Points de vue alternatifs

Analyse et veille des médias internationaux : géopolitique, économie, numérique...


Étude : Réalité, développement et enjeux du "device-fingerprinting"

Publié par Kiergaard sur 11 Octobre 2013, 14:57pm

Catégories : #Numérique

Une étude très intéressante du département Computer Security and Industrial Cryptography de la KU Leuven et du centre de recherche indépendant iMinds permet de mieux cerner les ressorts du device fingerprinting (empreintes numériques caractérisées par les données sur le matériel utilisé qui permettent par combinaison d'établir une empreinte unique) [Certains traduisent par empreintes numériques, mais il faut faire la distinction avec les cookies].

  • Le site sur lequel l'étude est publié (qui comprend tous les éléments importants et une revue de presse).
    L'étude : G. Acar, M. Juarez, N. Nikiforakis, C. Diaz, S. Gürses, F. Piessens and B. Preneel. FPDetective: Dusting the Web for Fingerprinters. In Proceedings of CCS 2013, Nov. 2013.

  • L'abstract : "In the modern web, the browser has emerged as the vehicle of choice, which users are to trust, customize, and use, to access a wealth of information and online services. However, recent studies show that the browser can also be used to invisibly fingerprint the user: a practice that may have serious privacy and security implications.
    In this paper, we report on the design, implementation and deployment of FPDetective, a framework for the detection and analysis of web-based fingerprinters. Instead of relying on information about known fingerprinters or third- party-tracking blacklists, FPDetective focuses on the detection of the fingerprinting itself. By applying our framework with a focus on font detection practices, we were able to conduct a large scale analysis of the million most popular websites of the Internet, and discovered that the adoption of fingerprinting is much higher than previous studies had estimated. Moreover, we analyze two countermeasures that have been proposed to defend against fingerprinting and find weaknesses in them that might be exploited to bypass their protection. Finally, based on our findings, we discuss the current understanding of fingerprinting and how it is related to Personally Identifiable Information [données personnelles], showing that there needs to be a change in the way users, companies and legislators engage with fingerprinting
    ."

  • Concernant le device fingerprinting : "'il est possible d'identifier les caractéristiques de votre navigateur web, comme la taille d'écran, le logiciel installé et les plug-ins. On sait depuis 2010 que ces caractéristiques peuvent être assez uniques, si on les combine. Plus exactement, le device fingerprinting cible le plug-in Flash (qui permet par exemple d'obtenir l'adresse IP même lorsqu'on passe par un proxy) et le Javascript (pour obtenir, entre autres, la liste des polices de caractères installées)." (sur-la-toile.com - lien ci dessous)
    - On ajoutera que si la tendance à exploiter celui-ci pour des impératifs marketing semble aller croissant, cette technique était d'abord répertoriée dans les techniques anti-fraude en ligne. Par exemple : "le device fingerprinting permet de récupérer un certain nombre d'informations sur le poste de l'utilisateur (navigateur utilisé, résolution d'écran, etc.), qu’il soit fixe ou mobile, afin de déterminer son « empreinte numérique » et bloquer les transactions en provenance des postes douteux" (extrait du site web d'un fournisseur de solutions de sécurité).
  • Une étude pionnière citée en introduction de l'article publiée par Peter Eckersley de l'Electronic Frontier Foundation en 2010 et intitulée "How Unique is Your Browser ?"

  • Dans l'étude elle-même la partie discussion est très intéressante structurée entre :
    - Les usages possibles de celui-ci : Les sociétés qui utilisent les services des fournisseurs de solutions permettant d'établir des "empreintes numériques" ne le précisent pas d'emblée. S'il y a des objectifs anti-fraude des sociétés se développent beaucoup pour des objectifs marketing. Il remettent en cause certains sites qui prétendent anonymiser les utilisateurs.
    - La visibilité du fingerprinting : Les utilisateurs ont déjà du mal avec le concept de cookies, et ils ne sont pas du tout informer sur le fingerprinting.
    - Est-ce une affaire relative à la vie privée ? "Our findings suggest that this issue may require further technical and legal attention with respect to privacy." Bien que les compagnies affirment ne pas collecter de "données personnelles", seulement des données matérielles justement, les études montrent que la possibilité de reconstituer l'identité numérique d'une personne floute la nuance. Néanmoins "Two framings, i.e., "fingerprinting is all about devices" and "we track these devices for user convenience" , make it very dicult to demand a response to the privacy issues that may be raised with respect to device fingerprinting and the use of the databases populated using fingerprinting."
  • Les auteurs soulignent le fait que les conceptions traditionnelles (qui sont censés servir de base aux règlementations en cours) ne sont pas adaptées pour les techniques de fingerprinting. Ils insistent sur le fait qu'il faut favoriser l'information sur les sites qui utilisent ces techniques.
  • Début de la conclusion :
    "User tracking is becoming pervasive as advertisers and tracking companies seek to refine their targeting, detect fraud, or offer new services. While most of today's tracking is done through third-party cookies, prior research has shown that browser and system attributes can be used to uniquely identify devices through fingerprints. Even though these fingerprints are less accurate than stateful identifiers such as cookies, their main advantage is that device fingerprinting is harder to detect and to defend against."


(DHNET)
"Environ 145 sites internet parmi les 10.000 les plus couramment visités suivent leurs utilisateurs sur la toile, même si ceux-ci ont explicitement mentionné qu'ils s'y opposaient.

Ce problème prend de plus en plus d'ampleur et le nombre d'applications qui permettent aux sites internet de procéder à ce traçage ne cesse d'augmenter, ressort-il d'une étude du département Computer Security and Industrial Cryptography de la KU Leuven et du centre de recherche indépendant iMinds.

Lorsqu'un utilisateur emploie un navigateur web, il peut transmettre à celui-ci, sans en être conscient, des données spécifiques cachées comme les versions des logiciels qu'il utilise, mais aussi les polices installées et la taille de son écran, dont la combinaison fournit dans la plupart des cas une empreinte numérique unique. Les sites internet qui utilisent un système de traçage peuvent ainsi identifier les visiteurs sur base de cette empreinte et suivre leurs actions sur internet.

Selon les chercheurs, cette méthode est de plus en plus utilisée afin de cerner le profil des utilisateurs dans une optique de marketing. De plus, les visiteurs qui mentionnent explicitement ne pas vouloir être suivis, au moyen notamment d'un "do-not-track header" (dont sont équipés la majorité des logiciels récents), le sont tout de même et des outils tels que "Tor Browser" et "Firegloves", utilisés pour protéger les données privées des utilisateurs, ne feraient pas le poids face à ces systèmes de traçage."
[Il me semble que le site souligne que le "do-not-track-header" n'est pas efficace, mais que les autres outils peuvent l'être].

Archives

Nous sommes sociaux !

Articles récents