Surfer anonymement, vraiment ? - Consolidation des informations

Mise à jour le Lundi, 01 Février 2010 16:23

Attention, ouverture dans une nouvelle fenêtre. PDFImprimerEnvoyer

Index de l'article
Surfer anonymement, vraiment ?
Informations transmises
Consolidation des informations
Solutions
Toutes les pages
JPAGE_CURRENT_OF_TOTAL

Consolidation

L'Electronic Frontier Foundation (EFF) a mis en place un site spécifique, Panopticlick, qui permet de mesurer l'anonymat tout à fait relatif des mesures évoquées précédemment (pas de cookies ou cookies de session, relais anonymisant). Uniquement à partir des informations que le navigateur accepte d'envoyer au serveur, Panopticlick calcul le nombre de bits discriminants dont le serveur dispose pour distinguer votre navigateur d'un autre navigateur.

Sans ECMAScript

Voici par exemple le résultat de la collecte et analyse d'informations, suite à l'utilisation de Panopticlick avec un navigateur dans lequel nous avons désactivé Javascript :

Bits d'identification sans ECMAScript

Avec ECMASCript

Le même navigateur, JavaScript ayant été activé. Les bits d'informations identifiants sont passés de 17.65 à 17.67, une augmentation somme toute limitée.

Bits d'identification avec ECMAScript

Conclusion

Les résultats sont intéressants, et peu surprenants : le navigateur envoie suffisamment d'informations pour qu'un serveur vous identifie presque à coup sûr. Dans les deux exemples précédents, la configuration du navigateur utilisé était unique. Le nombre de bits identifiants est supérieur lorsqu'ECMAScript est activé sur le navigateur.

Paradoxalement, nous avons là (du moins par rapport aux tests que nous avons réalisés) une conséquence négative de nos efforts de sécurisation : plus nous travaillons à éliminer des éléments indésirables, et plus nous obtenons des configurations qui se révèlent relativement uniques. A l'inverse, plus la plate-forme utilisée est générique, plus la probabilité augmente que vous ne soyez pas le seul avec une certaine configuration de navigateur. Tout est ensuite à ramener à la fréquentation du site web concerné.

Dans tous les cas, il reste possible de réaliser un profil de l'internaute à partir de ce que le navigateur "veut bien dire" au serveur. Avec suffisamment de recoupements, notamment comportementaux (créneaux temporels d'utilisation, langues préférées, etc.), le profilage peut aller assez loin.



Suivant >