Empreinte Digitale: Quels Risques Encourez-vous?
Accueil
Articles
Empreinte Digitale: Quels Risques Encourez-vous?

Empreinte Digitale: Quels Risques Encourez-vous?

Débutant
Publié le Aug 26, 2019Mis à jour le Dec 11, 2023
4m

Qu'est-ce que l'Empreinte Digitale ?

Participation de la communauté - Auteur: Anonyme


Dans le domaine informatique, l'empreinte digitale fait référence au processus de création d'identifiants uniques - pour toutes sortes de données numériques. Mais lorsque certaines techniques sont déployées pour identifier des machines ou des utilisateurs individuels, l'on y fait référence en tant qu'empreintes digitales de navigateur ou de périphérique.

Essentiellement, le processus consiste à recueillir des informations sur un smartphone, un ordinateur ou d'autres appareils. Parfois, cela peut être réalisé même lorsque l'adresse IP de l'utilisateur est cachée ou quand elle change d'un navigateur à l'autre.

Depuis de nombreuses années, des services d'analyse web recueillent des informations de périphériques et de navigateurs, visant à mesurer le trafic Web légitime et à détecter les fraudes potentielles. Aujourd'hui, des approches plus avancées permettent la collecte de paramètres spécifiques.

Les méthodes d'empreintes digitales historiques se concentraient principalement sur les ordinateurs, mais les techniques modernes peuvent maintenant identifier des appareils de presque n'importe quel type, il y a bien sûr un intérêt croissant pour l'environnement mobile.


Comment ça marche ?

De manière spécifique, l'empreinte digitale d'un périphérique implique la collecte de données, qui sont ensuite combinées et soumises à une fonction hash. Puis, la sortie (valeur de hash) peut servir d'ID unique pour chaque appareil (ou utilisateur).

Les informations recueillies sont souvent stockées dans une base de données plutôt que sur l'appareil lui-même. Bien qu'un point de données unique puisse être un peu générique, la combinaison de plusieurs ensembles de données peut être unique.

L'analyse de l'empreinte digitale d'un appareil peut se réaliser à la fois de manière passive et active. Le but des deux approches étant de collecter les informations du périphérique. Ainsi, même si des milliers d'ordinateurs fonctionnent avec le même système d'exploitation, chacun d'entre eux présentera possiblement une combinaison unique de logiciels, matériel, navigateur, plugins, langue, fuseau horaire et réglages généraux.


Analyse passive d'empreinte digitale

Comme le nom le suggère, les méthodes passives recueillent des informations de manière discrète, sans interroger l'utilisateur (ou le système distant). Les données sont collectées en fonction de ce qui est envoyé par chaque appareil, de sorte que l'impression passive des empreintes digitales tend à fournir des informations moins spécifiques (par exemple, le système d'exploitation).

Par exemple, on peut développer une technique passive d'empreintes digitales qui recueille des informations à propos d'un pilote de contrôle sans fil sur des périphériques réseau comme un modem Internet. L'interaction passive pourrait être explorée dans divers types de pilotes, sans avoir besoin d'une action des périphériques. Pour faire simple, différents appareils adoptent différentes méthodes de numérisation des connexions possibles (points d'accès). Ainsi, ces différences peuvent être utilisées par un attaquant pour identifier avec précision quel pilote est utilisé par chaque appareil ciblé.


Analyse active d'empreinte digitale

De l'autre côté, les analyses actives d'empreintes digitales se reposent sur un réseau de communication actif, ce qui les rends plus facilement détectable pour l'utilisateur. Certains sites Web implémentent un code JavaScript en tant que moyen de récolter des informations à propos des appareils et des navigateurs des utilisateurs. Ces informations peuvent inclure la taille de fenêtre, la police, les plugins, les configurations de langue et de fuseau horaire et même des détails à propos de leur configuration matérielle.

Un exemple notable d'une technique d'analyse active: l'analyse de toile d'empreinte digitale (canvas fingerprinting en anglais), qui est utilisée sur les appareils mobiles et informatiques. Il se base souvent sur un script qui interagit avec la toile (éléments graphiques) d'une page web HTML5. Le script demande à la toile de dessiner une image cachée sur l'écran et enregistre ensuite les informations représentées dans l'image, comme la résolution d'écran, les polices et les couleurs de fond.


Quelle en est l'utilité ?

Les méthodes d'empreinte digitale fournissent un moyen aux publicitaires de suivre et d'analyser le comportement des consommateurs au travers de différents navigateurs. Elles permettent aussi par exemple aux banques d'identifier une requête provenant d'un appareil de confiance ou d'un système précédemment associé à des activités malveillantes.

En outre, les empreintes digitales d'appareils permettent aux sites Web de se prémunir contre des abus d'enregistrements de comptes multiples, ou des moteurs de recherche à repérer et identifier des comportements suspects.

Les empreintes digitales peuvent également se rendre utile pour détecter et se prémunir contre le vol d'identité ou les fraudes de carte bancaire. Toutefois, ces techniques menacent également la vie privée des utilisateurs et en fonction de leur implémentation, la collecte de données peut être rendue quasiment indétectable — en particulier avec les méthodes passives.


Quelles en sont les limites?

En ce qui concerne l'impression active des empreintes digitales, la collecte de données repose sur la possibilité de mise en oeuvre de languages de programmation et de scriptage, comme JavaScript. Les périphériques mobiles et les utilisateurs qui exécutent des logiciels de protection de vie privée ou des plugins présenteront probablement une disponibilité limitée aux scripts, les rendant plus difficiles à identifier. Cela inclut l'utilisation d'extensions de navigateurs qui bloquent les trackers et les annonces publicitaires.

Dans certaines situations, cependant, les utilisateurs axés sur la vie privée peuvent être plus faciles à identifier. Par exemple, lorsqu'ils utilisent des logiciels et des plugins impopulaires ainsi que des paramètres particuliers qui, ironiquement, les rendent encore plus distinctifs.

De plus, l'efficacité de l'empreinte digitale peut être limitée par de grandes variations du côté client. Les utilisateurs qui changent constamment leurs paramètres, ou qui utilisent plusieurs systèmes d'exploitation virtuels peuvent causer des inexactitudes dans le processus de collecte de données.

L'utilisation de différents navigateurs peut aussi provoquer des incohérences dans le processus de collecte d'informations, mais des techniques modernes d'empreintes digitales cross-browser, à navigateurs multiples, peuvent être utilisées pour éviter cette limitation.


Pour conclure

Il existe plusieurs façons d'implémenter et d'utiliser les techniques de réalisation d'empreintes digitales d'un l'appareil, l'efficacité de la collecte de données et d'informations d'une source unique peut varier considérablement d'une méthode à l'autre.

Que ce soit par elle-même ou combinée avec d'autres techniques, l'impression d'empreintes digitales de périphériques se révèle être un outil très efficace pour analyser et identifier le comportement des utilisateurs. En tant que telle, cette puissante technique peut être utilisée à la fois pour des activités légitimes et malveillantes. S'informer à propos de ses mécanismes basique ne peut être que bénéfique pour les utilisateurs.