Je précise, tout de même, qu’on ne peut pas savoir quel fingerprint on laisse sur un site.
Le seul moyen serait de demander aux développeurs de chaque site Web. En revanche, le lien que je t’ai donné te donne la liste (sans doute exhaustive ou presque sur la partie JS) des paramètres dont on pourrait se servir pour établir un fingerprint.
Il y a aussi l’adresse IP qui peut être assimilée à du fingerprinting, surtout s’il s’agit d’une adresse IPv6 qui, en général, est attribuée à un terminal en particulier, ce qui permet de différencier plusieurs équipements derrière un même routeur de maison. Cela est très rarement aussi le cas en IPv4 du fait de l’utilisation généralisée du NAT.
Sans vouloir dire de bêtise, il me semble qu’il n’est plus autorisé d’utiliser cette technique (le fingerprinting) avec l’arrivée du RGPD. Des infos dessus ?
Euh, ben à priori, tu dois le signaler mais c’est totalement autorisé.
De toute façon, le RGPD n’interdit pas grand chose, bien-sûr sur la conservation des données personnels, les sous-traitant tout ça y a plein d’interdiction, ais techniquement, pas grand chose n’est interdit, ça doit juste être signaler et autoriser par l’utilisateur. La notion de consentement est essentiel.
Pour ce qui est du fingerprint, l’utilisateur doit avoir le choix de ne pas être traquer voilà tout.
Le problème c’est que c’est dur à détecter un fingerprint. Il faudrait que les navigateurs soit plus transparent là dessus. Ou avoir une extension qui détecte l’execution de code JS qui traque (par exemple utilisation d’un canvas invisible). Un cookie, c’est tellement plus simple à détecter.
Le problème c’est que c’est dur à détecter un fingerprint. Il faudrait que les navigateurs soit plus transparent là dessus. Ou avoir une extension qui détecte l’execution de code JS qui traque (par exemple utilisation d’un canvas invisible). Un cookie, c’est tellement plus simple à détecter.
Je crois que Privacy Badger de la EFF peut plus ou moins le détecter et bloquer les ressources qui s’avèrent un peu trop curieuses. (plus d’infos ici)
Si c’est sur un domaine secondaire oui (pas le domaine principale, si zestedesavoir.com le fait depuis zestedesavoir.com alors ça ne sera pas détecté).
@FougereBle: Du coup, oui une FingerPrint est juste une donnée personnelle et elle est donc soumises au même règle que toutes autres données personnelles. cf Cookie & traceurs, la partie non mise à jour ne concerne pas les traceurs.
Je m’intéresse au fingerprint depuis quelques temps. En effet, même en utilisant un VPN et des extensions du navigateur qui brouillent les pistes, on vous reconnait, on sait que c’est vous. Dans certains cas, cela peut poser problème. Privacy Badger ne bloque pas le canvas de https://amiunique.org/, ni les soi-disant bloqueurs de canvas. Je teste tous ceux qui me tombent sous la main et le seul qui bloque vraiment, c’est celui-ci :
https://www.cydecplatform.com/antifp.html
Mais parfois certains sites fonctionnent mal quand il est "ON".
D’accord, mais tout de même beaucoup de monde utilise des bloqueurs. De plus cydec change les données à chaque requête, donc on n’a jamais la même empreinte. Alors s’il y a un être humain qui regarde au moment où vous vous connectez au site, il peut se dire que c’est peut-être vous s’il vous connaît d’une manière ou d’une autre, mais il ne peut pas en avoir la certitude absolue.
Effectivement, j’ai remarqué plusieurs fois que désactiver javascript réduit les données disponibles pour le fingerprint mais ce n’est pas toujours suffisant.
D’accord, mais tout de même beaucoup de monde utilise des bloqueurs.
De pub oui. Mais entre Ne rien bloquer, Ad block, Ad block +, Ghostery et uBlock Origin, ça te fait déjà plusieurs choix. Tu dois pouvoir récupérer 1 ou 2 bit d’entropie rien que sur cette donnée.
De plus cydec change les données à chaque requête, donc on n’a jamais la même empreinte.
Je connais pas cydec, ça à l’air pas trop mal. Le flood d’information est une stratégie qui je pense à de l’avenir.
Alors s’il y a un être humain qui regarde au moment où vous vous connectez au site, il peut se dire que c’est peut-être vous s’il vous connaît d’une manière ou d’une autre, mais il ne peut pas en avoir la certitude absolue.
Oh tu sais, les algorithmes font ça mieux que nous désormais… :/
L’avantage de la stratégie de flood est que ça marche. On ne peut pas savoir si deux requêtes sont issues de la même personne, tant qu’on peut mentir sur toutes les informations que l’on donne. L’inconvénient c’est que c’est pas discret. Ça se voit quand quelqu’un fait ça.
Malheureusement tu as raison. Même sans JS, un site peu quand même traçer de manière relativement précise un utilisateur. Avec JS, ça devient potenciellement très précis. :S
Sinon, il y a la solution Tor, qui bloque efficacement les canvas. Alors on va me dire qu’on sait que j’utilise Tor, que ça se voit, mais à mon avis cela ne suffit pas pour m’identifier précisément.
Connectez-vous pour pouvoir poster un message.
Connexion
Pas encore membre ?
Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte