Clé à emporter
- Un chercheur a créé un site Web qui génère une empreinte digitale unique basée sur les extensions de navigateur installées.
- L'empreinte digitale peut être utilisée pour suivre les utilisateurs sur le Web, affirme le chercheur.
- Les experts en sécurité suggèrent de supprimer toutes les extensions inutiles pour éviter de se démarquer.
Les extensions de votre navigateur Web peuvent être utilisées pour vous identifier de manière unique sur le Web.
Pour donner aux gens une chance de découvrir cela, un chercheur en sécurité a créé un site Web qui analyse les extensions Google Chrome installées pour générer une empreinte digitale, qui, selon lui, peut être utilisée pour les suivre en ligne.
"Chaque fois qu'il y a quelque chose de semi-unique dans un ordinateur, il peut être utilisé pour dériver une empreinte digitale", a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, à Lifewire par e-mail. "Le caractère unique de cette empreinte digitale peut dépendre de ce qui est mesuré ou testé."
Empreintes digitales du navigateur
Le chercheur, qui utilise le pseudonyme z0ccc, a expliqué que l'empreinte digitale du navigateur est une méthode puissante que de nombreux sites Web utilisent pour collecter toutes sortes de détails sur les visiteurs, y compris leur type et leur version de navigateur, leur système d'exploitation, les plugins actifs, l'heure zone, langue, résolution d'écran et divers autres paramètres actifs.
Il a fait valoir que bien que ces points de données ne soient pas très utiles en eux-mêmes, lorsqu'ils sont combinés, ils pourraient aider à identifier de manière unique une personne spécifique, car il y a très peu de chances que plusieurs personnes aient le même ensemble de points de données.
Nos règles de confidentialité ont beaucoup à rattraper.
"Les sites Web utilisent les informations fournies par les navigateurs pour identifier les utilisateurs uniques et suivre leur comportement en ligne", a expliqué z0ccc. "Ce processus est donc appelé" empreinte digitale du navigateur "."
Sur la base de la combinaison d'extensions installées, le site Web génère un hachage de suivi qui peut être utilisé pour suivre ce navigateur particulier sur le Web.
Le chercheur a expliqué que son test d'empreintes digitales d'extensions repose sur certaines propriétés d'extension de navigateur, qui, selon lui, sont présentes dans plus de 1100 extensions, y compris des extensions populaires telles que AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, et plus.
Il a admis que certaines extensions prennent des mesures pour empêcher la détection. Cependant, il a trouvé une astuce pour utiliser leur comportement afin de déterminer si l'une de ces extensions protégées était installée.
Dans une interview, z0ccc a affirmé que bien qu'il ne collecte aucune donnée concernant les extensions installées auprès des personnes qui utilisent son site Web, ses tests ont montré que le fait d'avoir plus de 3 extensions créera une empreinte digitale unique.
Essentiellement, les personnes sans extensions installées auront la même empreinte digitale, ce qui les rendra moins uniques et difficiles à suivre. À l'inverse, ceux qui ont de nombreuses extensions auront une empreinte digitale moins commune, ce qui les rendra plus susceptibles d'être suivis.
Les gants sont éteints
Dans une discussion par e-mail avec Lifewire, Harman Singh, directeur du fournisseur de services de cybersécurité Cyphere, a déclaré que l'empreinte digitale du navigateur est une technique bien connue utilisée par les sites Web de publicité et de marketing en ligne dans le monde entier.
La collecte de données fait partie intégrante de l'écosystème de la publicité en ligne, a expliqué Singh, et ce type d'empreinte digitale du navigateur n'est qu'un autre mécanisme pour les aider à diffuser des publicités ciblées.
De plus, il a ajouté que même les institutions financières comme les banques utilisent ces méthodes d'empreintes digitales du navigateur dans le cadre de leurs mécanismes de détection de fraude pour détecter si leur visiteur est un véritable utilisateur ou une anomalie malveillante comme un bot.
L'empreinte digitale du navigateur n'est pas illégale car elle n'identifie pas un utilisateur. Cependant, la collecte des données est régie par des lois sur la confidentialité telles que le Règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA), a ajouté Singh.
Parlant spécifiquement du test d'empreintes digitales d'extension de z0ccc, Kron a expliqué que bien qu'il soit intéressant d'un point de vue académique, son utilité semble limitée dans sa forme actuelle.
"De plus, lors de mes tests limités, cela n'a pas détecté d'extensions courantes dans le navigateur Edge, renvoyant le même hachage pour Chrome en mode navigation privée, comme c'était le cas [dans] Edge avec l'extension LastPass installée", dit Kron. "Il existe d'autres méthodes d'empreintes digitales qui utilisent du matériel, des calculs effectués par la carte graphique installée, par exemple, qui pourraient être un peu plus difficiles à contourner."
Pour nous aider à suggérer aux gens des moyens de contourner ces empreintes digitales de navigateur, Singh a déclaré qu'un bon point de départ est l'outil Panopticlick, qui donne un aperçu de la quantité et du type d'informations que votre navigateur Web révèle aux sites Web.
D'un autre côté, Kron pense que c'est toujours une bonne pratique de supprimer ou de désactiver les extensions de navigateur inutilisées.
"Pour les internautes, il n'est pas possible d'avoir une protection complète contre de telles techniques de suivi à moins que la loi ne l'exige", a déclaré Singh. "Nos réglementations en matière de confidentialité ont beaucoup à rattraper."