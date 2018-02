Fingerprinting

9/11/2015

Souriez, vous êtes traqué !

Le fingerprinting permet de recueillir, en toute discrétion, les données personnelles des internautes permettant leur identification, dites fingerprints. Un procédé aussi performant que difficile à déceler. Basées à Rennes et à Lille, deux équipes Inria cherchent la parade à cette menace potentielle pour la vie privée.

On connaissait les cookies , ces petits fichiers qui, installés sur un ordinateur à l’occasion d’un passage sur un site web, lui attribuent un identifiant permettant de le reconnaître à chaque nouvelle visite. Le procédé fingerprint va encore plus loin : il ne s’agit plus seulement d’identifier un internaute, mais de collecter sur son compte des informations potentiellement privées. « Il existe différentes façons de capter à distance des données propres à tel ou tel ordinateur, explique Walter Rudametkin, enseignant-chercheur au sein de l’équipe-projet Spirals d’Inria Lille - Nord Europe (commune avec l'Université Lille 1*), spécialisée en reconfiguration dynamique. Certaines sont orientées sur le hardware. Au sein d’Inria Lille, nous travaillons spécifiquement sur le " browser fingerprint", c’est-à-dire l’empreinte laissée via les navigateurs. » Le principe : lorsqu’une personne visite un site, le navigateur envoie à celui-ci différentes informations sur la configuration du terminal informatique à partir duquel s’effectue la connexion (applicatifs, polices, plugins…). Dans 95 % des cas environ, ces informations permettront d’identifier automatiquement l’ordinateur lors des visites suivantes.

But commercial

« Ce procédé est utilisé prioritairement à des fins de sécurité et d’authentification , souligne Walter Rudametkin. Si vous vous connectez à un service de messagerie depuis un ordinateur différent de celui que vous utilisez d’habitude, c’est grâce à l'analyse du fingerprint que le service détecte ce terminal inhabituel et lance une procédure de vérification. Idem pour les opérations bancaires effectuées en ligne. Mais aujourd’hui, compte tenu des énormes enjeux financiers que représente la publicité sur le Web, de plus en plus de sites utilisent le fingerprinting dans un but commercial. Et cette fois, à leur insu. » C’est le point clé : contrairement aux cookies, sur lesquels les utilisateurs gardent en partie la main, les scripts de fingerprinting ne leur demandent jamais d’autorisation pour capter ces « données caractéristiques » de leur configuration.

De plus – et c’est encore une différence cruciale avec les cookies –, aucune information n’est stockée sur l’ordinateur de l’utilisateur. « On parle d’identification unique sans état , précise Walter Rudametkin. Et de fait, il est très difficile d’encadrer cette pratique. »

Un traçage en toute discrétion

Vue la redoutable puissance du fingerprint, des entreprises n’ont pas manqué de mettre cet outil au service du ciblage publicitaire. BlueCava, l’acteur le plus connu, propose aux webmarchands des scripts grâce auxquels ils peuvent tracer en toute discrétion les visiteurs de leurs sites. « Encore plus fort, BlueCava propose désormais à ses clients d’accéder aux données de navigation collectées grâce au fingerprinting effectué sur d’autres sites ! » note Walter Rudametkin. Cela permet, en utilisant les outils ad hoc, d’en déduire le sexe de l’internaute, sa tranche d’âge, sa localisation géographique, et même sa CSP et ses centres d’intérêt… BlueCava parvient même à reconstituer l’historique de navigation d’un seul et même utilisateur sur plusieurs terminaux différents ! »

Nous avons constaté à quel point, avec la montée en puissance de cette pratique, les internautes n’ont plus de vie privée sur la toile. Il nous donc a semblé que notre communauté de chercheurs devait s’attaquer à ce qui devient un vrai problème de société.

« S’attaquer à un problème de société »

C’est à travers leurs travaux, destinés à lutter contre la monoculture logicielle, que les chercheurs d’Inria ont mis en évidence l’étendue des menaces que font peser les fingerprints. « Depuis 2013, l’équipe-projet Diverse d’Inria Rennes – Bretagne Atlantique travaille en partenariat avec l’équipe-projet Spirals sur le projet européen Diversify qui vise à promouvoir la diversité logicielle , raconte Walter Rudametkin. Nous avons constaté à quel point, avec la montée en puissance de cette pratique, les internautes n’ont plus de vie privée sur la toile. Il nous a donc semblé que notre communauté de chercheurs devait s’attaquer à ce qui devient un vrai problème de société. C’était un gros défi, considéré par certains chercheurs en sécurité informatique comme insoluble car trop complexe. Mais en tant que spécialistes du génie logiciel, nous avons développé des savoir-faire en "randomisation" qu’il nous paraissait intéressant de mettre à profit sur ce terrain. » Le principe : combiner l’expertise de Spirals en matière de modélisation et de reconfiguration dynamique et celle de Diverse dans le domaine de la diversité logicielle.

Dans cette optique, Benoit Baudry, membre de l’équipe-projet Diverse et Walter Rudametkin ont lancé ensemble, en novembre 2013, un projet de master recherche consacré au fingerprint. Pierre Laperdrix, étudiant à l’INSA Rennes, y consacre sa thèse de doctorat sous l’encadrement de Benoît Baudry. « Nous avons commencé par développer Blink, un prototype de logiciel capable de générer une empreinte différente à chaque session de navigation et ce, en modifiant très régulièrement la configuration de l’ordinateur. Mais pour que ces modifications, effectuées automatiquement et de façon aléatoire, restent crédibles, il fallait constituer une base de données capable d’effectuer des analyses statistiques. »

À terme, nous souhaitons mettre au point un outil accessible qui permettra au grand public de gagner en anonymat sur la toile.

Un site pour gagner en anonymat

Fruit de ces travaux, le site « Am I unique » est né en 2014. En un an, sans publicité particulière, le script de « Am I unique » a déjà scanné 100.000 terminaux. Sa vocation est d’abord pédagogique : il s’agit d’expliquer aux internautes le fonctionnement du fingerprinting et de leur révéler quelles données personnelles sont susceptibles d’être transmises à des tiers via leur navigateur. Le site fournit également des explications sur le logiciel Blink. « Aujourd’hui, le site donne des informations qui permettent de déterminer quels changements effectuer sur sa configuration, mais Blink reste un prototype qui n’est pas à la portée de tout le monde , souligne Walter Rudametkin. À terme, nous souhaitons mettre au point un outil accessible qui permettra au grand public de gagner en anonymat sur la toile. ». Recommander, via le site, des opérations simples comme changer de langue, de fuseau horaire, installer ou désinstaller une police rare : Benoit Baudry et Walter Rudametkin recherchent aujourd’hui le doctorant qui travaillera avec eux sur cette prochaine étape. « Nos projets sont en open source et nos recherches sont ouvertes », ajoute-t-il, invitant toutes les bonnes volontés à participer…

* au sein de l'UMR 9189 CNRS-Centrale Lille-Université Lille1, CRIStAL.

Mots-clés : Fingerprinting Tracking Equipe Spirals Anonymat Génie logiciel