Rechercher sur le site
Réseaux sociaux

Recevez une notification Facebook lors de nouvelles parutions d'articles sur Sécurité101 en "aimant" ma page Facebook!

Twitter

Pourquoi 101 ?

Wikipedia : Dans le vocabulaire anglo-saxon familier, une façon de désigner la base fondamentale à savoir sur un sujet donné, équivalente au "B-A-ba"

Au Québec l'utilisation du chiffre 101 pour parler de la base d'un domaine est plus répandue qu'en France.

Le chiffre vient des numéros de cours. Par exemple on commence par "Chimie 101" avant le cours suivant, "Chimie 201".

Sélectionnez la catégorie "101" pour voir mes publications d'information de base, et "201" pour des sujets plus avancés s'adressant aux professionnels de l'informatique.

Puissance Maximale

Je suis collaborateur pour l'émission Puissance Maximale sur les ondes de CJMD FM 96.9 à Lévis.

Voici comment ils se définissent:

Puissance Maximale est un collectif médiatique bénévole qui diffuse une émission de radio hebdomadaire. Nous couvrons les jeux de société, les jeux de cartes, les jeux de rôle, les jeux vidéo, les grandeurs nature et bien d'autres.

Même si la sécurité informatique n'est pas le sujet principal, ma chronique mensuelle s'adresse au même public "geek".

L'émission est très originale tant par le contenu que par le choix musical décalé. Ils n'ont pas peur de sortir des sentiers battus!

Catégories
dimanche
août172014

On vous traque! - Le "canvas fingerprinting"

J'ai décidé de faire une série d'articles sur le traçage des habitudes des internautes pour ciblage publicitaire, les différentes méthodes qu'utilisent ces entreprises qui tracent vos clics et les outils à votre disposition pour anonymiser davantage votre activité sur Internet.

C'est suite au traitement médiatique d'une étude portant sur une "nouvelle" méthode de traçage au nom obscur, le "canvas fingerprinting", que j'ai cru bon de remettre les pendules à l'heure. Je vais donc commencer cette série d'articles par cette méthode.

Cette photo n'a rien à voir avec le "canvas fingerprinting"!
Photo : Frank C. Müller, Baden-Baden

Le "canvas fingerprinting" (aucune traduction n'existe aujourd'hui, mais si j'essayais ça donnerait quelque chose comme "empreinte de canevas"...) utilise une fonctionnalité présente dans votre navigateur pour qu'il dessine des images à partir d'instructions présentes dans le code de la page.

Certaines différences sur votre ordinateur (carte graphique, système d'exploitation et autres) font que l'image générée aura des différences imperceptibles à l'oeil nu par rapport à celle générée sur un autre ordinateur ou avec un autre navigateur.

"L'empreinte digitale" de l'image (son hash) ainsi générée est envoyée à l'entreprise qui vous trace. Ce hash vous identifie. L'image, elle, n'est jamais affichée.

Si vous allez sur un autre site web qui vous demande de dessiner la même image, vous obtiendrez le même résultat. Le même hash est donc envoyé à l'entreprise qui vous trace, qui vous reconnait par ce hash.

Le problème avec cette approche, c'est que beaucoup d'ordinateurs se ressemblent suffisamment pour produire la même image, donc le même hash. Ce n'est donc pas vous qu'on identifie avec ce hash, mais vous et tous les autres internautes dont l'ordinateur est très similaire.

Pour une entreprise dont le but est de connaître vos habitudes sur Internet, ça peut paraître décevant si cette technique est utilisée seule. Cependant, ces entreprises disposent d'un arsenal de méthodes qui, lorsque les résultats sont combinés, sont très efficaces.

Cette technique existe depuis 2012. C'est la découverte de son utilisation par AddThis (outil pour faire apparaître les boutons "Partager" de différents réseaux sociaux sur son site web) qui a déclenché cette tempête médiatique.

Lorsque certains articles nous disent que la Maison Blanche traque les visiteurs de son site web par cette méthode, ils sont carrément dans l'erreur. C'est bien AddThis qui traque les visiteurs de tous les sites web utilisant son outil. Les sites qui utilisent AddThis sont impliqués malgré eux. Ils n'avaient pas été informés de ce changement de comportement chez AddThis et ne profitent pas du tout à l'information récupérée par AddThis. Ils affichent simplement sur leur site web les jolis boutons de partage sur les réseaux sociaux que propose AddThis, ce qui déclenche le "canvas fingerprinting".

Le Directeur Général de AddThis a expliqué à ProPublica qu'ils étaient encore dans une phase de tests pour cette technique de profilage de la machine, et que les informations recueillies ne sont utilisées que dans le cadre de recherche et développement interne. On se permet tout de même d'imaginer que cette technique sera éventuellement généralisée et ajoutée à la panoplie qu'ils utilisent déjà pour vous profiler.

Il est intéressant de savoir que vous pouvez refuser que votre activité sur Internet soit tracée par AddThis en allant sur cette page de leur site, et en appuyant sur le bouton qui installera un cookie signifiant votre refus dans votre navigateur. Ce n'est pas parfait puisque cela empêche uniquement AddThis de vous tracer, mais c'est un pas dans la bonne direction puisque leur outil est très répandu sur Internet.

Sur le plan de la vie privée, cette histoire est simplement une de plus dans l'effritement incessant de l'anonymité de nos actions sur Internet. C'est un item de plus dans la boîte à outils des entreprises qui ont fait un business de connaître vos habitudes sur Internet.

Vous avez appris quelque chose ? Partagez avec vos amis sur les réseaux sociaux de votre choix, en utilisant les boutons un peu plus bas. Pas d'inquiétude, je n'utilise pas AddThis!

Aimez ma page Facebook ou suivez-moi sur Twitter pour être avisés des nouveaux articles de Securite101.com !

Vous aimerez aussi :
Définition : Virus informatique
Souriez! On est chez vous...
Définition : Attaque de point d'eau (Water holing)

References (1)

References allow you to track sources for this article, as well as articles that were written in response to this article.

Reader Comments

There are no comments for this journal entry. To create a new comment, use the form below.

PostPost a New Comment

Enter your information below to add a new comment.

My response is on my own website »
Author Email (optional):
Author URL (optional):
Post:
 
Some HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>
« 5 millions de mots de passe Google dans la nature : Que faire ? | Main | 1.2 milliard de mots de passe compromis, du jamais vu! »