Canvas fingerprinting : le successeur du cookie

Keaton Mowery et Hovav Shacham, de l’université californienne de San Diego, ont en 2012 formulé leurs recherches dans un article qui a pour titre « Pixel Perfect: Fingerprinting Canvas in HTML5 » et qui développe pour la première fois l’idée du Fingerprint tracking. Dans cette publication ils y exposent leurs recherches, et notamment la technique du canvas fingerprinting qui utilise le composant canvas de HTML5 et peut ainsi générer sans problème une empreinte digitale individuelle sur la base du système de configuration des utilisateurs. Une année plus tard, le programmeur russe Valentin Vasylyev, inspiré par les travaux des deux chercheurs californiens, développe et publie le premier code de canvas fingerprint sous une licence open source via GitHub. Son code a notamment été utilisé par les entreprises comme AddThis et Ligatus afin de créer un processus de pistage.

Le composant canvas mentionné ci-dessus comporte des domaines définis (hauteur et largeur), qui peuvent être dessinés en utilisant JavaScript pour créer par exemple des graphiques, logos et boutons avec texte. Mais la combinaison du matériel et des logiciels suivants est souvent unique :  

• Système d‘exploitation
• Navigateur
• Carte graphique
• Pilotes de la carte graphique
• Les polices installées

Ces composants assurent que chaque texte sera particulièrement différent, ce qui est rendu possible par le canvas fingerprinting. Les opérateurs de sites Internet ont besoin pour effectuer un pistage internet d’un code spécifique de canvas fingerprinting, ce qui oblige le navigateur de présenter un texte caché en arrière-plan via JavaScript lorsque la page est en chargement, les informations obtenues sont transmises au serveur Web. Grâce à cette technique d’empreinte digitale du navigateur, plus de 80 pour cent des cas sont uniques et sont toujours reconnaissables, tant que l’utilisateur ne modifie pas les configurations de son système. 

Un canvas fingerprint ne contient en principe que les informations mentionnées précédemment sur le système d’exploitation et le navigateur. Cependant il offre aussi la possibilité d’identifier les utilisateurs du site Internet en tant qu’individu, afin de suivre les comportements de navigation. Cela représente les activités sur un site mais également sur plusieurs sites Web, dans cette mesure le script est réalisé sur différentes pages. Par conséquent ce procédé est destiné pour l’optimisation du site Internet mais également pour la conception de publicité. Un avantage important de cette nouvelle méthode de pistage et qu’elle ne collecte pas les données personnelles des utilisateurs. Tout cela fait du Fingerprint-Tracking une sérieuse alternative aux cookies pour les analyseurs Web. En effet, les cookies sont légalement contestables et sont désormais bloqués ou régulièrement supprimés par beaucoup d’utilisateurs.

Contrairement à l’empreinte digitale humaine, l’empreinte digitale Internet n’est pas à 100 pour cent unique, ce qui signifie que les résultats du canvas fingerprinting  ne sont pas toujours corrects. Par exemple, deux visiteurs d’un site Internet avec la même configuration recevront le même nom d’utilisateur, créant ainsi un problème pour l’analyse des visiteurs. Comme cette potentialité augmente avec le nombre  de visiteur d’un site, le canvas fingerprinting est ainsi moins performant pour les sites avec un haut taux de trafic. Un autre problème du Fingerprint tracking est l’identification des visiteurs qui utilisent un appareil mobile : en effet le matériel et les logiciels utilisés sur les tablettes et smartphones sont en général trop standardisés, avec trop peu de caractéristiques pertinentes pour générer une empreinte digitale unique.

Contrairement aux cookies, les canvas fingerprints ne peuvent pas être supprimés facilement, les données sont en effet directement transmises au serveur – Il n’y a pas de stockage du côté client. Utiliser la navigation privée du navigateur n’est pas utile contre cette technique de pistage, en effet le script du canvas et les informations du système et du navigateur sont toujours partagées. Mais les utilisateurs ne sont tout de même pas sans solution pour contrer cette méthode de traçage. En effet il est possible d’arrêter les scripts à l’avance avec les mesures suivantes :

• Désactivation du JavaScript : Sans JavaScript, les éléments du canvas ne peuvent pas se charger et ainsi aucune information d’un client ne peut être récupérée. Malheureusement cela peut affecter les performances de votre navigateur, en effet de nombreux sites Internet utilisent un JavaScrpit, ces sites Web ne peuvent donc être correctement consultés lorsque JavaScpript est désactivé.
  
  
• Adblock Plus : Adblock Plus est surtout célèbre pour être une extension de navigateur utilisée pour bloquer les publicités, notamment les pop-ups. Mais si cet outil gratuit est combiné avec le filtre des listes EasyPrivacy, vous pouvez alors vous protéger en avance du pistage en ligne.
  
  
• CanvasBlocker : les utilisateurs de Firefox  peuvent télécharger cet add-on gratuit CanvasBlocker qui permet d’avoir des options pour bloquer le canvas fingerprinting. Il est par exemple possible d’ignorer toutes les demandes du canvas ou de manipuler les données transmises.

Quand en 2014 la liste des sites Web qui utilisent canvas fingerprinting fut publiée, certains opérateurs de sites Internet furent surpris de rentrer dans la catégorie des 5000 compagnies utilisant canvas fingerprinting –  en effet elles ne pensaient pas utiliser cette technique de traçage. Un cas notable en Europe est celui de Ligatus, une société allemande basée à Cologne. Cette entreprise de marketing digital a en effet échoué à clarifier et expliquer ce qu’était le canvas fingerprinting et comment cette technique fonctionnait pour ses clients, dont des sites allemands populaires comme kicker.de, golem.de, et n-tv.de. Selon les déclarations de l’agence, il s’agissait simplement d’un test d’essai limité, dans ce cadre elle collectait des informations anonymes sur des utilisateurs spécifiques sans possibilité de partage. La majorité des sites Internet de la liste utilisaient le code de traçage de la société américaine Addthis, célèbre pour les boutons des réseaux sociaux des sites Internet.

Mais en plus de l’ignorance des opérateurs de sites Web, le problème est le manque d’information disponible pour les visiteurs des sites Internet. Nous recommandons donc fortement aux utilisateurs de se familiariser avec le canvas fingerprinting avant de décider si vous souhaitez le bloquer (voir ci-dessus). Si toutefois vous souhaitez utiliser la technique canvas fingerprinting pour votre société sur Internet, il est alors prudent de rechercher les lois de votre pays et d’informer les visiteurs de votre site que vous utilisez cette méthode de pistage en ligne, cela laisse ainsi l’option aux utilisateurs de quitter votre site ou de cacher leurs canvas.