Le géant américain va se permettre de récolter plus de données à travers la technique du fingerprinting. De quoi alimenter les accusations de pistage.
Preuve en est que si on utilise certaines extensions pour se protéger des empreintes digitales comme par ex Canvas sur Firefox, en le configurant au mieux… Les pages Clubic ne s’affichent pas 
« Application error: a client-side exception has occurred (see the browser console for more information). »
Après on a tous les détails dans la console…
De « Don’t be evil » à « Do the right thing », ça devrait finir en « Do whatever you want », au moins l’hypocrisie serait levée définitivement.
Je suis surpris que Samir écrive « Le problème de cette technique, c’est qu’il est presque impossible de passer outre. ».
Si je comprends bien, on échappe au fingerprinting en changeant de navigateur (limité), d’OS (pas pratique) ou d’adresse IP. Une des méthodes gratuite les plus simples consiste à se connecter via la 4G car l’adresse IP change à chaque connexion et qu’en plus elle est difficilement localisable. C’est ce que font les contributeurs indélicats sur Wikipédia pour éviter d’être identifiés (qui utilise le fingerprinting pour leur faire la chasse).
J’imagine que les VPN marchent aussi.
Je trouve curieux de relier cela à TRUMP, parce qu’en fait le FingerPrinting n’a JAMAIS disparu
Sur un autre site/forum on a traité le sujet depuis… février 2017 et l’annonce en 2019 de Google c’était de l’hypocrisie, puisque les « tiers » via des API ne n’en privaient pas
Officiellement c’était pour des « raisons de sécurité » (Ce qui est vrai AUSSI, pour les paiements par ex)
Officieusement les blocages sont … TRES limités en fait (On peut tester la chose via une dizaine de sites par ex)
Par contre « en face » il faut savoir qu’ils peuvent récupérer en gros une centaines d’infos via le navigateur, mais dont on ne saura rien pour… des raisons de sécurité
Dans les plus connus on a par ex le fait de savoir si on utilise un ad bloqueur
Si on prend par ex Ublock origin, on peut par ex avoir même les listes auxquelles ont est abonné (Et ce avec un Firefox tweaké et les modules complémentaires qui vont bien)
Du reste c’est pire que cela parce que l’ad bloqueur va lui aussi amener indirectement des infos (tout en faisant son travail)
Pour l’histoire du VPN (ce qu’indique l’article de Clubic) il peut être détecté MEME si on n’a pas lancé l’application liée (En fait ca récupère le service lié , meme si on le met en mode « manuel ». Pour qu’il ne soit pas détecté faut le désactiver)
Au passage cela peut détecter aussi le mode… incognito, ce qui fait que l’ ID de visiteur reste constant même si on revisite la page en mode incognito ou en activant un VPN, et après nettoyage des caches en mode approfondi etc
Sinon ce n’est pas indiqué, mais plusieurs modules complémentaires gère le WebGl qui peut moucharder aussi, mais si je prends une boite qui vend des API "de suivi utilisateurs, l’empreinte WebGL est de moins en moins utilisée du fait de résultats « non probants » et "instables (sic)
Si c’est utilisé, ils appliquent une « logique floue » en corrélation avec d’autres infos
Bref c’est une vraie saloperie, car le gros soucis c’est qu’au bout d’un certain temps on peut savoir QUI est QUI dans le but « officiel » de mieux cerner le « potentiel client d’une pub ciblée »
Ne pas oublier l’informatique ubiquitaire qui n’est pas si délaissée que cela et la confidentialité différentielle (Differencial Privacy)… auxquels on y ajoute maintenant une pincée d’IA
Se rappeler aussi que la fameuse anonymisation des données… C’est bidon (Déjà démontré plusieurs fois)
1 « J'aime »
Il n’y a pas que l’adresse IP… en plus celle ci, bien que considérée comme un identifiant unique, (basé sur le pays, l’adresse IP etc) est juste envoyé à chaque fois que Google Chrome communique avec… Google , y compris les services DoubleClick (ciblage publicitaire).
C’est à dire exclusivment, : youtube.com, google.com, doubleclick.net, googleadservices.com, et d’ autres domaines appartenant à Google
Ne pas oublier le fait que les navigateurs ont une ID spécifique qui permet de savoir qui est qui dans l’absolu, sans compter l’adresse MAC etc et qu’ensuite le risque d’utiliser des brouilleurs surtout si les données restent « fixe » c’est d’'être un phare dans la nuit au lieu de se fonder dans la masse
En fait Google n’en a plus vraiment besoin de cet ID dans Chrome les autres services conjoint peuvent plus facilement nous identifier
Microsoft par contre l’utilise via Edge Chromium et Edge ne fuite pas seulement nos données personnelles que vers Microsoft (dont self.events.data.microsoft.com) , mais vers Adjust mais aussi vers Comscore (via scorecardresearch.com), géant du marketing qui peut ainsi mieux nous profiler.
L’identifiant unique survit à une nouvelle installation d’un navigateur sous Chromium
Je ne vais pas entrer dans les détails mais Edge récupère d’autres identifiants comme deviceId ou clientId et fait encore pire si Bing est utilisé
Bref Edge Chomium fait pire que Google avec Chrome
Il faut savoir AUSSI que dans les schémas d’analyses, même si on s’amuser à changer d’opérateur, qu’on utilise 5 PC à configuration identique chez soi pour brouiller les choses, changer de navigateur etc … TOUT cela est pris en compte en attribuant une note qui servira par la suite à affiner les choses (En fait plus on se sert de son navigateur sur le net plus on donne d’infos)
Je ne sais plus qui avait dit au sujet de la récup de données (dont via le fingerPrinting)
Amazon dit : ‘Je sais ce que vous achetez’,
Google : ‘Je sais ce que vous cherchez’
et Facebook : ‘Je sais ce que vous aimez
En fait le tout peut etre combiné (Les symboles liés à ces applications sur les pages web ne sont pas juste là que pour y avoir accès, elles récupèrent les infos au passage)
C’est comme par ex meme si on n’a pas de compte Facebook (enfin meta), appuyer par mégarde sur son smartphone sur l’appli, et bien , sans rien faire d’autre que fermer, l’appli a récupéré…notre num de téléphone. A partir de là… Tout est possible
Mais que fait l’Europe? Une réponse dans 10 ans?
Si tu parles du RGPD…
Je ne vais pas remettre un placard, mais effectue une recherche sur le stockage des données et la façon dont sont utilisées les données FingerPrinting qui … « peuvent » nécessiter un consentement des utilisateurs, idem avec les notions de contrôleur de données vs processeur de données
Ensuite il faut différencier ce qui est appelé l’ attribution et personnalisation et la notion de prévention et sécurité de la fraude qui est un fourre tout bien pratique (Comme la notion de terrorisme)
Dans le premier cas, il faut consentement, dans le deuxième cas… NON, parce que cela relève généralement de « l’intérêt légitime » selon le RGPD, donc le consentement explicite des utilisateurs …n’est pas nécessaire.
A lire What does ‘grounds of legitimate interest’ mean? - European Commission
Testez ici pour commencer : https://coveryourtracks.eff.org/
Si vous n’avez pas comme résultat « Strong Protection », avec « Ads/Yes, Invisible trackers/Yes, Randomized fingerprint » c’est que vous n’avez pas le moindre soupçon de début de protection contre le suivi à la trace de toutes vos activités sur le web. Un VPN n’y changera rien, car justement, le principe du suivi par empreinte, c’est de ne pas se baser bêtement sur l’IP, mais sur une multitude de paramètres transmis par le navigateur.
Les logiciels espions comme Chrome ou Firefox envoient constamment des requêtes sur les serveurs de leur compagnie et vous identifient partout. En clair, les navigateurs les plus populaires sont clairement complices de ce suivi à la trace, parce-que c’est comme ça qu’ils gagnent de l’argent sur votre dos, ces navigateurs étant tout sauf gratuits (ce sont des aspirateurs à fric). En utilisant ces navigateurs, vous enrichissez leurs entreprises, mais pas vous.
Pour commencer à être moins suivi, il faut opter pour des navigateurs comportant moins de mouchards, qui disposent de mécanismes (ou de plugins) pour changer aléatoirement et régulièrement les données qu’ils transmettent (user-agent, langue, fonts, définition d’écran, OS, etc…), utiliser systématiquement un VPN avec rotation de serveur et kill switch, ne pas autoriser le stockage des cookies. Et ce n’est que le tout début du processus pour empêcher d’être suivi à la trace et que vos données n’engraissent les data brokers…
Maintenant, quand j’entends « je m’en fous d’être tracé, j’ai rien à cacher », vous fermez votre maison ou votre voiture à clef ? Vous laissez vos papiers personnels trainer à la vue de tous ? Vous vous promenez avec votre numéro et code CB tatoué sur le front ? Ça ne vous dérange pas d’être juste un pigeon qui engraisse des milliardaires en utilisant le produit qu’ils ont conçu uniquement pour s’enrichir ? Si tout cela vous convient, alors tout va bien, continuez comme ça, c’est cohérent.
3 « J'aime »
Très intéressant et j’approuve ton exposé.
Mais, du coup, tu propose quoi comme navigateur (hors browsers expérimentaux) et plugins ?
Paradoxalement, le fait d’utiliser un navigateur exotique (à moins qu’il se déguise en Chrome, peut-être?) et un OS plus respectueux de la vie privée tel que Linux, permet de rendre l’utilisateur plus « unique » et donc plus facile à pister.
Le web rendant les dernières technos indispensables aussi bien en termes de rendu ou de tracking, le fait d’utiliser des paramètres génériques cassent souvent les fonctionnalités sur les sites. Presque aucun site d’importance ne fonctionne sans JavaScript.
C’est bon pour moi sur smartphone mais je ne peux pas le faire sur PC car je n’ai plus d’abonnement internet fixe.
Ce n’est pas avec les réglages par défaut du navigateur car la 1ère chose que je fais c’est d’aller dans les options pour y faire des modifications.
Il y a cependant une différence entre un Chrome/Chromium et un Firefox…
Un Firefox non modifié (Et je ne parle pas que des paramètres visibles) ne fait pas mieux que la concurrence
La différence c’est qu’on peut se plonger dans ses entrailles pour tout modifier sans compter certains modules complémentaires plus efficaces sous Firefox que sous Chrome/Chromium
Du reste pour tester nombre de sites, cela ne peut fonctionner en récup d’infos que SI on n’utilise pas « NO Script »
Ce que souligne indirectement @_anael
Tu cites l’EFF… et bien même en désactivant « No script »’ il ne peut rien tester chez moi
Sur d’autres, qui fonctionnent (mais toujours en désactivant « no script »)" nombres d’infos sont falsifiées et c’est en random en plus
- Floorp recharge la page à l’infini
- LibreWolf idem (Même si plus tweaké qu’à l’origine car on peut faire mieux)
- Vivaldi idem
la faute à un liste de filtres adguard de Ublock Origin et donc pas la faute du navigateur à la base
Pour le VPN, comme déjà dit, suivant les API en face on peut savoir SI la personne à un VPN ou pas, même si pas lancé (il suffit que le service lié soit lancé et cela suffit)
C’est pour cela que l’IP n’est pas la seule donnée à prendre -Déjà le pays et la langue cela donne une idée de pseudo localisation, avec le reste puisqu’il peut y avoir plus d’une centaine d’informations obtenues via le navigateur et pas que…
Ceci dit on ne peut pas tout neutraliser… Juste limiter la casse