ extensions crée une empreinte digitale unique.
En substance, les personnes qui n’ont pas d’extensions installées auront la même empreinte digitale, ce qui les rend moins uniques et difficiles à suivre. À l’inverse, les personnes ayant de nombreuses extensions auront une empreinte digitale moins commune, ce qui les rendra plus susceptibles d’être suivies.
Les gants sont retirés
Dans une discussion par courriel, Harman Singh, directeur du fournisseur de services de cybersécurité Cyphere, a déclaré que l’empreinte digitale du navigateur est une technique bien connue utilisée par les sites de publicité et de marketing en ligne du monde entier.
La collecte de données fait partie intégrante de l’écosystème de la publicité en ligne, a expliqué M. Singh, et ce type d’empreinte de navigateur n’est qu’un mécanisme supplémentaire pour les aider à diffuser des publicités ciblées.
En outre, il a ajouté que même les institutions financières comme les banques utilisent ces méthodes d’empreinte de navigateur dans le cadre de leurs mécanismes de détection des fraudes, afin de déterminer si le visiteur est un véritable utilisateur ou une anomalie malveillante comme un robot.
L’empreinte de navigateur n’est pas illégale puisqu’elle ne permet pas d’identifier un utilisateur. Cependant, la collecte des données est régie par les lois sur la protection de la vie privée, telles que le règlement général sur la protection des données (RGPD) et la loi californienne sur la protection de la vie privée des consommateurs (CCPA), ajoute Singh.
Parlant spécifiquement du test Extension Fingerprints de z0ccc, Kron a expliqué que, bien qu’il soit intéressant d’un point de vue académique, son utilité semble limitée dans sa forme actuelle.
« En outre, dans mes tests limités, cela n’a pas détecté les extensions courantes dans le navigateur Edge, renvoyant le même hachage pour Chrome en mode Incognito, comme il l’a fait [dans] Edge avec l’extension LastPass installée », a déclaré Kron. « Il y a eu d’autres méthodes d’empreintes digitales qui utilisent le matériel, les calculs effectués par la carte graphique installée, par exemple, qui pourraient être un peu plus difficiles à contourner. »
Pour nous aider à suggérer des moyens pour les gens d’aider à contourner ces empreintes digitales de navigateur, Singh a déclaré qu’un bon endroit pour commencer est l’outil Panopticlick, qui donne un aperçu de la quantité et du type d’informations que votre navigateur Web révèle aux sites Web.
Par ailleurs, M. Kron estime qu’il est toujours bon de supprimer ou de désactiver les extensions de navigateur inutilisées.
« Pour les internautes, il n’est pas possible d’avoir une protection complète contre ces techniques de suivi, à moins que cela ne soit dicté par la loi », a opiné M. Singh. « Nos réglementations en matière de protection de la vie privée ont beaucoup de choses à rattraper ».