Canvas Fingerprinting

Le canvas fingerprinting est un modèle de suivi ou tracking qui utilise plusieurs paramètres pour identifier un utilisateur qui surfe sur le Web. Cette technique utilise des différences minimales dans des systèmes d'exploitation, des configurations et des programmes et crée en arrière-plan ce qu'on appelle une image canvas ou "toile de fond", qui diffère des paramètres mentionnés ci-dessus. Les utilisateurs se voient ensuite attribuer des numéros d'identification uniques et indépendants de la personne. Cela permet d'identifier les utilisateurs lorsqu'ils visitent un site Web qui utilise également la méthode de canvas fingerprinting.

Informations générales

Cette méthode de suivi repose sur l'élément canvas, qui appartient au répertoire standard du langage de balisage HTML5. L'élément canvas est un champ dans lequel on définit un domaine particulier à l'aide de JavaScript^[1]. Il est soutenu par tous les navigateurs actuels et peut servir à créer des logos, des boutons et des illustrations. Il peut aussi contenir du texte, comme c'est le cas dans le canvas fingerprinting.

L'idée de cette méthode de suivi a été formulée pour la première fois par deux chercheurs de l'Université de Californie (Keaton Mowery et Hovav Shacham) : l'élément canvas pourrait servir à produire une empreinte digitale individuelle qui est dépendante des configurations du client, c'est-à-dire de l'ordinateur de l'usager.

Après qu'il eut découvert cette étude, le programmateur russe Valentin Vasilyev a développé un code pour cette méthode Canvas et mis en ligne. L'entreprise Addthis a utilisé ceci comme point de départ et a développé un code source jusqu'à ce que la méthode de suivi ait été rendue utilisable^[2].

Mode de fonctionnement

De manière bien différente des cookies, les critères relativement uniques de l'ordinateur, de la tablette ou du smartphone de l'utilisateur sont utilisés avec le canvas fingerprinting pour obtenir une « image canvas » qui contient un petit texte. L'image est téléchargée en arrière-plan et utilise les configurations du système de l'usager. L'apparence de l'image dépend des paramètres individuels du client. Cela comprend le système d'exploitation, le navigateur, la carte graphique, le pilote graphique et les polices installées.

Ces éléments seront utilisés pour former l'image sans que l'utilisateur en ait connaissance. Cela produit une empreinte digitale qui attribue une ID au serveur. Ceci permet de pouvoir suivre le ressenti de l'utilisateur sur Internet dès lors qu'il visite un autre site web quand la méthode de suivi entre en jeu.

Empêcher le canvas fingerprinting

Le Canvas Fingerprinting est décrit comme la méthode de suivi la plus moderne. Il n'utilise aucun cookies et on ne peut l'empêcher que par des moyens spéciaux.

Le JavaScript peut par exemple être désactivé. Cela veut toutefois dire qu'une majeure partie des sites Web disponibles ne s'afficheront plus correctement.
Un autre moyen est Adblock Plus qui bloque l'initiation d'un script ou qui informe au moins l'utilisateur qu'un script sera téléchargé en arrière-plan. Il faut cependant que la liste de filtres EasyPrivacy de Easylist et que d'autres listes comme uBlock soient liées au bloqueur de publicité.
D'autres outils spéciaux ou plugins comme Chameleon peuvent empêcher le canvas fingerprinting.
Pour finir, des réseaux anonymes comme Tor ou Anonymsurfen peuvent être utilisés pour faire barrage au canvas fingerprinting.

Le problème en lui-même réside dans le fait que l'utilisateur doit savoir bien manier son l'ordinateur et Internet pour se protéger de façon efficace du canvas fingerprinting.

Importance pour l'analyse web

Le canvas fingerprinting est actuellement considéré comme une méthode relativement précise qui peut s’appliquer jusqu’à 90% des utilisateurs. Certaines configurations du système peuvent être similaires, voire identiques, chez les usagers. Dans de tels cas, le suivi permet à l'usager d'obtenir une ID ; l'ID fonctionne en fait pour deux utilisateurs différents. Le fingerprinting fonctionne en revanche relativement mal sur les appareils mobiles.

Ceci étant, le canvas fingerprinting est déjà employé sur 5,5% des 100 000 sites web les plus recherchés selon le classement Alexa. On retrouve par exemple le site web du gouvernement des États-Unis ou la page d'accueil de T-online. Le canvas fingerprinting est visiblement utilisé pour de nombreux sites de streaming diffusant divers contenus.

Dans certains cas, les exploitants des sites n'ont aucune connaissance de ces méthodes, puisque des entreprises comme Addthis sont en fait intégrées pour les services d’intégration de signets. Certains fournisseurs de publicité ont également déjà été soupçonnés d'avoir utilisé le canvas fingerprinting à l'insu des partenaires publicitaires. Le but officiel était d'effectuer un test de fonctionnement.

Un avantage de cette méthode reste cependant d'effectuer un suivi sans données personnelles. D'autre part, la méthode montre clairement que le suivi est également possible sans cookies. Le canvas fingerprinting est actuellement en cours de développement et pourrait être amélioré à l'avenir.

Références

↑ HTML5 Canvas, w3schools.com, ouvert le 21.11.2017
↑ Meet the Online Tracking Device That is Virtually Impossible to Block, propublica.org, ouvert le 21.11.2017

Liens web

Fingerprinting : toutes les questions que vous vous posez, journaldunet.com, ouvert le 21.11.2017
Le fingerprinting, une nouvelle technique de traçage, connect.ed-diamond.com, ouvert le 21.11.2017

[1] HTML5 Canvas, w3schools.com, ouvert le 21.11.2017

[2] Meet the Online Tracking Device That is Virtually Impossible to Block, propublica.org, ouvert le 21.11.2017

[1]

[2]