Un gros morceau aujourd’hui pour ce nouvel article et qui concerne tout le monde : votre empreinte numérique. L’empreinte numérique est une technique de traçage qui identifie les utilisateurs par leurs caractéristiques uniques de navigation et qui se révèle extrêmement efficace. Celle-ci suit votre petite vie numérique, jour après jour, et site après site… Mais en êtes-vous vraiment conscient ? Pour simplifier la suite de l’article, je vais utiliser le terme anglais, car il est bien plus courant : le fingerprinting 🖐🏻.
Vous avez un service VPN, me diriez-vous tout fièrement ? Vous me voyez bien désolé, mais ce n’est pas très utile dans ce cas et ça ne change pas grand-chose en finalité 😅. Il est donc important de remettre les choses en perspective et de se demander à quoi sert réellement un service VPN et s’il protège vraiment contre le traçage en ligne. Bien que les services VPN soient souvent présentés comme essentiels pour la protection de la vie privée, leur efficacité réelle est de plus en plus remise en question, tout comme les outils antitraçages. Le fingerprinting permet de vous identifier dans pratiquement toutes les situations, avec ou sans connexion VPN…
À l’heure où Google offre un service VPN (c’est comment l’expression déjà ? L’hôpital qui se fout de quoi ?), cela semble le bon moment de vulgariser quelques éléments techniques afin de bien comprendre comment fonctionne les services VPN, comment fonctionne le fingerprinting et au final qui va profiter de vos données. C’est parti, on attaque !
Fonctionnement des services VPN
Pour bien comprendre de quoi nous parlons, je vais très rapidement et grossièrement vous présenter le fonctionnement d’un service VPN. Je ne suis pas certain que toutes les personnes qui l’utilisent sont réellement conscientes de ce qu’elles font. Petite précision tout de même, je parle ici de services VPN commerciaux pour “anonymiser” votre accès Internet, comme NordVPN, ExpressVPN, SurfShark… Mais je ne parle pas des services VPN de votre employeur.
Donc, tout commence par l’installation d’un logiciel sur votre ordinateur qui va établir une connexion avec un serveur distant. Ce serveur distant va ouvrir ensuite la connexion vers le site que vous désirez, le rendant invisible de votre fournisseur d’accès ou des autorités locales.
Dans l’image ci-dessus, nous voyons un ordinateur qui se connecte à MesGeekeries.ch (comme par hasard) au travers d’un service VPN. Au moment de la connexion, le logiciel VPN va ouvrir un “tunnel” vers les serveurs du fournisseur que vous avez choisi. Ce tunnel sera alors complètement chiffré (sécurisé) et masquera votre activité en ligne à votre fournisseur d’accès Internet. Ensuite, les serveurs de votre service VPN se connecteront avec une nouvelle adresse IP au site de destination pour vous le transmettre au travers du “tunnel”. Le site distant ne verra donc pas votre adresse IP réelle, mais celle du fournisseur du service VPN.
Votre fournisseur d’accès Internet pourra constater que vous utilisez un service VPN et même assez facilement savoir lequel. Cependant, il n’aura pas/peu de visibilité sur votre activité en ligne, car tout ceci sera masqué par le fameux tunnel chiffré.
De quoi me “protège” un service VPN ?
Comme vous l’avez constaté ci-dessus, le service VPN protège, d’une certaine manière, votre identité “officielle” en masquant l’adresse IP que votre fournisseur d’accès vous a donnée. Dans ce cadre, le service VPN vous permet de protéger votre véritable identité et de la noyer dans le trafic des autres utilisateurs du service. Car comme vous le pensez bien, le service est mutualisé pour tous les clients et les adresses IP sont partagées. En parallèle, l’historique de navigation n’est théoriquement pas conservé et les données ne sont normalement pas partagées avec des tiers.
Les services VPN mettent donc en avant le fait que vous êtes protégé contre le traçage sur Internet en partant du principe que le traçage se limite à votre seule et unique adresse IP. Les régies publicitaires et les autorités locales auraient alors beaucoup de difficultés à vous suivre à agréger des informations sur vous, ce qui est complètement utopique comme nous allons le voir plus bas avec le fingerprinting.
Pouvoir judiciaire : L’affaire Proton et les autres
Il existe plusieurs exemples ou des sociétés offrant des services VPN se sont retrouvées tout de même impliquées dans des affaires judiciaires. Proche de nous, l’entreprise suisse Proton a été citée dans la presse pour avoir faussement indiqué qu’elle ne conservait pas de données de ces utilisateurs, car elle avait fourni des informations dans le cadre d’une enquête. Ces allégations ont très rapidement été reprises par de nombreux médias, mais en omettant un gros détail…
Non, Proton ne conserve pas d’historique des connexions Internet de ses clients. Cependant, quand un gouvernement ordonne à Proton ou un tout autre service VPN de collaborer dans le cadre d’une enquête en cours, le fournisseur du service VPN n’a pas beaucoup d’échappatoires possibles…
Pour faire bref, les autorités françaises ont sollicité officiellement l’aide de la Suisse dans le cadre d’une enquête. En vertu des obligations légales, Proton a dû coopérer avec les autorités suisses pour tracer et fournir des informations sur un utilisateur spécifique après avoir reçu une demande officielle portée par un tribunal. Cette affaire a mis en lumière les limites de la protection de la vie privée offerte par les services VPN dans certaines circonstances légales.
Un autre cas relativement similaire, mais ne traitant pas du service VPN directement était l’affaire Lavabit en 2013. Lavabit, un fournisseur de messagerie sécurisée, a été contraint de fermer ses portes après avoir refusé de se conformer à une ordonnance du tribunal américain demandant l’accès aux communications d’un utilisateur, plus tard identifié comme… Edward Snowden.
NordVPN, autre fournisseur bien connu a été fortement sollicité en 2019 sur de forte suspicion d’avoir tenté de masquer un problème de sécurité lié à des serveurs hébergés en Finlande… Difficile de tirer le vrai du faux dans cette affaire, donc j’ai décidé de ne pas développer plus cet aspect.
En résumé, l’utilisation de services VPN et du réseau Tor, pour ceux qui connaissent, présentent à la fois des avantages et des inconvénients en termes de confidentialité et de sécurité. Bien que ces outils soient conçus pour protéger la vie privée des utilisateurs, ils peuvent également être surveillés ou exploités par des services de renseignement pour des raisons assez évidentes.
Gardez en tête que le réseau Tor a initialement été fondé par… l’armée américaine. Même s’il est open source depuis et n’est pas géré par une entité gouvernementale, il subsiste toujours des doutes de savoir “pourquoi”…
Fonctionnement du fingerprinting
Alors, revenons au sujet principal de l’article… Le fingerprinting est une technique qui permet d’identifier de manière unique un utilisateur en ligne à partir de très nombreuses informations sur son appareil et son navigateur, comme la configuration du système, les polices installées, les extensions utilisées, le matériel, etc. Ces éléments forment une “empreinte digitale” qui permet de reconnaître l’utilisateur, même s’il efface ses cookies, utilise un système anti-traceur ou passe par un service VPN.
Comment ça, une empreinte digitale “unique” alors que nous sommes des milliards à accéder à Internet tous les jours, vous allez me dire ? En fait, oui, nous sommes des milliards sur Internet, mais les traces que nous laissons en butinant d’un site à l’autre ne sont pas forcément similaires, bien au contraire !
Ce qu’il faut comprendre, c’est que le fingerprinting ne consiste pas à récupérer une ou deux valeurs, mais des 10e, voire des 100e d’informations différentes ! En regroupant toutes ces informations, il sera quasi certain de vous identifier de façon unique et sans même que vous vous en rendiez compte.
Pour consulter une page Internet, votre ordinateur ou smartphone doit utiliser un navigateur (Safari, Edge, Chrome, Firefox…) pour se connecter à un serveur distant. Sur ce serveur, le site web hébergé peut se renseigner au travers de votre navigateur sur un certain nombre d’éléments techniques et chacun de ces éléments construira ensuite votre empreinte digitale numérique.
Le but initial de ces fonctionnalités ? Permettre de naviguer sur Internet avec la meilleure expérience possible. Les sites Internet étant “conscient” du matériel avec lequel vous accédez, ils pourront vous servir des contenus adaptés en fonction des capacités matérielles de votre équipement. Le cas le plus flagrant que vous connaissez tous étant les sites Internet dit “responsive” : quand vous naviguez depuis un ordinateur et un smartphone sur le même site, vous constatez que le contenu affiché est présenté différemment. Celui-ci a détecté la nature de l’appareil avec lequel vous accédez au site Internet et ensuite, il vous affichera le format de site le plus approprié pour vous dans ces conditions de connexion. Détaillons un peu toutes ces techniques…
…Même avec un service VPN !
Reprenons maintenant le petit schéma plus haut et imaginons le parcours que va réaliser l’empreinte numérique de l’ordinateur présenté. Celle-ci sera présente initialement sur l’ordinateur sans que vous ne fassiez quoi que ce soit, nous verrons plus bas quelques critères qui rendent votre suivi si facile.
Elle traversera ensuite le tunnel VPN sans être modifiée. Même si elle est chiffrée, il n’empêche qu’elle ne changera pas et sera toujours conforme aux caractéristiques du matériel que vous utilisez :
Puis, elle traversera les serveurs de votre service VPN sans pouvoir être altérée par ces derniers :
Pour finalement terminer sur le serveur de destination en conservant toutes les caractéristiques techniques qui vous sont propres :
Les méthodes utilisées
Étant donné l’extrême diversité des méthodes utilisées ainsi que le fait que je n’ai pas vraiment les compétences de vous expliquer en détail chacune d’elles, je vais vous présenter ici quelques cas d’utilisation facile à comprendre.
Les premiers exemples que je vous propose proviennent directement… de votre navigateur au moment même ou vous affichez ce site ! Oui, oui, j’ai inclus un peu d’extraction de fingerprinting spécifiquement pour cet article pour vous aider à comprendre le fonctionnement.
Cependant, je vous rassure tout de suite, je ne le stocke pas et ne l’analyse pas, c’est purement pédagogique pour vous aider à comprendre. Il est d’ailleurs possible que ceux-ci ne fonctionnent pas sur votre navigateur, car je ne me suis pas foulé pour les programmer (merci la GenIA) :
User Agent
Le “User Agent” est une chaîne d’informations qui identifie le navigateur web, le système d’exploitation et d’autres détails techniques sur le périphérique d’un utilisateur. Cette information est principalement utilisée par les sites web et les applications pour adapter leur contenu et leur fonctionnalité en fonction des capacités du périphérique de l’utilisateur, afin d’offrir une meilleure expérience utilisateur :
Comme vous pouvez le voir, celui-ci est déjà relativement bavard et donne déjà un certain nombre d’informations précieuses. Bon d’accord, le User Agent n’est pas impressionnant, mais il permet déjà de réduire drastiquement les similarités avec d’autres utilisateurs. Passons à des choses plus spécifiques.
HTTP Accept
L’en-tête HTTP Accept est un élément essentiel de la communication entre un navigateur et un serveur web. Il permet au client d’indiquer au serveur les types de contenu qu’il est capable de comprendre et d’accepter. Cela permet au serveur de répondre avec le format de données le plus approprié, assurant ainsi une expérience optimale pour l’utilisateur :
Par exemple, si un client envoie une requête avec l’en-tête Accept: text/html, cela signifie qu’il est capable de traiter du contenu HTML. Le serveur pourra alors renvoyer une page web dans ce format. L’en-tête Accept permet donc une négociation du contenu entre le navigateur et le serveur web distant, améliorant ainsi la compatibilité et la qualité de la réponse… Vous imaginez donc la quantité d’opportunités qui se cachent là derrière pour mieux vous identifier.
Permissions du navigateur
Une autre série largement utilisée étant de détecter les permissions que le site Internet a le droit de demander à votre navigateur. Il utilisera un grand nombre d’indications matérielles et de configurations permettant de vous profiler encore plus :
En fonction du type d’équipement et des réglages que vous avez, chacune des lignes ci-dessus peut donner un résultat différent. En passant du “Non supporté” à “Autorisé”. Même si ce n’est pas supporté, c’est une information ! En croisant tous ces résultats, le profilage spécifique de votre navigateur continue.
Informations sur l’écran
Très souvent l’écran est aussi utilisé comme mine d’information très précise pour aider à vous identifier. Encore une fois, la fonctionnalité se voulait à la base intuitive pour vous offrir du contenu le plus approprié possible. Mais celui-ci a été très largement dépassé depuis :
Et bien d’autres choses encore…
Avec ces quelques exemples, je pense que vous avez compris la quantité d’informations impressionnantes que peut divulguer votre ordinateur ou smartphone. Imaginez que je vous ai montré ici que la pointe l’iceberg. Les serveurs web peuvent demander des informations sur des 100e d’autres paramètres en passant par la liste des polices installées, la charge de la batterie, les formats audio/vidéo supportés, les fonctionnalités 3D disponibles, etc. Il n’y a donc pas beaucoup de limites pour dessiner votre empreinte numérique.
Sites de références et exemples
Pour mieux vous guider dans les méandres de toutes ces informations, il est important de savoir qu’il existe de nombreux sites permettant de mettre en avant ces informations. Parmi les principales références, je peux vous conseiller “Am I Unique?” (Suis-je unique?) et “Cover Your Tracks” (Couvrez vos traces). Ces deux services ont été créés par des organisations à but non lucratives désirant lutter contre le tracking et aborder tout ça avec pédagogie.
Depuis ces deux sites, vous allez pouvoir comparer votre empreinte avec les autres internautes qui sont passés par leur service et très vite vous rendre compte… que vous êtes très certainement unique !
Exemples avec le service “Am I Unique?”
Donc, si je lance une analyse de mon navigateur sur “Am I Unique?“, le résultat est très vite connu et sans appel :
Le site identifie très vite que je suis unique et affiche tous les résultats de ses analyses. Oh, rien de bien compliqué, ni trop de choses qui prennent du temps. Uniquement avec la partie User Agent que l’on a vue plus haut, je suis déjà quasi considéré comme unique :
Vous pouvez constater que mon User Agent est identique à 0.03% des personnes qui ont utilisé leur service… Autant dire qu’il n’y a pas grand monde avec mes caractéristiques. Si l’on complète tout ça avec quelques caractéristiques supplémentaires comme les suivantes, autant dire que je n’ai pas beaucoup de chance :
Donc quand le service “Am I Unique?” met bout à bout l’ensemble des 57 tests qu’il fait passer à mon navigateur. Il ne reste plus beaucoup de place au doute… Oui, je suis bien unique et identifiable avec un service VPN et avec ou un outil contre le traçage installé.
Qui utilise le fingerprinting ?
Le fingerprinting est donc devenu une pratique très répandue et extrêmement lucrative pour de nombreuses entreprises et organisations qui cherchent à identifier, suivre et … monétiser les internautes.
Pour commencer, les principaux bénéficiaires sont sans aucun doute les acteurs de la publicité en ligne, comme les réseaux publicitaires et les plateformes de ciblage (les plus grosses régies appartiennent à Google et Facebook comme par hasard…). Grâce à cette technique, ils peuvent créer des profils détaillés des internautes et leur afficher des publicités ultra-personnalisées, même lorsqu’ils effacent leurs cookies, naviguent en mode privé, bloquent le traçage ou encore utilisent des services VPN. Vous me suivez cette fois ?
En collectant une multitude d’informations sur l’appareil, le navigateur et les habitudes de navigation des utilisateurs, ces entreprises sans scrupules et difficiles à réguler peuvent dresser un portrait très précis de chaque internaute. Elles connaissent alors leurs centres d’intérêt, leurs comportements d’achat, leurs préférences, etc. Il faut dire que l’on peut coupler ces informations à des sites visités et à des horaires de navigation… tout ça multiplié par les croisements intersites possibles.
Gavés de ces données, les acteurs de la publicité en ligne peuvent proposer à leurs annonceurs des campagnes extrêmement ciblées, augmentant ainsi considérablement leurs revenus. Le fingerprinting est donc devenu un outil incontournable pour monétiser efficacement le trafic web et aussi… surveiller les utilisateurs en ligne.
Il est probable que certains gouvernements ont également recours au fingerprinting pour surveiller les activités en ligne de leurs citoyens. Cette surveillance permet d’identifier et de suivre les internautes, y compris ceux qui cherchent à préserver leur anonymat à l’aide d’un service VPN. En collectant ces données de fingerprinting, les agences gouvernementales peuvent théoriquement détecter les comportements jugés suspects ou illégaux. Cela leur donne un possible moyen de contrôler plus facilement toute forme d’opposition ou d’activité dissidente en ligne, mais là il me manque de véritables exemples pour réellement l’affirmer.
N’oubliez jamais que les géants du web comme Facebook, Google ou X sont les plus gros utilisateurs du fingerprinting. Ils peuvent grâce à ça tracer les internautes, même s’ils ne sont pas connectés à leur compte utilisateur. Oui, vous l’avez bien lu, pas besoin d’avoir un compte… Il suffira que vous vous soyez connecté une fois depuis une machine pour qu’il sache qui se cache derrière cette identité, et ce, quels que soient les stratagèmes mis en place pour se cacher…
Le fingerprinting détourné
Le fingerprinting n’est pas utilisé que lorsque vous surfez sur Internet, il est largement utilisé aussi par les applications que vous téléchargez sur vos smartphones. Il est très facile pour celle-ci de remonter toutes les informations souhaitées par la même méthode.
Il y a quelques années en arrière, quand j’ai changé de smartphone j’avais perdu les données d’une application. Ce n’était pas très contraignant, mais j’ai alors contacté le support pour savoir s’il y avait un moyen de récupérer ces données. Le support m’a alors gentiment demandé de passer directement par le bouton “Contact” de l’application qui incluait une foultitude d’information sur mon appareil.
Grâce au regroupement de ces informations, ils ont pu restaurer mes données alors que je n’avais aucun compte utilisateur et que c’était une simple application “locale” de mon téléphone… Il est possible qu’ils aient tiré plus d’informations comme un identifiant unique, mais dans le mail de support on voyait figurer des informations comme le User Agent et HTTP Accept que vous avez découvert plus haut.
Le malaise des réseaux sociaux et des boutons “J’aime”
Comme expliqué un peu plus haut, il n’est pas nécessaire d’avoir un compte Facebook, ni Google pour être une victime de ce système. Vous ne voyez que la face émergée de l’iceberg au final avec ces informations. Toutes les fois où vous visitez un site qui utilise un bout de code informatique propre à n’importe quelle entreprise marketing comme Facebook ou Google, le fingerprinting vous suit très certainement.
Il suffit qu’un site intègre une facilité avec n’importe quel réseau social pour que celui-ci puisse accéder en partie aux données chargées et injecter son propre code de traçage dans la page web que vous visitez. Toutes les fois que vous voyez un bouton “J’aime”, une intégration d’une page Instagram ou alors une fenêtre vous permettant de vous identifier avec un compte unique Google et Facebook vos données sont probablement mises en danger.
Nous pouvons donc en déduire aussi que le simple fait d’installer une application comme WhatsApp, Instagram ou Facebook sur son téléphone mobile offrira à ces géants une carte d’identité assez précise du matériel que vous utilisez pour naviguer sur Internet pour ensuite “recomposer” votre identité en croisant ces informations. Celle-ci pourra ensuite être proposée sous forme de service ciblé afin d’accompagner des campagnes marketing de clients.
Quelles mesures adopter ?
Dans la quête pour préserver notre vie privée en ligne, des navigateurs comme Brave et Firefox se révèlent être des alliés précieux. Brave, conçu pour la confidentialité, bloque automatiquement les traqueurs, les publicités intrusives et les scripts de fingerprinting. Firefox, avec ses nombreuses intégrations axées sur la confidentialité, permet aux utilisateurs de personnaliser leur protection contre le traçage.
Cependant, même ces navigateurs ne peuvent pas tout bloquer. Les techniques de fingerprinting avancées exploitent des informations difficiles à masquer, comme les caractéristiques matérielles et logicielles uniques de votre appareil. On pourrait aussi parler de Tor… Mais bien qu’il offre une protection robuste contre le fingerprinting, n’est pas pratique pour une utilisation quotidienne en raison de sa lenteur et de la complexité de son réseau qui entraine de lourdes limitations.
Adopter Brave ou Firefox peut améliorer significativement votre confidentialité, bien plus qu’un service VPN, mais il est crucial de comprendre que ces outils ne sont pas infaillibles et que vous pouvez toujours être tracés. Ils réduisent votre empreinte numérique sans la rendre invisible, offrant une couche de protection essentielle dans un paysage numérique de plus en plus intrusif.
Si vous testez Bave ou Firefox avec les services comme “Am I Unique?” vous servez toujours identifié comme unique et ce, même si vous activez les niveaux de blocage les plus élevés.
Si on devait terminer cet article ici…
Comme vous l’avez compris, le traçage sur Internet est un business bien plus complexe que le simple masquage de son adresse IP publique ou l’installation d’un bloqueur de publicité. L’utilisation d’un service VPN offre quelques possibilités de sécurité supplémentaires dans des cas bien précis, mais n’est pas aussi miraculeuse que l’annoncent ces entreprises. Bloquer les cookies, utiliser la navigation privée ou installer un bloqueur de traceurs ne suffit pas non plus à contrer le fingerprinting.
En réalité, votre empreinte digitale numérique, constituée de toutes les informations techniques que vous laissez derrière vous, reste unique et facilement traçable. Les géants du web et les régies publicitaires exploitent ces données pour profiler vos habitudes en ligne et cibler leurs campagnes avec une précision redoutable.
Alors, que faire ? Prenez conscience de votre vulnérabilité numérique. Informez-vous, testez vos configurations sur des sites comme “Am I Unique?” et “Cover Your Tracks”, et restez vigilant face aux nouvelles techniques de traçage. Bien qu’il soit pratiquement impossible d’utiliser un navigateur axé sur la confidentialité ou de configurer son navigateur pour éliminer complètement les traces laissées, comprendre les mécanismes du fingerprinting et ajuster vos habitudes peut vous aider à réduire votre exposition.
En fin de compte, la meilleure défense reste la connaissance. En comprenant les mécanismes du fingerprinting et en ajustant vos habitudes, vous pouvez reprendre un certain contrôle sur votre vie numérique. Car dans ce vaste océan qu’est Internet, il est possible de naviguer qu’ à condition de savoir où se cachent les dangers…
Brave repose sur Chromium…
et l’omniprésence du moteur de rendu HTML Blink (grâce à Chrome et Edge notamment) devient une sorte de problème de sécurité.
avec Firefox, dans la configuration et avant d’installer le moindre greffon, pensez à passer la “Protection renforcée contre le pistage” sur “Stricte”.
https://support.mozilla.org/fr/kb/protection-renforcee-contre-pistage-firefox-ordinateur
le User Agent, lors de certains achats sur le Web, cela peut toucher directement au porte-monnaie:
https://www.tf1info.fr/conso-argent/video-internet-quand-vos-donnees-personnelles-influent-sur-le-prix-de-vos-achats-2246126.html
–> regarder la vidéo en haut à gauche.
au point où l’on trouve maintenant ce type de greffon:
https://addons.mozilla.org/fr/firefox/addon/user-agent-string-switcher/
ou, contre rémunération:
https://www.macg.co/logiciels/2023/07/browsermask-une-extension-safari-qui-fait-croire-aux-sites-web-que-vous-utilisez-un-autre-navigateur-137947
Merci pour les différents partages 👍🏻 !
En fait, changer uniquement son user agent est une erreur. C’est documenté sur l’un des sites mentionné dans l’article (Cover your tracks).
Car en regroupant toutes les autres informations qui ne sont pas le user agent ça rendra la personne encore plus unique et facilement identifiable. Ce sera par exemple un navigateur qui annonce un Windows avec le navigateur Edge mais le matériel typique d’un Mac. Donc ça rend l’utilisateur encore plus unique au niveau fingerprinting 😊.
de rien. 🙂
saut que le but de mon précédent message était d’éviter de se faire joliment avoir (commercialement parlant), partant du principe que les développeurs se limiteront à l’agent utilisateur pour déterminer les tarifs (le grand public étant tellement ignorant du fonctionnement des outils internet).
et, personnellement, je préfère: https://browserleaks.com
enfin, à la base, un VPN est pour créer un tunnel chiffré de données et non pour changer l’empreinte numérique de son navigateur.
Merci pour le partage, en effet, je ne peux que confirmer que j’ai déjà constaté des différences de prix typiquement si on utilise Toppreise avant d’accéder à certains sites. Je ne sais pas si c’est encore le cas maintenant, mais il y avait quelques spécialistes sur la place (que je tairais le nom 😊).
Si on comparait les prix avant, le tarif affiché était moins élevé que si on accédait en direct sur le site.
Article très intéressant comme d’habitude!
Petite précision par rapport à Proton. Proton propose différents services qui ont différents niveau de logs. Proton ne stock aucun log au niveau du VPN car pas réglementé en Suisse. Par contre, ce n’est pas pareil au niveau des emails. La réglementation oblige Proton à garder certains logs. Ça fait que, non ProtonMail, n’est pas log free. Bien qu’ils aient minimisé autant que possible ce qu’ils collectent pour comme tu l’as très bien dit, respecter la législation. Et donc le cas du où les autorités françaises ont demandé assistance, le gars c’est fait avoir parce qu’il n’a pas utilisé ProtonVPN pour se connecter à ProtonMail. Mais bien évidemment ça ne change rien au fingerprinting qui est le sujet de l’article.
Pour ce qui est du fingerprinting, il n’y a pas de solution magique. Le seul moyen aujourd’hui c’est d’utiliser plusieurs techniques qui vont réduire les traces. Ce que je fais par exemple :
– Utiliser différents navigateurs pour différents sites. Je vais notamment partager en 3 groupes 1 navigateur pour le surf “poubelle”, 1 navigateur pour les sites que je consulte régulièrement mais qui n’ont aucune raison valable de me tracer et finalement 1 pour les sites comme email, banque, etc.
– Dans les navigateurs j’ai en général le navigateur de base de l’appareil (Edge sur Windows, Safari sur Mac, etc), Librewolf (forck de Firefox fine tunné) et Brave.
– Dans les réglages des navigateurs, changer les paramètres pour éviter le fingerprinting. Attention, certains paramètres vont être contre intuitifs. Activer le “do not trace” peut sembler une bonne idée mais en réalité cela nous rends plus unique. Je vais donc utiliser des outils tels que Am I Unique pour m’assurer que les modifications que je fais dans les réglages ont bien l’effet escompté de me fondre dans la masse.
– Finalement je vais fournir des infos aléatoires et des pseudos partout où mes infos réelles ne sont pas indispensables. Le site où j’achète un matelas de yoga pour un cadeau d’anniversaire n’a pas besoin de mon vrai nom et je fait livrer dans un MyPost24 pour ne pas fournir mon adresse, sans compter le paiement que je vais faire avec une carte virtuelle à usage unique genre Revolut. Le nom n’a pas non plus besoin d’être réel pour le paiement partout où la validation se fait par 3D secure.
Enfin, comme tu l’as bien dit, pas de solution garantie à 100% mais j’ai l’impression que ça marche assez bien. Cacher ce que je peux et noyer de fausses informations partout ailleurs.
Je pense que dans le futur on va voir apparaître des IA dont le boulot sera de générer un volume si grand de données au sujet d’une personne que les gros Google et Facebook n’arriveront plus à différencier les vrais données du bruit…
Merci Martin pour le commentaire et le partage, c’est toujours apprécié 😊 !
cette problématique est égalent valable pour les logiciels de courriel ( https://fr.wikipedia.org/wiki/Client_de_messagerie ) affichant les e-mails en HTML (une page Web en local).
et avec Thunderbird, il est possible, dans les “Préférences avancées” (se trouvant dans les “Paramètres”), d’activer quelques options bien sympathiques.