Vous connaissiez l’identification par cookies, mais avez-vous déjà entendu parler du fingerprinting ? Cette méthode d’identification des internautes a fait parler d’elle récemment, après la publication d’une enquête du Washington Post. Le média américain a révélé que plusieurs apps traquaient les internautes contre leur gré.
Une enquête du Washington Post, parue le 23 septembre 2021, pointe du doigt des faiblesses dans les outils de protection de la vie privée offerts par Apple. En s’appuyant sur une étude de l’entreprise Lockdown (qui commercialise une application de lutte contre le pistage numérique), le média américain explique comment plusieurs applications pistent les propriétaires d’iPhone sans leur consentement, dont la très populaire Subway Surfers.
Depuis le mois d’avril 2021, Apple a déployé, sur les iPhone et iPad, un outil de lutte contre le ciblage publicitaire nommé App Tracking Transparency. Cela permet théoriquement aux utilisateurs et utilisatrices de bloquer l’accès à leur IDFA, un jeton d’authentification utilisé par les annonceurs pour créer un profil publicitaire personnalisé. Dépourvues de cet accès, certaines applications se sont mises à traquer le public autrement : via le fingerprinting.
Qu’est-ce que le fingerprinting ?
Si l’on s’en tient à la définition officielle de la Cnil, le fingerprinting est « une technique probabiliste visant à identifier un utilisateur de façon unique sur un site web ou une application mobile en utilisant les caractéristiques techniques de son navigateur ». Pour le dire simplement, votre navigateur web transmet de nombreuses informations sur votre machine à chaque site web ou app qu’il croise.
Votre adresse IP est évidemment communiquée (c’est indispensable pour établir une connexion), mais de nombreuses autres données le sont aussi. La version de votre système d’exploitation, la définition de votre écran, la configuration de votre navigateur, la présence d’extensions, ainsi que beaucoup d’autres caractéristiques peuvent être récoltées par l’éditeur d’un site web. Avec suffisamment de points de données, il devient possible d’établir une « empreinte » numérique de votre présence sur le web. Empreinte qui pourra servir à vous servir de la publicité ciblée sans votre consentement.
D’après une étude de l’Electronic Frontier Foundation daté de 2010, les données récoltées peuvent être tellement nombreuses, et leurs caractéristiques techniques tellement diverses, que 94,2 % des navigateurs web ont une empreinte unique qu’aucun autre internaute ne partage. Dans une ère où les méthodes plus traditionnelles de pistage (via les cookies notamment) sont de plus en plus mal vues, le fingerprinting offre une alternative discrète et efficace pour identifier les internautes. Souvent contre leur gré.
Le fingerprinting, c’est possible sur iPhone et Android aussi ?
Cette méthode d’identification ne se limite pas au navigateur web, comme l’écrit la Cnil. Vos téléphones, qu’ils soient sous Android ou sous iOS, peuvent également transmettre de nombreuses informations permettant d’établir un profil personnalisé.
Comme l’explique le Washington Post dans son enquête, certaines applications présentes sur iPhone font remonter une énorme quantité d’informations à des annonceurs, malgré le fait que le ou la propriétaire se soit opposé au pistage. Les logiciels les plus curieux peuvent accéder au nom de votre téléphone, au nom de votre opérateur, à votre fuseau horaire, à la date de votre dernier redémarrage (à la seconde près), à vos paramètres d’affichage (taille du texte, mode sombre), à votre pourcentage de batterie, à vos réglages de volume sonore, à votre modèle de téléphone et à bien d’autres caractéristiques. La situation n’est pas propre aux iPhone, les téléphones Android sont tout à fait capables de faire remonter autant d’informations.
Récolter un maximum de points de données permet d’identifier les internautes avec précision, même si certaines caractéristiques changent. Si mon pourcentage de batterie évolue, mais que toutes les autres caractéristiques de mon iPhone restent similaires, il y a de fortes chances pour que le téléphone qui s’est connecté au même site web ou à la même application deux jours d’affilée soit le même. La méthode n’est pas infaillible, mais avec un panel de données suffisamment large, elle permet d’établir des certitudes statistiques assez élevées.
Qu’est-ce que je peux faire ?
Hé bien malheureusement, pas grand-chose. Cacher toutes ses informations à chaque fois que l’on attrape son téléphone ou son ordinateur demande beaucoup de connaissances et beaucoup d’investissements. Fort heureusement, le fingerprinting est une pratique assez connue aujourd’hui. Résultat, de plus en plus de systèmes d’exploitation et de navigateurs web se sont mis à lutter contre ce pistage. Safari et Firefox proposent par exemple des options pour brouiller l’envoi de ces informations.
Numerama