Ciblage publicitaire : il n’y a pas que les cookies
Un éditeur a implémenté, sur des milliers de sites Web, une technologie de « canvas fingerprinting » destinée à pister les internautes sans laisser de traces.
Une technologie d’un nouveau genre a été utilisée pour pister des internautes sur des milliers de sites Web populaires.
Décrite en 2012 par des chercheurs de l’Université de Californie (document PDF, 12 pages), la méthode dite du « canvas fingerprinting » est exploitée à des fins de ciblage publicitaire. Elle permet de suivre les sessions de navigation sans laisse de trace et, contrairement aux solutions traditionnelles de type cookies, il est très difficile de l’éliminer, que ce soit en activant une option ad hoc, en vidant le cache ou en installant des extensions comme AdBlock Plus.
Sur les 100 000 sites étudiés par des universitaires de Princeton (Etat américain du New Jersey) et de Louvain (Belgique), près de 5% exploitent – ou ont exploité – le canvas fingerprint . La plupart n’ont pas été avertis de l’opération menée essentiellement au travers du service de social bookmarking AddThis, qui peut s’intégrer sur des pages Web sous la forme d’un widget.
Placé en tête sur la liste des « victimes », YouPorn côtoie les sites de la Maison Blanche, du ministère australien des affaires étrangères, du FAI allemand T-Online, du portail d’information américain CBS Local ou encore de la plate-forme vidéo UStream.tv. Le premier site français répertorié est L’Internaute (13e), devant Programme-TV (25e).
Comment fonctionne le canvas fingerprint ? Lors de la connexion à un site Web, il est demandé au navigateur de dessiner une image invisible pour l’utilisateur et communiquée aux serveurs via l’API Canvas. Chaque machine, selon son système d’exploitation, sa configuration logicielle et des composants comme la carte graphique, va reproduire le motif différemment. Il suffit alors de convertir cette empreinte en un identifiant unique.
CEO d’AddThis, Rich Harris a clarifié la situation auprès de ProPublica. Les expérimentations ont débuté cette année sur « un petit échantillon » de sites parmi les quelque 13 millions qui exploitent la technologie AddThis en guise de complément ou de substitut aux cookies « traditionnels ». Toutes les données collectées « dans le respect de la loi » n’ont été exploitées qu’en interne à des fins de R&D.
A en croire Rich Harris, le système serait près d’être abandonné : les essais n’ont pas été concluants, malgré la prise en compte des recommandations émises dès 2013 par Valentin Vailyev. Ayant lui-même mené des expérimentations autour du canvas fingerprinting, ce développeur russe avait constaté un taux d’identification des utilisateurs d’à peine 90%, avec de piètres résultats sur mobile. S’appuyant sur ces conclusions, AddThis avait notamment décidé de faire écrire aux ordinateurs une « phrase » contenant toutes les lettres de l’alphabet : « Cwm fjordbank glyphs vext quiz ».
A l’heure actuelle, il n’existe pas de moyens stables ou simples à mettre en place pour bloquer le système. Le butineur développé par le Projet Tor avertit bien l’utilisateur lorsqu’un site tente d’utiliser la technique du canvas fingerprinting, mais l’expérience de navigation Web est relativement rebutante. Quant à la méthode radicale, qui consiste à bloquer JavaScript, elle compromet l’accès à de nombreux sites Web. Du côté des extensions pour navigateurs, Chameleon est instable et l’utilisation de NoScript pour blacklister AddThis reste très complexe.
Déclinant toute responsabilité dans cette affaire, les administrateurs de YouPorn ont procédé au retrait de la technologie AddThis sur l’ensemble de leur plate-forme.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit photo : wavebreakmedia – Shutterstock.com