Le traçage par empreinte de navigateur vous suit même après avoir supprimé tous les cookies

Le fingerprinting WebGL fonctionne de manière similaire, en utilisant le GPU pour rendre une scène 3D et en relisant les artefacts de rendu. Étant donné que les GPU de différents fabricants rendent des scènes identiques avec des calculs en virgule flottante subtilement différents, le résultat est hautement spécifique au matériel. Un article de 2018 de Cao et al. a démontré que le seul fingerprinting WebGL pouvait distinguer 99,2 % des appareils dans un échantillon de 3 615 utilisateurs.

Le fingerprinting AudioContext utilise l’API Web Audio pour traiter un bref signal audio via la chaîne audio de l’appareil. Différentes implémentations audio matérielles et logicielles produisent des résultats en virgule flottante mesurablement différents pour des entrées identiques. Cette technique a été documentée en détail par Mowery et Shacham à l’UC San Diego en 2012 et reste largement utilisée dans le secteur commercial.

L’énumération des polices détecte quelles polices sont installées en mesurant comment le navigateur rend le texte avec des polices qu’il possède ou non. Un attaquant essaie de mesurer des centaines de polices ; un ensemble unique de polices installées est très identifiant car les motifs d’installation des polices dépendent des logiciels présents, eux-mêmes spécifiques à chaque machine utilisateur.

Au-delà des techniques basées sur le rendu, les scripts de fingerprinting collectent également : résolution et profondeur de couleur d’écran, fuseau horaire et paramètres de langue, liste des plugins du navigateur, parallélisme matériel (nombre de cœurs CPU), taille de la mémoire de l’appareil, en-têtes HTTP Accept-Language et User-Agent, prise en charge du tactile, type de connexion réseau via l’API Network Information, et niveau de charge de la batterie (jusqu’à ce que les navigateurs commencent à restreindre l’API Battery Status vers 2015-2016 précisément à cause des abus liés au fingerprinting).

Dé consommateur u déploiement commercial à grande échelle

FingerprintJS (désormais Fingerprint Inc.) propose une bibliothèque commerciale de fingerprinting JavaScript utilisée par plus de 6 000 entreprises en 2024. Sa version open source compte plus de 21 000 étoiles sur GitHub. L’argument commercial principal de l’entreprise est la prévention de la fraude — identifier si plusieurs comptes frauduleux proviennent du même appareil — mais sa technologie est architecturalement identique à celle utilisée par les réseaux publicitaires pour le suivi intersites.

ThreatMetrix, racheté par LexisNexis Risk Solutions, gère un réseau d’intelligence de dispositifs utilisé par des institutions financières, compagnies d’assurance et plateformes de commerce électronique pour évaluer les risques transactionnels. Selon les documents de l’entreprise de 2023, son réseau a traité plus de 60 milliards de transactions et enregistré plus de 4 milliards d’appareils. Lorsque vous faites une demande de compte bancaire en ligne et que le formulaire vous demande d’attendre un moment le temps de « vérifier vos informations », le réseau de fingerprinting fonctionne en arrière-plan.

Le déploiement par les réseaux publicitaires est plus difficile à quantifier précisément, mais l’analyse du Princeton Web Transparency and Accountability Project en 2022 des 100 000 principaux sites Web a trouvé des scripts de fingerprinting sur plus de 30 % des pages — avec la plus forte concentration sur les sites d’actualités, de vente au détail et de contenu pour adultes. DoubleClick de Google, Pixel de Meta, et plusieurs dizaines de petites entreprises de technologie publicitaire utilisent tous des techniques de canvas et WebGL dans le cadre de leurs graphes d’identité intersites, en complément (et de plus en plus en remplacement) des cookies tiers à mesure que ceux-ci sont supprimés progressivement.