Connexion
Abonnez-vous

Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs

Le progrès

Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs

Le 14 février 2017 à 16h30

Des chercheurs ont publié les résultats de leurs travaux : dans une grande partie des cas, il est possible de laisser sur la machine d’un internaute une empreinte exploitable par des navigateurs multiples. Un changement de taille puisque chaque navigateur avait jusqu’ici sa propre empreinte. Explications.

On appelle empreinte (« fingerprint ») un identifiant a priori unique tenant compte des caractéristiques du navigateur. Résolution, couleurs, liste d'extensions, fuseau horaire, signal Do Not Track, options WebGL, langue utilisée, liste des polices installées, plateforme, User Agent, support du tactile ou encore activation des cookies sont ainsi analysés pour générer cet identifiant. Bien sûr, l’unicité est relative dans la mesure où l’on peut rencontrer une configuration similaire.

De l'empreinte spécifique à un navigateur...

Cet identifiant est utilisé pour de nombreuses raisons, certaines bonnes, d’autres moins. Un site à caractère « sérieux », comme celui d’une banque, peut ainsi se rendre compte que l’utilisateur se sert visiblement d’un autre appareil pour se connecter. Il pourra donc appliquer une mesure de sécurité en réclamant une ou plusieurs informations de sécurité complémentaires.

Mais l’identifiant est surtout connu pour servir dans le domaine de la publicité. L’utilisateur aura beau vider son cache, il est bâti en fonction de caractéristiques qui, pour la plupart, ne changent pas à moins d’aller trafiquer certaines options. L’utilisateur peut donc être suivi à la trace, certaines enseignes commerciales n’hésitant pas à récolter toutes les habitudes de navigation pour mieux adapter les contenus publicitaires.

... à celle liée à une machine spécifique

Cependant, changer de navigateur suffisait jusqu’à présent à obtenir un nouvel identifiant. C’est là que les travaux des chercheurs des universités de Lehigh et Saint Louis (Yinzhi Cao, Song Li et Erik Wijmans) entrent en piste. Plutôt que de s’appuyer sur les caractéristiques du navigateur, ils se servent de fonctions faisant appel des API (Application Programming Interface) du système ou puisant dans les ressources matérielles de la machine. L’identifiant ne dépend donc plus du seul navigateur, mais d’un ensemble de caractéristiques de l’ordinateur lui-même.

Spécificités de la carte graphique, nombre de cœurs du processeur, carte son et autres entrent ainsi en piste pour compléter l’empreinte existante. En tout, 36 fonctions indépendantes du navigateur sont utilisées pour réaliser des calculs. La manière dont la machine les exécute permet de gérer une nouvelle empreinte qui ne peut pas varier. Du moins en théorie.

Un taux de réussite supérieur à 99 % dans les tests

Pour prouver leurs dires, les chercheurs ont mis en place un test nommé Unique Machine, qui permet d’afficher ce fameux identifiant et dont le code source est disponible sous licence MIT sur un dépôt GitHub. Sur 3 615 empreintes collectées auprès de 1 903 utilisateurs au cours d’une période de trois mois, le taux de succès était ainsi de 99,2 %, prouvant l’efficacité de la méthode – qui se veut d’ailleurs toujours expérimentale.

Nous avons-nous-mêmes testé Unique Machine. Les dernières révisions stables de Chrome, Firefox et Opera ont toutes affiché le même identifiant. Curieusement, Edge a donné une autre série de caractères. Notez au passage que Chrome et Edge ont pu donner un identifiant navigateur différent en mode Navigation privée. Dans le cas de Chrome cependant, l’identifiant machine restait le même que les autres. Le fait que seul Edge ait donné une valeur différente peut simplement venir du caractère expérimental du test, sur lequel les travaux se poursuivent.

Seul Tor Browser échappe pour l'instant à cette technique

Pour l’instant, et comme souligné par Ars Technica, la méthode des chercheurs ne fonctionne pas avec la configuration par défaut de Tor Browser. Ce dernier bloque notamment certaines fonctionnalités liées à WebGL et autres technologies. Cependant, puisqu’il s’agit d’un Firefox modifié, les options sont toujours présentes : si l’utilisateur les réactive, il s’expose à un risque potentiel accru.

Les tests montrent que des sites pourraient très bien utiliser cette technique pour suivre très efficacement les internautes à la trace, quel que soit le navigateur utilisé (en partant du principe que le cas spécifique d’Edge n’est que temporaire). Les chercheurs précisent que ces travaux ne sont pas conçus spécifiquement pour ouvrir la voie à ce genre de pistage, mais pour montrer ce qu’il est capable de faire. La publication du code en open source est d’ailleurs là pour prouver la démarche académique.

Devancer les recherches dans ce domaine

En l’état, la priorité est de redoubler d’inventivité pour découvrir l’ensemble des éléments qu’un site pourrait impliquer dans la création d’une empreinte. Dans le cas présent, un court code JavaScript est utilisé, assez petit pour être embarqué dans des pages web. Seul problème actuellement, le temps d’attente pour la fin des calculs, puisque l’on regarde un cadre afficher des éléments graphiques pendant une dizaine de secondes. Rien n’empêche cependant d’effectuer ces tâches en arrière-plan, seule une montée en charge du processeur pouvant être décelée.

Les chercheurs n'annoncent pas que les sites vont tôt ou tard se pencher sur ces mécanismes. Ils espèrent simplement attirer l'attention sur ce qu'il est possible de faire actuellement. Rien n'empêchera cependant certaines entreprises de se pencher sur ses résultats pour y trouver une inspiration.

Commentaires (130)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

 Faudrait aussi faire le test avec une machine virtuelle. Ça peut être la solution pour le mode Parano activé.

votre avatar

la technique semble lié à la configuration materielle et logicielle d une machine à un temps T. Si on change de matos et/ou de plusieurs logiciels, l Id devrait  logiquement changer, non?

votre avatar

Difficile de changer de machine à chaque nouvelle session…



C’est vrai que c’est flippant. Espérons que ces recherches permettront améliorer aussi les défenses !

votre avatar

Bon bah voilà, bientôt Tor deviendra la norme …

votre avatar

Lire les articles c’est bien aussi..

“Seul Tor Browser échappe pour l’instant à cette technique”

votre avatar

Ça dépend..

Tu cherches des renseignements sur un bracelet. Les pubs vont te proposer des bracelets. C’est pertinent

Le problème c’est quand tu as fait ton achat, les pubs te propose encore des bracelets. Ça n’est plus pertinent.

Mais je préfère que les régies publicitaires ne soient pas au courant de tous mes achats :)

votre avatar

Réponse au dessus

(Les commentaires sur mobile c’est pas super génial)

votre avatar

désactive JS.

pas de js = pas de webgl, pas de test des fonts, pas d’upload de form, pas d’ajax…

votre avatar

et si on utilise ça sous FF

(en même temps que ça sous chromium )



Est ce que leur algo fonctionne toujours ?

Avec deux navigateurs différents peuvent-ils encore nous pister ?

votre avatar

liste des polices installéesQu’est-ce qu’il faut comprendre ? Qu’on peut réellement obtenir la liste des polices installées sur un poste ? (pas possible à ma connaissance) Ou plutôt que parmi une liste de polices donnée on peut identifier celles qui sont réellement installée sur le poste.

votre avatar

tu diminues peut-être un peu la précision de l’empreinte.

mais il reste : les polices, la langue, l’os, les capacités de ta carte graphique (exhttp://www.geeks3d.com/webgl/)

Il y a de quoi faire.

Et vu viens de rajouter 1 bit d’information : utilise un anti-canvas fingerprinting tool.

 

votre avatar

J’avais testé Random agent spoofer (Un addons firefox) à une époque.

 C’est un addon qui permet changer d’empreinte régulièrement en piochant dans une base d’user-agent.

Il contient également pas mal d’option pour limiter ce genre authentification.

Le résultat était plutôt probant d’après Am I unique?à condition de configurer ça correctement (liste des plugins, Canevas, fonts, etc.)

 Par contre, Il peut clairement vous rendre un site non fonctionnel.

&nbsp;Exemple: désactiver les canevas, et google maps n’affichera plus de zone de recherche <img data-src=" />

Par contre je ne sais pas si ce type de d’addons résiste à la méthode décrit dans l’article.

votre avatar

Je vois pas qui ça peut encore étonner…

À chaque article sur une nouvelle super API démentielle du web 4.0, on est plusieurs à expliquer que ça fuite de l’information

Bah oui, là on y est, c’est suffisant pour bien identifier

votre avatar

arfff, c’est juste parce qu’ils n’ont pas de vies qu’ils consument leur temps à savoir ce que fait la populace <img data-src=" />

votre avatar







bobdu87 a écrit :



Ca veut juste dire que même un utilisateur parano est identifiable… et donc la possibilité d’avoir l’empreinte de chaque utilisateur…Une bonne nouvelle pour les big brother comme face book et google qui maintenant ont le culot de vouloir nous dire ce qui est bien ou pas de penser…





Un utilisateur parano utilise Tor Browser, et n’est donc pas identifiable via cette technique.<img data-src=" />


votre avatar

rien à foutre de Tor !

je parle d’un navigateur normal !

votre avatar

Bon ,imaginons que ces criteres soit juste binaire (j’ai ou j’ai pas). Ca nous donne 2³⁶ possibilités soit = 68.719.476.736, donc tant que chaque etre humain ne depassent pas ses 10 machines, ca passe.

Si les criteres sont analogique , et peuvent se moduler à l’infinie entre 0 et 1, ca fait encore plus.

votre avatar







vaneck a écrit :



Bon ,imaginons que ces criteres soit juste binaire (j’ai ou j’ai pas). Ca nous donne 2³⁶ possibilités soit = 68.719.476.736, donc tant que chaque etre humain ne depassent pas ses 10 machines, ca passe.

Si les criteres sont analogique , et peuvent se moduler à l’infinie entre 0 et 1, ca fait encore plus.





<img data-src=" />&nbsp;Merci. Je désespérais.


votre avatar

Ce que je voulais te dire c’est qu’il n’y a même pas besoin de tracker le navigateur pour suivre des gens… même si l’info est un beau &nbsp;bonus ;)&nbsp;&nbsp;

votre avatar







ProFesseur Onizuka a écrit :



C’est une usine à gaz, violeuse de vie privée, qui sert à t’afficher pendant 3 mois ce que tu viens juste d’acheter, et donc qui arrive après la bataille <img data-src=" />



Ça crée de l’emploi, fictif mais de l’emploi <img data-src=" />





Faut voir ça dans un autre contexte que la pub, qui est plus que largement secondaire.

Je te laisse imaginer dans une dictature si t’es opposant politique en Corée du Nord, ou lanceur d’alerte aux USA.


votre avatar







bobdu87 a écrit :



Ce que je voulais te dire c’est qu’il n’y a même pas besoin de tracker le navigateur pour suivre des gens… même si l’info est un beau &nbsp;bonus ;)&nbsp;&nbsp;





Oui, donc, explique-moi comment tu traques des gens par leur navigateur si ils ne l’utilisent pas.

Là, tu tiens un scoop.<img data-src=" />


votre avatar







vaneck a écrit :



Bon ,imaginons que ces criteres soit juste binaire (j’ai ou j’ai pas). Ca nous donne 2³⁶ possibilités soit = 68.719.476.736, donc tant que chaque etre humain ne depassent pas ses 10 machines, ca passe.

Si les criteres sont analogique , et peuvent se moduler à l’infinie entre 0 et 1, ca fait encore plus.









Sur la théorie oui.



En pratique non.



Pour reprendre l’exemple de ma machine j’ai un 6600 et 1070. Bon, tous les 6600 ont 4 coeurs et toutes les 1070 ont les mêmes fonctions, avec le même résultat (modulo la version des pilotes mais ça empire le problème, cf plus bas).

C’est une config assez haut de gamme de joueur, mais tout à fait standard, comme certainement la version du dessus à base d’i7 et de 1080 et la version du dessous.



Du coup tu élimines déjà plusieurs critères d’unicité. Rajoutons à cela la carte son : c’est les même sur toute la gamme joueur de MSI !



Tu vas me parler de la version des pilotes qui font varier le rendu, certes. Mais ça empire le problème : ça veut juste dire qu’à chaque nouvelle version tes empreintes sont bonnes à jeter…. et en plus vu que ce sont des configs de joueur et que les jeux demandent de faire les majs….



Changement intégral : passons à un PC de bureau dans une entreprise, PC qui sont généralement achetés en lots et configurés en masse… quels résultats à ton avis ? Si c’est pour avoir aussi peu de précision y a l’IP qui fonctionne très bien….



Bref, j’ai lu le PDF, ils essayent de rajouter un maximum de choses auxquels ils ont accès (c’est à dire pas grand chose) et arrivent certainement à avoir une empreinte plutôt fiable pour identifier un utilisateur entre deux navigateurs. Par contre différencier les utilisateurs c’est une autre paire de manche…. Leur étude c’est comme si je te disais : j’arrive à identifier un utilisateur unique en calculant un hash à partir de la résolution d’écran. C’est cool mais ça sert à rien….

Alors oui, c’est plus développé et y a moins de collisions que ça, mais dans la pratique, sur un serveur live avec plusieurs millions (milliards !) de connexions c’est du même ordre à priori…. Plus tu augmentes le nombre de connexion plus le risque de tomber sur des collisions augmente…. et pas qu’un peu vu les critères pris en considération, du coup comme l’intérêt de l’exploitation c’est la fiabilité du tracking ça sert à rien….



Pour donner une idée, windows se base sur les numéros de série du matos installé sur les machines (auxquels le navigateur n’a pas accès), et même comme ça ils excluent un certain nombre de périphérique pour réduire le risque de collision…. Pour moi c’est encore une école en mal de fric qui a besoin de financiers en publiant un papier bidon… Je peux me tromper mais les critères me semblent légers et l’échantillon inhabituellement faible…..


votre avatar

Ils avaient vraiment besoi de bosser là dessus… ?? C’est su pain béni pour les régies publicitaires, quoiqu’ils en disent….

Et au vu des tests effectués faut-il s’attendre à voir son CPU et son GPU à 100% pendant 3 secondes à chaque page web visitée ?? Super la consommation électrique. J’espère qu’on va rapidement pouvoir dénicher un plugin Firefox qui s’occupe de mentir en random sur toutes ces chaînes de caractères demandées au lieu de donner les véritables informations de la machine. Histoir que ce genre d’algorithme ne puisse jamais “matcher”

votre avatar

about:config est ton ami

votre avatar







Fuinril a écrit :



Changement intégral : passons à un PC de bureau dans une entreprise…





C’est là le cas le plus intéressant. On prend un exemple théorique comme Dell qui fournit des dizaines de milliers de PC (de la même gamme).

Pour combien de pays ? La langue change. Tu divises par autant, sans les options. Tu réduits déjà beaucoup pour chaque gamme de machine.

Les machines sont vendues sans écran (en général), tu réduits d’autant. Tu rajoutes l’ip, traçage classique, t’as déjà une très bonne vue.

A cela, tu ajoutes le navigateur. Certaines boites vont utiliser Firefox, Opera, Chrome, Edge. Ca rentre en compte.

Les polices utilisées, les plugins maison… WebGL, Canvas… et même le contexte audio.

Et là, on ne parle que des pros.


votre avatar

“sur 3&nbsp;615 empreintes collectées auprès de 1&nbsp;903 utilisateurs au cours d’une période de trois mois”En fait, pour le moment, ils ont juste prouvé que l’empreinte pouvait être identique en changent de navigateur.Ca montre pas qu’on peut te pister.

votre avatar

En supposant que le sujet de cette news puisse vraiment passer au stade pratique, les publicitaires se moqueront des gens comme toi.



Car la majorité des utilisateurs (aka les Mme & Mr Michu) sont beaucoup plus patients que nous quand ils utilisent un ordinateur. Là où une longue durée pour afficher un site ou un logiciel m’aurait déjà fait ticker voir même fait réagir vigoureusement, ces personnes supportent cela souvent très bien. En conséquence, en quoi rajouter quelques secondes de calcul pour affiner le suivi publicitaire peut constituer une gène ?



Quand à un plugin pour Firefox, manifestement le plus simple serait de faire comme Tor : Il faut normaliser. Toutes les installations doivent se ressembler. Ce qui est impossible.

votre avatar

Tu plaisantes j’espère ?

&nbsp;<img data-src=" />

Une grosse partie des efforts marketing actuels en terme d’expérience utilisateur concerne la fluidité, notamment avec de petites connexions, de petites configs.

1 secondes d’attente + c’est un taux de rebond qui augmente, des ventes en moins.

C’est un peu l’antithèse de la pub en fait.

Après il faut reconnaitre qu’il y a des régies peu scrupuleuses qui saque le travaille des développeurs, mais à la fin c’est toujours le sacro-saint ROI qui parle.



source au pif :https://www.soasta.com/blog/mobile-web-performance-monitoring-conversion-rate/

votre avatar

Tu prends le problème à l’envers.



Le SEUL intérêt du tracking du point de vue de ceux qui financent le marché (c’est à dire les clients, pas les chercheurs) c’est d’être unique et fiable. Et à priori ce n’est pas le cas avec cette technique.



Des techniques avancées de tracking fiables à 80% basées sur l’histo y en a à la pelle. Ici on est largement en dessous, le seul intérêt de la technique c’est d’être crossbrowser mais si c’est pas fiable…. Et même en admettant qu’ils arrivent à 90% de fiabilité c’est par machine et non par utilisateur (exit le cross media - pas de bol en tant que webmarchand j’aimerais bien savoir combien de % de mes clients visitent le site sur mobile pour acheter sur desktop ou l’inverse….), du coup…..



Et je ne parle pas de la technique en elle même que personne ne voudra implémenter : bouffer 80-100% du CPU de l’utilisateur pendant plusieurs secondes au chargement de la page alors qu’on essaye d’accélérer le chargement des scripts fonctionnels, mais bien sûr !



Sinon : les polices dépendent de l’OS (principalement), les plugins la plupart n’en ont pas, le support de webGL dépend du navigateur de la CG et des pilotes, canvas de l’OS et du navigateur (et du CPU mais non pris en compte pour des raisons évidentes). L’audio c’est devenu inutile depuis que toutes les CM implémentent la même carte….



Je le redis : c’est une recherche bidon publiée pour le fric. Le navigateur peut lire des données ! Scandale ! Ca fait jamais que 25 ans qu’on le sait (au bas mot), en attendant ça reste basé sur la fiabilité de l’IP (qui ne l’est pas, donc….)

votre avatar







Fuinril a écrit :



Sinon : les polices dépendent de l’OS (principalement),&nbsp;





Je rajouterais juste et de la suite bureautique.


votre avatar







ndjpoye a écrit :



“sur 3 615 empreintes collectées auprès de 1 903 utilisateurs au cours d’une période de trois mois”En fait, pour le moment, ils ont juste prouvé que l’empreinte pouvait être identique en changent de navigateur.Ca montre pas qu’on peut te pister.







Exactement.


votre avatar

Je ne vois pas comment obtenir la liste des polices.

Calculer une empreinte oui. Obtenir la liste, non

&nbsp;

votre avatar

OK donne moi 8 noms de polices.

De préférence avec au moins 1 installée sur ton poste (non détectée par le script précédent tant qu’à faire)

votre avatar

non cette empreinte c’est un bitarray pas un hash.



enfin ça peut aussi être un hash mais ce serait con de perdre de la donnée.

votre avatar







Fuinril a écrit :



j’arrive à identifier un utilisateur unique en calculant un hash à partir de la résolution d’écran. C’est cool mais ça sert à rien….





Pas si vite. <img data-src=" />

C’est un facteur d’identification comme un autre, bien qu’il ne soit pas unique ça n’en reste pas moins un facteur d’identification bon a prendre pour qui veux faire du tracking.

Il peut y avoir des ruptures de tracking avec l’utilisation classique des cookies (bloqueurs de script par exemple). L’accumulation d’informations annexes (dont le hash de résolution) permettant la création d’un hash encore plus complet (IP, langue, user agent, heure de connexion etc.. etc) qui pallie à ce genre de “perte de tracking”.

Plus les profils identiques (qui restent rares à grande échelle) sont clairement identifiés (par cookie par exemple) plus ceux qui ne le sont pas sont facilement identifiable par leur hash.



Certains resteront difficile à tracker (encore faut-il qu’ils bloquent les cookies) mais la majorité l’est relativement facilement.


votre avatar

Tu veux quels genres de polices ? Exclusivement des non web j’ai le droit ?



Si ta question c’est “trouve moi une police qui sera pas listée” ça va pas être dur, des polices y en a une infinité….

votre avatar

Très vrai !



Mais ça reste une méthode excessivement lourde pour “juste” une précision de données

votre avatar

qu’est-ce que t’appelles non web ?



il faut qu’on puisse écrire &lt;div style=“font-family:‘nom de la police’”&gt;abcdefg&lt;/div&gt; et que l’affichage soit différent d’un div normal

&nbsp;&nbsp;

votre avatar

Exact. Non standard !



Genre si je duplique time new roman en toto.ttf



Tiens, au pif, choppé sur un site random :http://cdn.fontspace.com/Styles/font-icon/font/fsicons.woff2?81454616



Trouve moi un script non fait pour qui la détecte….

votre avatar







Fuinril a écrit :



Très vrai !



Mais ça reste une méthode excessivement lourde pour “juste” une précision de données





Les régies publicitaires (dont facebook, google, twitter) sont prêtent à tout.<img data-src=" />

Économiquement, elles ne peuvent pas se permettre de faire reposer leur technologie de tracking uniquement sur le cookie.

Elles se préparent depuis plusieurs années au “tracking sans cookie” en complément… et surtout au cas où..


votre avatar







maestro321 a écrit :



Les régies publicitaires (dont facebook, google, twitter) sont prêtent à tout.<img data-src=" />

Économiquement, elles ne peuvent pas se permettre de faire reposer leur technologie de tracking uniquement sur le cookie.

Elles se préparent depuis plusieurs années au “tracking sans cookie” en complément… et surtout au cas où..







C’est vrai, mais les régies qui ont des pratiques qui impactent très négativement les temps de chargement se font souvent virer (je pense ici à Criteo que j’ai personnellement dégagé par exemple).



En complément : je suis bien plus inquiet face à google qui arrive à faire du crossmedia (!!!!) que de ces résultats qui restent des résultats de labo avec un échantillon non significatif et en condition non réelle.



Google ils ont pas fait de publication mais ils arrivent à nous suivre quand on passe du téléphone au desktop…. Merci analytics :/


votre avatar

Ca a peu de sens de charger une police depuis un cdn.

Tout ce que tu pourrais tester c’est si le browser supporte le chargement dynamique.



Tu colles le script suivant dans une page ou jquery est chargée.

Et dans candidats tu mets la liste des polices que tu veux tester.&nbsp;





&nbsp;

\(span = \)(”&lt;span&gt;abcdefg&lt;/span&gt;”);



\(span.appendTo(document.body);



\)
span.css(“font-family”,“blablabla”);



var width = \(span[0].getBoundingClientRect().width;&nbsp;console.log("largeur police par défaut :" + width);







var candidats = ["Perpetua","Gloucester","Renault","Renault","Purisa","Ubuntu"]for (var i=0;i&lt;candidats.length;i++){&nbsp;var fontname = candidats[i];&nbsp;\)
span.css(“font-family”,fontname);&nbsp;var twidth = $span[0].getBoundingClientRect().width;&nbsp;console.log(“police:” + fontname + “ largeur ” + twidth);



&nbsp;if (twidth.toFixed(4) != width.toFixed(4)) &nbsp;&nbsp; console.log(” installée”);&nbsp;else&nbsp; console.log(” non installée”);}

votre avatar







v1nce a écrit :



Ca a peu de sens de charger une police depuis un cdn.







Ah ? Tu es sûr de toi ?





J’ai ni la même expérience ni les mêmes retours…. Le fait est que des polices, par nature, il y en a une infinité (d’où ma question de standard ou pas). Tu peux créer tes propres polices aussi facilement que tu vas te soulager tous les matins, les mettre dans le CSS de ton site (avec le fichier woff), remplacer les polices existantes sur ton OS, utiliser un CDN, etc…



Tu es en train d’essayer de me prouver qu’un script peut détecter les polices normales ? Tu prêches un convaincu, j’ai même expliquer comme faire plus haut (et pas besoin de passer par un calcul des bounds, il suffit d’interroger le dom).



Ce que je t’explique moi c’est que hors police standard il n’y a aucun moyen d’avoir la liste des polices installées sur un OS. Et si tu veux faire mumuse, ton var candidat fera plusieurs centaines de gigas octets (et fera crasher les navigateurs). Donc baser une méthode d’unicité (qui se base sur les composants non standards présent sur les machines) sur un élément que tu es obligé de deviner c’est encore plus con que me dire que tu peux deviner la combinaison du prochain loto avec 13 millions de bulletins : oui c’est théoriquement faisable, en pratique tu perds du fric


votre avatar

Et au passage ton script comporte des erreurs de syntaxe (ça passe peut être mais jusqu’à preuve du contraire ta ligne 1 renvoie un dom element, pas un tableau de dom element - après jQuery est excessivement crade sur la gestion du typage donc bon…) et ne prend pas en considération 2 police ayant le même empâtement, ni les différences entre la police chargée et la police de l’OS, ni…. bah rien en fait, il suffit que je change les alias de police dans mon navigateur et ton truc plante.



Du coup autant demander directement au DOM la police qu’il applique non ? Ca revient au même, c’est moins compliqué et c’est infiniment plus propre….

votre avatar

Je voulais dire peu de sens d’essayer de calculer une empreinte pour une police qui serait chargée depuis un cdn. Je ne disais pas que cela n’a pas de sens de charger une police custom. Bien sûr que ça en a.



On s’était mal compris. On est d’accord qu’il n’est pas possible de connaître la liste des polices installées.

C’est même moi qui l’ai dit le premier ; ) #22



Si ça n’a pas d’intérêt de tester les x polices qui viennent avec l’OS en revanche tester des polices particulières qui viennent avec certains logiciels (très chers) ça permet : et de créer une empreinte et de dresser potentiellement un profil d’acheteur (CSP-créatif ou vilain pirate collectionneur) sans que l’internaute ait même rempli le moindre formulaire.



Je ne vois pas en quoi il faut “deviner”.

La page citée fait un test de 512 fonts.

Ca prend pas des plombes à tester.

Ca prend pas de place (10 ko pour la liste des font-family)

Ca te fait -potentiellement- 2^512 combinaisons possibles.&nbsp;

Certes l’ajout/suppression&nbsp;peut modifier le bitArray des font identifiés

Mais si tu combines ça avec les infos leakés par le webgl ça te fait un identifiant relativement robuste.

Que tu peux apparier (et synchroniser) avec les cookies/IP. Et qui peut te permettre -potentiellement- de retrouver le vrai unique id si le client a essayé de se débarasser en virant cookie et en changeant d’IP.

Après c’est sûr que s’il a changé d’OS, d’écran, de carte graphique, qu’il a installé/supprimé des polices et qu’il a changé de langue ça va être compliqué de remonter jusqu’à un id connu. &nbsp;

&nbsp; &nbsp; &nbsp;&nbsp;

votre avatar

Tu prends (comme Ricard) le problème à l’envers. La question n’est pas de savoir si l’on peut reconnaitre l’internaute, mais la robustesse de la reconnaissance.



Encore une fois, c’est caricatural mais créer une empreinte pour détecter si un internaute particulier a changé de navigateur c’est super simple, il suffit de se baser sur la résolution d’écran. Ce ne va pas t’aider quand tu auras 250k internautes qui ont la même….



C’est tout le problème de leur méthode : ils n’ont aucun moyen novateur d’identification. Après, combiné au reste, certes…. mais la plus grande discrimination est faite via l’IP et les cookies, ça n’est jamais que de l’affinage (genre la paille est jaune, mais j’ai une super méthode qui coute un million à implémenter qui permet de détecter la nuance exacte de jaune….).



Je vais citer juste un petit passage :





Screen Resolution.

The current measurement of screen resolu-

tion is via the “screen” object under JavaScript. However, we

find that many browsers, especially Firefox and IE, change the

resolution value in proportion to the zoom level. For example,

if the user enlarges the webpage with “ctrl++” in Firefox and

IE, the screen resolution is inaccurate. We believe that the

zoom level needs to be considered in both single- and cross-

browser fingerprinting.

Specifically, we pursue two separate directions. First, we

adopt existing work [13] on the detection of zoom levels based

on the size of a div tag and the device pixel ratio, and then

adjust the screen resolution correspondingly. Second, because

the former method is not always reliable as acknowledged by

the inventors, we adopt a new feature, i.e., the ratio between

2

screen width and height, which does not change with the zoom

level









Ouha ! Ils font des ratios largeur / hauteur ! Quelle innovation !



Le papier c’est uniquement des conneries du genre ! Que ça berne des marketteux qui pètent plus haut que leur cul, ok, c’est fait pour leur soutirer du fric. Mais des techniques (desquels tu me sembles faire partie) ça m’inquiète….

votre avatar







Fuinril a écrit :



Et au passage ton script comporte des erreurs de syntaxe (ça passe peut être mais jusqu’à preuve du contraire ta ligne 1 renvoie un dom element, pas un tableau de dom element - après jQuery est excessivement crade sur la gestion du typage donc bon…) et ne prend pas en considération 2 police ayant le même empâtement, ni les différences entre la police chargée et la police de l’OS, ni…. bah rien en fait, il suffit que je change les alias de police dans mon navigateur et ton truc plante.



Du coup autant demander directement au DOM la police qu’il applique non ? Ca revient au même, c’est moins compliqué et c’est infiniment plus propre….





ben oui c’est ce que je veux. UN DOM pas besoin d’un tableau.



Je n’ai jamais dit qu’en l’état le script était parfait. C’était pour illustrer le principe.

Oui effectivement si tu trouves 1 police pour laquelle le mot “abcdefg” a EXACTEMENT la même largeur qu’avec la police par défaut il te dira que la police n’est pas installée.



Plante c’est-à-dire ?



Comment tu demandes au DOM la police utilisée ?


votre avatar







v1nce a écrit :



Oui effectivement si tu trouves 1 police pour laquelle le mot “abcdefg” a EXACTEMENT la même largeur qu’avec la police par défaut il te dira que la police n’est pas installée.



Plante c’est-à-dire ?



Comment tu demandes au DOM la police utilisée ?







Pas besoin d’exactitude, ça va dépendre de la string : si les caractères de la string ont la même largeur globale ça ne fonctionne pas. Sur 2000 caractères, sauf si elle a été faite pour peu de chance, sur 10 par contre….



“Plante” est trop fort : ça ne fonctionne juste pas mais pas d’erreur.



Pour le dom, au pif, getComputedStyle ? (illustrée ici : la seule vraie source :https://www.w3.org/TR/DOM-Level-2-Style/css.html )


votre avatar







v1nce a écrit :



liste des polices installéesQu’est-ce qu’il faut comprendre ? Qu’on peut réellement obtenir la liste des polices installées sur un poste ? (pas possible à ma connaissance) Ou plutôt que parmi une liste de polices donnée on peut identifier celles qui sont réellement installée sur le poste.





Non, il est tout à fait possible (et facile) d’obtenir la liste des polices installées sur ta machine. Plusieurs sites sont d’ailleurs spécialisés pour ça.

https://browserleaks.com/


votre avatar

Tu peux utiliser le réseau tor avec n’importe quel navigateur si tu veux. <img data-src=" />



edit : faudrait voir si ça marche aussi si c’est le réseau et pas le navigateur tor ?

votre avatar







Wellit a écrit :



rien à foutre de Tor !

je parle d’un navigateur normal !





Sois plus précis dans tes demandes alors.<img data-src=" />


votre avatar







EricB a écrit :



la technique semble lié à la configuration materielle et logicielle d une machine à un temps T. Si on change de matos et/ou de plusieurs logiciels, l Id devrait &nbsp;logiquement changer, non?





Toutes les infos ici:



https://www.bleepingcomputer.com/news/security/new-fingerprinting-techniques-ide…



<img data-src=" />


votre avatar

En effet, mais bon pour avoir pas mal de chercheur en sécurité a coté de mon bureau, je sais qu’il y a pleins d’autres manières d’avoir une empreinte… les cours que j’ai eu il y a 2 ou 3 ans avaient de quoi donner le tournis…

votre avatar

Tu mets uBlock Origin, Privacy Badger et NoScript, t’auras l’internet des années 90…



<img data-src=" />

votre avatar

PAGE NOT FOUND!&nbsp;&nbsp;Unfortunately the page that you requested does not exist.



&nbsp;<img data-src=" />

&nbsp;

votre avatar

Et quant, dans les extensions du navigateur, ils tombent sur un bloqueur de pub, ils ne laissent pas tomber = client non rentable? <img data-src=" />

votre avatar

Euh, mais c’est NUL !



C’est quoi cet échantillon moisi ? 36 critères c’est ridicule ! Alors oui sur moins de 2000 utilisateurs, ok, sur 2 millions combien de collisions ? Sachant qu’en plus, sur la masse, les matos vont se recouper en fonction de certaines caractéristiques utilisateur (exemple : j’ai un proc de gamer, une CG de gamer et une carte mère de gamer. Dans les 3 cas la gamme est exactement la même et ce n’est pas une gamme sur laquelle il y a beaucoup de produits….) .



Complètement inexploitable ! Les chercheurs arrivent à avoir une empreinte unique sur plusieurs navigateurs (je veux bien), mais cette empreinte sera reproduite autant de fois qu’il y a de configuration similaires… Je demande à voir le taux de fiabilité sur un environnement réel avec plusieurs millions de connexions, mais j’ai de sérieux doutes….

votre avatar







zogG a écrit :



C’est la plus grosse arnaque du siècle la pub ciblée non ? <img data-src=" />







C’est une usine à gaz, violeuse de vie privée, qui sert à t’afficher pendant 3 mois ce que tu viens juste d’acheter, et donc qui arrive après la bataille <img data-src=" />



Ça crée de l’emploi, fictif mais de l’emploi <img data-src=" />


votre avatar







bobdu87 a écrit :



En effet, mais bon pour avoir pas mal de chercheur en sécurité a coté de mon bureau, je sais qu’il y a pleins d’autres manières d’avoir une empreinte… les cours que j’ai eu il y a 2 ou 3 ans avaient de quoi donner le tournis…





Ben l’avantage du Tor Browser, c’est justement qu’il est le même pour tout le monde. Il est configuré pour éviter les fuites. Tant que t’installes pas de plugins dessus, et que tu laisses la config d’origine, pas de soucis. Après comme d’autres l’ont dit dans les coms, tu désactives JS et tu limites déjà vachement le truc.

D’ailleurs, c’est même dit dans la news ;)


votre avatar







matroska a écrit :



PAGE NOT FOUND!&nbsp;&nbsp;Unfortunately the page that you requested does not exist.



&nbsp;<img data-src=" />



 &nbsp;





&nbsp;

<img data-src=" />

https://www.bleepingcomputer.com/news/security/new-fingerprinting-techniques-ide…

&nbsp;


votre avatar

Même pas besoin du navigateur… y a un papier qui déjà plusieurs années (c’est pas mon domaine de prédilection donc je vais pas te sortir le biltex de tête), qui montre que les habitudes de navigation sont très tenaces… globalement quand on se lève le matin, on vas tous regarder une suite de sites, souvent dans le même ordre, avec un timing précis… ça suffit déjà a faire un bon ciblage… sachant que tout ça peut être améliorer avec les tonnes d’infos qui peuvent être déduites et permettent de raffiner le suivi…&nbsp;

votre avatar







bobdu87 a écrit :



Même pas besoin du navigateur… y a un papier qui déjà plusieurs années (c’est pas mon domaine de prédilection donc je vais pas te sortir le biltex de tête), qui montre que les habitudes de navigation sont très tenaces… globalement quand on se lève le matin, on vas tous regarder une suite de sites, souvent dans le même ordre, avec un timing précis… ça suffit déjà a faire un bon ciblage… sachant que tout ça peut être améliorer avec les tonnes d’infos qui peuvent être déduites et permettent de raffiner le suivi…&nbsp;





Juste une question conne… Tes sites que tu regardes la matin au réveil, tu les regardes comment ? <img data-src=" />


votre avatar

Avec wget, pourquoi ? <img data-src=" />

votre avatar







Mihashi a écrit :



Avec wget, pourquoi ? <img data-src=" />





Mine de rien (ou de crayon <img data-src=" />), c’est pas con comme idée. A creuser.<img data-src=" />


votre avatar

Malheureusement d’expérience, les Mme & Mr Michu sont comme je le prétends.



Après si la tendance s’inverse et que la performance redevient prioritaire, tant mieux je ne vais pas m’en plaindre.

votre avatar

<img data-src=" />&nbsp;<img data-src=" />

votre avatar







v1nce a écrit :



Je ne vois pas comment obtenir la liste des polices.

Calculer une empreinte oui. Obtenir la liste, non









Tu peux obtenir les polices chargées.



Genre tu fais un style time new roman, gothica, sans serif



Tu sauras simplement si l’utilisateur a time new roman installée, sinon si il a gothica sinon si il a sans serif. Remplace les polices par des choses un peu plus exotiques et tu auras une idée de son OS (au cas où tu aies la flemme de lire la donnée dans le navigateur, on sait jamais ….) ou du moins les packs de police qu’il a installé.



En granulant ça convenablement il y a moyen d’obtenir des données exploitables…. si ce n’est que 80% des visiteurs vont avoir un windows 10 avec office installé - et donc tous les mêmes packs de polices…..


votre avatar

La faute à javascript (un peu) et flash (surtout). Tu peux le voir sur une des pages du lien donné par Ricard : fonts.

votre avatar

En réalité c’est une technique qui aurait eu beaucoup de mérite il y a 20 ans, avec des environnements extrêmement hétérogènes. Aujourd’hui tous les fabricants, tous les éditeurs, tous les assembleurs tentent par tous les moyens de réduire leurs coûts via des économies d’échelle…. et du coup les environnement sont très semblables d’un utilisateur sur l’autre (hors cas particulier : les devs, les sysadmin, les utilisateurs de BSD, de Lynx, etc…).



La technique se basant sur les différences d’environnement entre utilisateurs c’est on ne peut plus débile….

votre avatar

Mais ça marche pas : 60 polices me dit le site, windows me dit 98. Tu peux savoir si une police est présente ou non, pas obtenir la liste de celles présentes….. et pour peu que ton navigateur en ait chargé une distante sur un site juste avant ça foire l’empreinte….





Non vraiment c’est super comme technique….

votre avatar







Fuinril a écrit :



Tu prends le problème à l’envers.



Le SEUL intérêt du tracking du point de vue de ceux qui financent le marché (c’est à dire les clients, pas les chercheurs) c’est d’être unique et fiable. Et à priori ce n’est pas le cas avec cette technique.



Des techniques avancées de tracking fiables à 80% basées sur l’histo y en a à la pelle. Ici on est largement en dessous, le seul intérêt de la technique c’est d’être crossbrowser mais si c’est pas fiable…. Et même en admettant qu’ils arrivent à 90% de fiabilité c’est par machine et non par utilisateur (exit le cross media - pas de bol en tant que webmarchand j’aimerais bien savoir combien de % de mes clients visitent le site sur mobile pour acheter sur desktop ou l’inverse….), du coup…..



Et je ne parle pas de la technique en elle même que personne ne voudra implémenter : bouffer 80-100% du CPU de l’utilisateur pendant plusieurs secondes au chargement de la page alors qu’on essaye d’accélérer le chargement des scripts fonctionnels, mais bien sûr !



Sinon : les polices dépendent de l’OS (principalement), les plugins la plupart n’en ont pas, le support de webGL dépend du navigateur de la CG et des pilotes, canvas de l’OS et du navigateur (et du CPU mais non pris en compte pour des raisons évidentes). L’audio c’est devenu inutile depuis que toutes les CM implémentent la même carte….



Je le redis : c’est une recherche bidon publiée pour le fric. Le navigateur peut lire des données ! Scandale ! Ca fait jamais que 25 ans qu’on le sait (au bas mot), en attendant ça reste basé sur la fiabilité de l’IP (qui ne l’est pas, donc….)







Tu veux commander sur un site de voyages.

&nbsp;Tu es déjà allé plusieurs fois sur le site.

Et à chaque fois le prix augmente. Tu changes de browser tu passes par un proxy et magique le prix a diminué. Plus de cookie, adresse IP changée tu es considéré comme un nouvel utilisateur.



&nbsp;Maintenant si au lieu de stocker simplement cookie et IP on stocke en plus la résolution de l’écran (1920 ? 2560 ?4k ?) les capacités de ta carte graphique (modèle, fréquence, &nbsp;ram, résolution max de la texture) les polices exotiques liées à la présence d’un logiciel (barcode, notation musicale, tablature…), que crois-tu qu’il va arriver si &nbsp;tu fais ta recherche ?&nbsp;


votre avatar

Non ça ne donne pas la liste des polices installées.

Ca te dit si parmi 512 font connues, tu en as quelques-unes d’installées.

Ce n’est pas la même chose que de lister les polices installées sur le poste.



Si j’installe tititatatoto.ttf il sera incapable de me la proposer.

(sauf bruteforce sur le nom des polices mais je pense que le temps passé à le faire pourrait sans doute être mieux rentabilisé)

votre avatar







v1nce a écrit :



Tu veux commander sur un site de voyages.

 Tu es déjà allé plusieurs fois sur le site.

Et à chaque fois le prix augmente. Tu changes de browser tu passes par un proxy et magique le prix a diminué. Plus de cookie, adresse IP changée tu es considéré comme un nouvel utilisateur.



 Maintenant si au lieu de stocker simplement cookie et IP on stocke en plus la résolution de l’écran (1920 ? 2560 ?4k ?) les capacités de ta carte graphique (modèle, fréquence,  ram, résolution max de la texture) les polices exotiques liées à la présence d’un logiciel (barcode, notation musicale, tablature…), que crois-tu qu’il va arriver si  tu fais ta recherche ?







Impossible. Le navigateur n’a pas accès à ces données (heureusement). Dans la technique décrite ils passent par des calculs de rendu… et ne peuvent jamais s’affranchir du navigateur. Tu veux utiliser une police non standard comme une notation de musique pour la détection ? Bah amuse toi ! Mais va falloir recoder une partie de firefox qui ne connait pas….





Tiens, un bon exemple : tu as certainement déjà vu des petits losange noirs avec un “?” blanc sur des pages web. C’est dû à des encodages de caractères non standards W3C. C’est parfaitement supporté par ton OS (d’ailleurs la plupart viennent de copier coller, tu as l’apostrophe design word par exemple), parfaitement par un moteur de BDD (du moins un peu évolué), mais ton navigateur sera absolument incapable de lire ce caractère.



Donc amuse toi avec tes polices ;)


votre avatar

ouais enfin ajouter/retirer une police ça change 1 bit à l’empreinte, c’est pas ça qui va empêcher la comparaison.

votre avatar

Question conne mais essentielle selon moi, l empreinte generee, ou est elle stocke, le navigateur si j ai bien compris., donc on en reviens au principe de tor, mais qui pu du zgegue car chaque noeud peu etre un milieu…



Donc il faudrait pouvoir identifier chaque noeuds loool, on tourne en rond (^_^)v

votre avatar







v1nce a écrit :



Tu veux commander sur un site de voyages.

 Tu es déjà allé plusieurs fois sur le site.

Et à chaque fois le prix augmente. Tu changes de browser tu passes par un proxy et magique le prix a diminué. Plus de cookie, adresse IP changée tu es considéré comme un nouvel utilisateur.



 Maintenant si au lieu de stocker simplement cookie et IP on stocke en plus la résolution de l’écran (1920 ? 2560 ?4k ?) les capacités de ta carte graphique (modèle, fréquence,  ram, résolution max de la texture) les polices exotiques liées à la présence d’un logiciel (barcode, notation musicale, tablature…), que crois-tu qu’il va arriver si  tu fais ta recherche ?







Ah aussi, dans l’ordre des données fiables ou considérées comme telles sont :




  1. les cookies : propre, infalsifiable, unique, 99% des utilisateurs ne savent pas ce que c’est et encore moins les purger

  2. l’ip : une IP est unique a un instant T et les gens normaux ne changent pas d’IP toutes les 2min (sauf les gens en train sur mobile) =&gt; pas fiable

  3. tout le reste où tu as tellement de collision que c’est inexploitable



    Au final il faut se placer du côté de l’agence : elle cherche à faire croire au client que le bien s’épuise et le prix augmente… mais pour ça il faut être relativement sûr de l’unicité du client. Sinon la seule chose que tu fais c’est de faire fuir le client avec des prix prohibitifs par rapport à la concurrence : si tu lui affiche le prix d’un mec qui a rafraichi 15 fois la page avant ça ne va pas aider ton taux de transfo….


votre avatar







Fuinril a écrit :



Impossible. Le navigateur n’a pas accès à ces données (heureusement). Dans la technique décrite ils passent par des calculs de rendu… et ne peuvent jamais s’affranchir du navigateur. Tu veux utiliser une police non standard comme une notation de musique pour la détection ? Bah amuse toi ! Mais va falloir recoder une partie de firefox qui ne connait pas….





Tiens, un bon exemple : tu as certainement déjà vu des petits losange noirs avec un “?” blanc sur des pages web. C’est dû à des encodages de caractères non standards W3C. C’est parfaitement supporté par ton OS (d’ailleurs la plupart viennent de copier coller, tu as l’apostrophe design word par exemple), parfaitement par un moteur de BDD (du moins un peu évolué), mais ton navigateur sera absolument incapable de lire ce caractère.



Donc amuse toi avec tes polices ;)







http://www.geeks3d.com/webgl/



presencePoliceTypeMyMusic&nbsp;= &nbsp;div_texte_toto_defaut_fontFamily.getClientBoundingBox() != div_texte_toto_fontTypeMyMusic.getClientBoundingBox()


votre avatar

Euh d’où ? Le principe de l’empreinte c’est d’être un hash d’un agrégat de données. Change un bit à la string initial et ton hash n’aura rien à voir….





Heureusement d’ailleurs, sinon j’aurais vraiment peur quant au paiement en ligne : si tu décales une virgules dans les paramètres tu changes tout le hash et le paiement devient invalide….

votre avatar







v1nce a écrit :



http://www.geeks3d.com/webgl/



presencePoliceTypeMyMusic =  div_texte_toto_defaut_fontFamily.getClientBoundingBox() != div_texte_toto_fontTypeMyMusic.getClientBoundingBox()







Je suis pas sûr de comprendre ton exemple mais si j’ai une police russe sur mon OS c’est pas comme ça que tu vas la détecter…


votre avatar

Elle est calculée sur le navigateur et renvoyée au serveur qui en fait ce qu’il veut.

L’associer à la page consultée par exemple.

Et vérifier si 1 semaine après quelqu’un revient sur la même page avec la même empreinte mais une adresse IP différente

votre avatar

Effectivement cela semble donner la liste complète avec Edge. Mais pas avec Chromium

&nbsp;

votre avatar







RaoulC a écrit :



J’ai repensé au profilage par des linguistes sur la manière de s’exprimer sur internet. Chaud.

Il faudrait presque se créer x identités, changer de langue et se mettre à employer l’argot propre à la langue..



Ca fait flipper





Il était même question de la façon dont tu tapes au clavier. (rapidité, fréquences de lettre…)


votre avatar

Il y a aussi le détournement de technologies avec le tracking par ETAG par exemple : http://www.lucb1e.com/rp/cookielesscookies/

Bien plus simple à mettre en place..

votre avatar

Dans ce cas-là, c’est probablement suffisant. Mais parfois les jquery et consorts sont importés depuis le site du développeur <img data-src=" />

votre avatar

Petite question (pas taper si je dis des conneries je ne suis pas spécialiste):



Si on utilise quelque chose comme no script on peut se protéger non?

votre avatar

Sinon il y a Flash qui permet de générer un identifiant unique c’est encore plus simple !. J’ai déjà remarqué que j’étais identifié en changeant de navigateur sur certains sites sauf si je vidais le cache de Flash. Le cache de Flash est commun à tous les navigateurs.

votre avatar

Lorsqu’on parlait des empreintes de navigateurs, certains parlaient de faire un soft qui rajoute/supprime des fausses polices aléatoirement, pour casser ce phénomène d’empreintes ( étant donné que c’est un des critères assez majeur dans le mécanisme



A votre connaissance, ça as été fait ou pas ? :)

votre avatar

edit: je sais pas comment j’ai put double post à 1 min d’interval, dsl ^^

votre avatar

Bon à savoir, mais il faudrait savoir le pourcentage de personnes qui utilisent plusieurs navigateurs pour savoir si ça a un intérêt concret. Je ne pense pas que ça dépasse 2 ou 3%.

votre avatar

D’où l’importance de bloquer Javascript, mais ça nécessite un apprentissage (d’autoriser seulement des sites de confiance pour des cas d’utilisation particuliers, et de se priver des sites qui ne fonctionnent pas). Mais quand même, c’est grave.

votre avatar







versgui a écrit :



Bon à savoir, mais il faudrait savoir le pourcentage de personnes qui utilisent plusieurs navigateurs pour savoir si ça a un intérêt concret. Je ne pense pas que ça dépasse 2 ou 3%.





Ca veut juste dire que même un utilisateur parano est identifiable… et donc la possibilité d’avoir l’empreinte de chaque utilisateur…Une bonne nouvelle pour les big brother comme face book et google qui maintenant ont le culot de vouloir nous dire ce qui est bien ou pas de penser…


votre avatar

Moi^^

Je jongle avec plein de navigateurs, suivant les comptes, le taff, les conneries, le prOn ( <img data-src=" /> ) ou alors facebook qui à le droit d’être séparé du reste.



Sinon c’est assez flippant ce besoin de savoir ce que font les gens tout le temps.

votre avatar

Ca veux surtout dire que le même utilisateur qui change de domaine (toto.com, nextinpact.com) peut être pisté (pas besoin de cookie traceur) #pub (la méthode existe déjà depuis un moment mais là on a en plus le changement de navigateur)

votre avatar







CreaYouz a écrit :



… le prOn ( <img data-src=" /> ) …



c’est quoi ? un jeu ?

ou … un truc cochon !!! pour la St-Valentin … il n’y a plus de respect :) :) :)


votre avatar







CreaYouz a écrit :



Moi^^

Je jongle avec plein de navigateurs, suivant les comptes, le taff, les conneries, le prOn ( <img data-src=" /> ) ou alors facebook qui à le droit d’être séparé du reste.



Sinon c’est assez flippant ce besoin de savoir ce que font les gens tout le temps.





+1.

Surtout pour leur refourguer de la merde en barre après


votre avatar

Décidément les sites peuvent recueillir trop de donnée. Il faudrait avoir un navigateur qui supprime toutes infos à fin d’empêcher que ce genre d’information sortent.

Parce que C’est bien beau le “do nit track” mais comme la bien expliqué Nxi, peut de site le respect et comme les régies publicitaires sont autonomes sur leurs fonctionnement bref aucune confiance…



À quand un navigateur bloquant ce genre d’indiscrétion ?

votre avatar

A partir du moment ou on sait quelles informations le navigateur doit fournir pour fabriquer l’empreinte, tu peux bricoler ton navigateur&nbsp; pour qu’il fournisse de manière aléatoire ces informations.

votre avatar

Quand on voit la tronche des pubs qu’on se tape on se demande bien si ça sert à quelquechose. Même Amazon qui doit être au courant de 90% de ce que j’achète en ligne n’a jamais été capable de me faire une reco pertinente.



C’est la plus grosse arnaque du siècle la pub ciblée non ? <img data-src=" />

votre avatar







Kulvar a écrit :



Pourquoi est-ce que les navigateurs donnent ce genre d’infos à la base? Qu’est-ce qu’ils ont à donner les références des composants?





Kulvar, c’est le script qui s’exécute via le navigateur qui va aller récupérer ces infos.

&nbsp;En plus poussé il existe “ma-config.com” qui peut s’exécuter en ligne.


votre avatar

On peut leurrer toutes les chaines de caractéristiques avec about:config ? Si oui ça ne répond que partiellement à la demande : là il s’agirait de renvoyer une donnée random différente à chaque requête

votre avatar







TheKillerOfComputer a écrit :



Quand à un plugin pour Firefox, manifestement le plus simple serait de faire comme Tor : Il faut normaliser. Toutes les installations doivent se ressembler. Ce qui est impossible.





Ya 2 solutions :

1-Toutes les installations doivent se ressembler : tu l’as dit, impossible

2-Renvoyer n’importe quoi, une chaîne random différente à chaque requête. Ca doit être assez aisé de programmer un plugin pour faire ça.


votre avatar







Flushy a écrit :



Kulvar, c’est le script qui s’exécute via le navigateur qui va aller récupérer ces infos.

&nbsp;En plus poussé il existe “ma-config.com” qui peut s’exécuter en ligne.





Il a bien fallu coder une interface dans le navigateur pour que le script puisse récupérer l’info


votre avatar

c est claire que google et facebook avec tout leur outil gratuit qui nous piste dure de passer outre et pas beaucoup de site en https

des lien qui teste le pistage

avec script déactivé

là il voit même si on est au toilette

teste par-feux

htlm5

acid3

votre avatar

Les tests acid et autres donnent un résultat en fonction de la compatibilité du navigateur avec toutes les propriétés du standard.

&nbsp;Si tu as un score bas parce que tu as pris le parti de ne pas respecter le standard pour des raisons de sécurité, il ne faut pas considérer le score comme mauvais mais comme représentatif du ratio respect du standard/sécurité.



Je trouve NXI plutot pas mal du coup. T’as essayé FB ou VDM pour tester? :)

votre avatar

Chrome pour mes mails, ffx pour le dll, un autre ffx (portables) pour le pron, afin de séparer les historiques… et edge quand les autres refusent un contenu.



Je fais de même avec des adresses mail.

Cloisonner, pour mieux contrôler.

votre avatar

Si tu bloque tout JS qui n’est pas issu du domaine actif, tu élimines 99% des scripts publicitaires.

votre avatar

Mon impression est que des gens qui changent de navigateur pour aller sur un même site marchand plusieurs fois,&nbsp; on en trouve aussi parmi les non-technophiles. L’information sur le pistage des utilisateurs est arrivé dans la presse consumériste, et certains en ont tenu compte

votre avatar

le retour du pron en ASCII?

votre avatar







PtiDidi a écrit :



&nbsp;Si tu as un score bas parce que tu as pris le parti de ne pas respecter le standard pour des raisons de sécurité, il ne faut pas considérer le score comme mauvais mais comme représentatif du ratio respect du standard/sécurité.



&nbsp;Je sais bien, mais c’est pas forcément facile à vendre au michu moyen qui vient à peine d’apprendre l’existence de ces scores…

&nbsp;







PtiDidi a écrit :



Je trouve NXI plutot pas mal du coup. T’as essayé FB ou VDM pour tester? :)



Je viens de passer sur la page d’accueil de Facebook, ça a plutôt une bonne tête et le formulaire de connexion semble même fonctionner sans JavaScript. Comme quoi ^^http://hpics.li/f1d9f36


votre avatar

Avant je jonglais entre Chromium et FFx, depuis peu je n’installe plus FFx. Par contre j’utilise le hosts AdzHosts qui bloque un nombre incroyable d’IPs publicitaires, à voir si c’est efficace dans ce cas.

votre avatar







v1nce a écrit :



Je ne vois pas comment obtenir la liste des polices.

Calculer une empreinte oui. Obtenir la liste, non

&nbsp;





https://panopticlick.eff.org/&nbsp;&nbsp;&nbsp; –&gt; Fingerprint

Je viens de vérifier, il me liste bien toutes les polices de mon système (Via QupZilla. Sous Firefox ça fonctionne pas, mais il est blindé. <img data-src=" />)


votre avatar







Ravaged a écrit :



Par contre j’utilise le hosts AdzHosts qui bloque un nombre incroyable d’IPs publicitaires, à voir si c’est efficace dans ce cas.





Je l’utilise aussi, et j’y rajoute régulièrement des entrées. Le fichier fait presque 3 Mo. <img data-src=" />


votre avatar







bobdu87 a écrit :



Même pas besoin du navigateur… y a un papier qui déjà plusieurs années (c’est pas mon domaine de prédilection donc je vais pas te sortir le biltex de tête), qui montre que les habitudes de navigation sont très tenaces… globalement quand on se lève le matin, on vas tous regarder une suite de sites, souvent dans le même ordre, avec un timing précis… ça suffit déjà a faire un bon ciblage… sachant que tout ça peut être améliorer avec les tonnes d’infos qui peuvent être déduites et permettent de raffiner le suivi…&nbsp;





J’ai repensé au profilage par des linguistes sur la manière de s’exprimer sur internet. Chaud.

Il faudrait presque se créer x identités, changer de langue et se mettre à employer l’argot propre à la langue..



Ca fait flipper


votre avatar







RaoulC a écrit :



J’ai repensé au profilage par des linguistes sur la manière de s’exprimer sur internet. Chaud.

Il faudrait presque se créer x identités, changer de langue et se mettre à employer l’argot propre à la langue..



Ca fait flipper





tu gagnerais du temps à partir direct sur l’espéranto <img data-src=" />


votre avatar







Fuinril a écrit :



Tu prends (comme Ricard) le problème à l’envers. La question n’est pas de savoir si l’on peut reconnaitre l’internaute, mais la robustesse de la reconnaissance.



Encore une fois, c’est caricatural mais créer une empreinte pour détecter si un internaute particulier a changé de navigateur c’est super simple, il suffit de se baser sur la résolution d’écran. Ce ne va pas t’aider quand tu auras 250k internautes qui ont la même….



C’est tout le problème de leur méthode : ils n’ont aucun moyen novateur d’identification. Après, combiné au reste, certes…. mais la plus grande discrimination est faite via l’IP et les cookies, ça n’est jamais que de l’affinage (genre la paille est jaune, mais j’ai une super méthode qui coute un million à implémenter qui permet de détecter la nuance exacte de jaune….).



Je vais citer juste un petit passage :











Ouha ! Ils font des ratios largeur / hauteur ! Quelle innovation !



Le papier c’est uniquement des conneries du genre ! Que ça berne des marketteux qui pètent plus haut que leur cul, ok, c’est fait pour leur soutirer du fric. Mais des techniques (desquels tu me sembles faire partie) ça m’inquiète….







Non. Je prends le problème par les 2 bouts. Tu es dans une optique panier classique ou on connaît déjà tout de l’internaute. Connaissant les habitudes de consommation de ton mouton ça suffit à ta problématique. Bien.



On remplace ton mouton par un rebelZ. Il sait qu’on se fait traquer à longueur de journée et ayant déjà passé commande pour du matos assez cher il sait qu’on l’a rangé dans la catégorie CSP+ (et même avec l’ID 1234567) et qu’on essaye de lui soutirer un max de pognon en gonflant artificiellement le prix. Il en a marre. Il passe par un proxy, vire ses cookies et à lui le shopping à moindre prix.

Ce manque à gagner est insupportable au magasin virtuel qui se trouve devant un problème : il doit afficher des prix bas pour attirer des nouveaux clients mais il doit soutirer un max de pognon aux anciens. Une fois qu’il a affiché un prix il doit s’y tenir, les grugeurs qui ont passé à travers les mailles du filet en virant leurs cookies profite donc d’un prix outrageusement bas et ne sont démasqués qu’au moment de payer.

Il faudrait donc pouvoir identifier ces mauvais payeurs même en l’absence de cookies.



Comment faire ?



En plus des cookies et IP on va essayer de stocker des informations que l’internaute ne pourra pas camoufler. Comme il ne donnera pas d’infos sur lui on va essayer d’identifier sa machine.

Notre internaute se connecte au grand jour, on stocke ip on met à jour les cookies et on calcule une empreinte : on stocke de manière préférentielle les informations sur lesquelles il a peu de prise (carte graphique), qu’il ne pensera pas forcément à changer (quelques fontes bien choisies) et on finit par le tout venant (user agent…)

On conserve l’information que l’utilisateur 1234567 a consulté la page X ou le produit était à 100 euros (au lieu de 99 pour un primovisiteur)

La politique maison c’est d’augmenter les prix de 1 euro à chaque consultation pour faire croire à une raréfaction du produit.

L’internaute se déconnecte(proxy,cookie etc) et revient sur la page s’attendant à la trouver à 99euros.

Pas de bol elle est à 101 euros. Pourquoi ?

Recalcul d’empreinte on identifie que c’est -très très très très probablement -la même machine (et donc le même utilisateur) qui s’est connectée il y a 10 minutes même si elle a changé d’IP (et même si le produit a été consulté entre temps par qq1 d’autre).

Il se déconnecte (proxy,cookies) il change une police et se reconnecte. 102 euros. Pourquoi ? la carte graphique est la même, le user-agent est le même, la langue est la même, la résolution écran est la même et sur les 32 polices (=bits) stockées seul un a changé. Bref on t’a reconnu.



C’est un peu le principe de akinator qui peut retrouver un objethttp://fr.akinator.com/ même si tu lui mens (un peu) à condition que le nombre de questions soit suffisamment important&nbsp; &nbsp;&nbsp;

&nbsp;&nbsp;&nbsp;&nbsp;





&nbsp;


votre avatar

a priori getComputedStyle(… ).getPropertyValue(“font-family” ) te renvoie la chaîne que tu as donné pour le style et pas la police réellement utilisée.

Si tu dis que la font-family est “toto;blablabla” il te renverra&nbsp;“toto;blablabla” et pas la police réellement utilisée donc ça ne fait pas progresser le schmilblick

votre avatar

Ok. Vu comme ça ça se tient mais admet que c’est tiré par les cheveux… Et que implémenter un truc qui va mettre le CPU des clients à plats pour plusieurs secondes juste pour affiner l’identification de 0.01% de tes visiteurs c’est absurde.



D’autant que si le mec gère vraiment il va savoir qu’il est tracé et va faire en sorte de pourrir (littéralement) son navigateur de données foireuses…



Tout ça pour un résultat qui est bien naze par rapport à ce que peut faire google via son omniprésence et la qualité hallucinante de leur analyse de données (nan parce que le cross media ça c’est un vrai truc de fou ! Il y a rien, aucune données identiques : ni IP, ni cookie, ni browser, ni CPU, ni OS… rien !).



Du coup, euh…. Publier un papier ça sert à quoi ?

votre avatar







Fuinril a écrit :



Ok. Vu comme ça ça se tient mais admet que c’est tiré par les cheveux… Et que implémenter un truc qui va mettre le CPU des clients à plats pour plusieurs secondes juste pour affiner l’identification de 0.01% de tes visiteurs c’est absurde.



D’autant que si le mec gère vraiment il va savoir qu’il est tracé et va faire en sorte de pourrir (littéralement) son navigateur de données foireuses…



Tout ça pour un résultat qui est bien naze par rapport à ce que peut faire google via son omniprésence et la qualité hallucinante de leur analyse de données (nan parce que le cross media ça c’est un vrai truc de fou ! Il y a rien, aucune données identiques : ni IP, ni cookie, ni browser, ni CPU, ni OS… rien !).



Du coup, euh…. Publier un papier ça sert à quoi ?







Pour un site marchand cela présente un intérêt discutable.

Faire tourner le CPU des clients une fois que la page a chargée, si ça ne gêne pas la navigation et que ça peut aider à affiner le profil je pense que ça ne gênerait pas certains (oui je pense aussi à criteo)

&nbsp;&nbsp;

“Démasquer” quelqu’un (= le relier à une machine déjà connue pour une activité plus innocente) je pense que ça en intéresse quelques-uns.


votre avatar

Normalement non.



Je ne peux pas me prononcer sur le cas exact de font-family car je ne l’ai jamais fait, et j’ai carrément la flemme de mettre en place les conditions nécessaires pour un test réel. Mais en tous cas je peux garantir le bon fonctionnement sur tous les attributs de style “normaux” (height, width, padding, margin, etc….).



Normalement ça fonctionne bien, mais la gestion des polices est assez spéciale (ce n’est pas géré directement par le browser) donc je ne peux pas le garantir à 100%.





Definition and Usage



The getComputedStyle() method gets all the actual (computed) CSS property and values of the specified element.



The computed style is the style actually used in displaying the element, after “stylings” from multiple sources have been applied.



Style sources can include: internal style sheets, external style sheets, inherited styles and browser default styles.



The getComputedStyle() method returns a CSSStyleDeclaration object.





Source :https://www.w3schools.com/jsref/jsref_getcomputedstyle.asp

votre avatar

Après une recherche rapide il semblerait qu’effectivement la police soit uniquement gérée sous forme de string au niveau du DOM - et donc renvoie la string font family complète, à charge pour le navigateur de donner un rendu cohérent. La propriété n’est donc pas accessible au niveau du dom (et donc pas en JS)



Au temps pour moi

votre avatar

Pas de JS = pas de web, vu comme la plupart des sites sont conçus.



Le JS, c’est quand même la base sur internet maintenant. On n’est plus dans les années 90.

La seule solution viable serait que le navigateur soit capable de fournir des infos pour toutes les caractéristiques analysées qui varient légèrement sans dégrader l’expérience utilisateur.

votre avatar

ils n’ont vraiment plus rien d’autre à foutre que pister, surveiller, espionner, fliquer internet.

Qu’ils aillent bosser ça leur changera les idées

votre avatar







SirRichter57 a écrit :



Question conne mais essentielle selon moi, l empreinte generee, ou est elle stocke, le navigateur si j ai bien compris., donc on en reviens au principe de tor, mais qui pu du zgegue car chaque noeud peu etre un milieu…



Donc il faudrait pouvoir identifier chaque noeuds loool, on tourne en rond (^_^)v





quand Google marque “vous avez déjà visité cette page x fois” c’et stocké où ?


votre avatar







zogG a écrit :



Quand on voit la tronche des pubs qu’on se tape on se demande bien si ça sert à quelquechose. Même Amazon qui doit être au courant de 90% de ce que j’achète en ligne n’a jamais été capable de me faire une reco pertinente.



C’est la plus grosse arnaque du siècle la pub ciblée non ? <img data-src=" />





Pareil. La blague c’est que vois des pubs pour des produits déjà achetés.


votre avatar

Je ne vois pas en quoi c’est choquant, on continue de découvrir qu’Internet ce sont des machines en réseau et qu’elles communiquent…

La meilleure sécurité sera toujours de débrancher son câble réseau, ou d’avoir conscience qu’on met sa machine sur un réseau d’autres machines dont les utilisateurs ne sont pas forcément aussi bienveillants que nous…

votre avatar

Oui.

Mais plus généralement, le problème vient du fait que tout ce fingerprinting est rendu possible par des technos de kékés, inutiles et donc indispensables, dont la suppression / désactivation entraîne des scores dégradés sur par exemple les tests acid3.acidtests.org ou html5test.com. Il n’y a qu’à comparer les scores de Firefox nu vs Tor Browser sur ces tests pour se faire une idée.

&nbsp;

Et mine de rien, quand on désactive ce genre de techno on a volontier une expérience utilisateur dégradée ici où là. Voici par exemple à quoi ressemble nextinpact dans Tor Browser en sécurité élevée (avec JS activé quand même, sinon c’est juste inutilisable):http://hpics.li/40da4f1

votre avatar







bobdu87 a écrit :



Ca veut juste dire que même un utilisateur parano est identifiable… et donc la possibilité d’avoir l’empreinte de chaque utilisateur…





Il y a les paranos amateurs qui utilisent plusieurs navigateurs sur la même machine, et les paranos professionnels qui utilisent plusieurs navigateurs sur plusieurs machines, comme moi. <img data-src=" />


votre avatar

Pas professionnel du tout. Sinon tu aurai abandonné le web pour les pizzinis. Mais même comme cela on finit par te choper.&nbsp;

votre avatar

Pourquoi est-ce que les navigateurs donnent ce genre d’infos à la base? Qu’est-ce qu’ils ont à donner les références des composants?

votre avatar

Une autre technique pour “casser” ce pistage est un script qui fait tourner toutes sortes de sites sans rapport les uns avec les autres. La traçabilité perdant alors toute sa valeur puisque sur des informations fausses.



Parce que là si j’ai bien compris même le VPS ne sert plus à grand chose.



Mais bon de toute façon je me doute depuis au moins 15 ans que le rêve des dirigeants à terme est d’obliger les internautes à s’identifier pour se connecter, via un CB ou une carte d’ID numérique, pour être sur de bien vous faire tous taire ;)

Des chercheurs créent une empreinte pour pister un internaute via plusieurs navigateurs

  • De l'empreinte spécifique à un navigateur...

  • ... à celle liée à une machine spécifique

  • Un taux de réussite supérieur à 99 % dans les tests

  • Seul Tor Browser échappe pour l'instant à cette technique

  • Devancer les recherches dans ce domaine

Fermer