Les cookies disparaissent. L’empreinte numérique de navigateur prend leur place — et elle est plus difficile à bloquer.

Le cookie tiers est enfin en voie de disparition. Après des années de reports, Google a commencé à désactiver les cookies tiers pour les utilisateurs de Chrome en 2024 dans le cadre de l’initiative Privacy Sandbox. Safari et Firefox les bloquaient déjà par défaut. L’industrie publicitaire, qui savait que cela arriverait depuis des années, a construit son remplacement. Le candidat principal n’est pas une alternative respectueuse de la vie privée. C’est l’empreinte numérique — et elle soulève de sérieuses préoccupations parmi les chercheurs en protection des données et les régulateurs.

Ce qu’est l’empreinte numérique de navigateur

Une empreinte numérique de navigateur est un identifiant probabiliste assemblé à partir de dizaines d’attributs visibles par tout site web que vous visitez, sans votre consentement et sans placer de cookie. Ces attributs incluent :

• Chaîne User-Agent : nom du navigateur, version, système d’exploitation
• Résolution d’écran et profondeur de couleur
• Fuseau horaire et paramètres de langue
• Polices installées : interrogées via le rendu de texte de l’API Canvas
• Rendu et vendor WebGL : le modèle de GPU et la version du pilote
• Empreinte AudioContext : un traitement audio imperceptible produit une sortie flottante spécifique à l’appareil en raison des différences matérielles et de pilotes
• Empreinte Canvas : un élément canvas rendu, invisible pour l’utilisateur, produit une sortie au niveau du pixel qui varie selon le GPU, le moteur de rendu du système d’exploitation et la version du pilote
• Comportement de la pile TCP/IP : empreinte réseau basée sur la façon dont le système d’exploitation gère le timing et l’ordre des paquets

La combinaison de ces attributs — même si aucun attribut unique n’est unique — crée une empreinte qui est unique pour une grande majorité des utilisateurs. Le projet Cover Your Tracks de l’EFF (anciennement Panopticlick) a constamment constaté que plus de 99 % des navigateurs ont des empreintes uniques lorsque suffisamment d’attributs sont combinés. Ce nombre diminue à mesure que davantage d’utilisateurs adoptent des navigateurs résistants à l’empreinte numérique, mais la technique sous-jacente reste efficace contre la population générale.

La combinaison canvas et AudioContext

Les deux vecteurs d’empreinte les plus fiables exploitent le fait que les mêmes opérations mathématiques produisent des sorties flottantes légèrement différentes sur différentes combinaisons matérielles. Le modèle de GPU, la version du pilote et le moteur de rendu du système d’exploitation introduisent tous des micro-variations dans la façon dont les graphiques et l’audio sont calculés.

Un script d’empreinte canvas dessine du texte et des formes sur un élément canvas invisible, puis lit les valeurs des pixels via toDataURL(). Les valeurs des pixels sont déterministes pour une configuration d’appareil donnée mais diffèrent entre les appareils — parfois au niveau du sous-pixel, en raison des différences dans la façon dont les pilotes GPU implémentent l’anti-aliasing et le rendu sous-pixel.

Une empreinte AudioContext fait passer un oscillateur à travers un compresseur et lit les valeurs du tampon de sortie traité. Le comportement d’arrondi des nombres flottants varie avec l’implémentation matérielle de l’arithmétique IEEE 754. Ces deux éléments sont des effets secondaires d’API de navigateur normales qui existent à des fins légitimes — canvas pour le rendu graphique, AudioContext pour le traitement audio. Il n’y a pas de demande de permission. Rien n’est stocké. L’extraction se produit de manière invisible lors d’un chargement normal de page.

Pourquoi l’empreinte numérique est plus difficile à bloquer que les cookies

Le blocage des cookies est architecturalement simple : le navigateur peut refuser de stocker ou d’envoyer des cookies tiers sans enfreindre aucune norme web. L’empreinte numérique est différente car elle exploite les effets secondaires observables d’API qui ont des utilisations légitimes.

Si vous bloquez complètement la lecture du canvas (toDataURL() renvoie une chaîne vide), vous cassez les applications canvas légitimes — éditeurs d’images, outils de conception, applications web graphiques lourdes. Si vous bloquez WebGL, vous cassez les applications 3D, les jeux basés sur le navigateur et les cartes. Si vous réduisez au silence l’AudioContext, vous cassez la production audio web. La surface d’empreinte est intégrée dans les API qui rendent le web fonctionnel.

La défense alternative — la randomisation — ajoute du bruit aux valeurs renvoyées par ces API, de sorte que le même appareil renvoie des valeurs d’empreinte différentes sur différents sites ou sessions. Mais cela crée son propre problème : un canvas qui rend différemment à chaque fois est lui-même un signal. Les systèmes d’empreinte basés sur le Machine Learning peuvent détecter la randomisation et ajuster leurs modèles.

Ce que font les navigateurs

Firefox : Le mode de protection contre l’empreinte numérique (disponible dans le mode Strict d’Enhanced Tracking Protection) randomise les sorties canvas, WebGL et AudioContext par site et par session. Il limite également l’énumération des polices et réduit la précision de certaines API de timing qui peuvent être utilisées pour des attaques temporelles.

Brave : La protection contre l’empreinte numérique la plus agressive de tous les navigateurs majeurs. Brave randomise canvas, WebGL, AudioContext, la liste des polices, la résolution d’écran, la concurrence matérielle et la mémoire de l’appareil par site et par session. Il bloque également l’API Battery et plafonne la précision des timers JavaScript pour empêcher l’empreinte basée sur le timing. L’approche de Brave est de faire en sorte que chaque instance de navigateur soit statistiquement similaire plutôt qu’unique.

Safari : Intelligent Tracking Prevention se concentre principalement sur le suivi basé sur les cookies et les URL, mais restreint également certaines surfaces d’empreinte. Safari limite l’énumération des polices à un ensemble système par défaut, restreint la lecture du canvas dans les contextes tiers et plafonne certaines API d’identification matérielle.

Chrome : Le Privacy Sandbox inclut une réduction du User-Agent qui envoie la même chaîne User-Agent tronquée à tous les utilisateurs de Chrome, supprimant la version du système d’exploitation, la version mineure de Chrome et les détails d’identification matérielle. Les API Protected Audience et Attribution Reporting du Privacy Sandbox sont conçues pour remplacer certaines fonctionnalités des cookies sans suivi intersite — mais les critiques ont documenté que les API du Privacy Sandbox elles-mêmes peuvent être soumises à l’empreinte via leurs motifs de timing et de réponse.

Le paysage juridique

Le RGPD traite l’empreinte numérique comme un traitement de données personnelles dès lors que l’empreinte est utilisée pour identifier ou suivre un individu — ce qui est son seul but pratique dans les contextes publicitaires. Les directives du Comité européen de la protection des données sont claires : l’empreinte numérique utilisée à des fins publicitaires nécessite un consentement explicite, tout comme les cookies. La différence réside dans l’application.

Les plateformes de gestion du consentement standard — les boîtes de dialogue de consentement aux cookies que vous voyez sur chaque site web européen — ne couvrent généralement pas du tout l’empreinte numérique. La plupart des entreprises de ad tech ont déployé l’empreinte numérique sans le consentement explicite requis par la loi, en partant du principe implicite que les régulateurs ne peuvent pas la détecter. Contrairement aux cookies, qui laissent des artéfacts traçables dans le stockage du navigateur et les requêtes réseau, l’empreinte numérique ne laisse aucun identifiant stocké à auditer.

L’autorité française de protection des données, la CNIL, a infligé une amende de 150 millions d’euros à Google et 60 millions d’euros à Facebook en 2022 pour des violations du consentement aux cookies. L’application des règles sur l’empreinte numérique à grande échelle n’a pas encore eu lieu, principalement parce que la détection est techniquement difficile et nécessite une surveillance active du comportement JavaScript des ad tech. L’ICO du Royaume-Uni et la DSK allemande ont publié des directives indiquant que l’empreinte numérique est couverte par les exigences de la loi sur les cookies, mais les ressources d’application sont limitées.

Le CPRA de Californie définit un droit de refuser l’utilisation d’informations personnelles à des fins publicitaires. Les données d’empreinte numérique relèvent de la définition d’informations personnelles du CPRA. La California Privacy Protection Agency met en place une infrastructure d’application, mais la complexité technique de la détection des déploiements d’empreinte numérique à travers des milliers de fournisseurs de ad tech est significative.

La dynamique de course aux armements

Un article de 2024 de Laperdrix et al., « Browser Fingerprinting: A Modern Survey », a documenté que les systèmes d’empreinte basés sur le Machine Learning atteignent plus de 95 % de précision pour ré-identifier les utilisateurs à travers les sessions, même contre les navigateurs avec randomisation active, en corrélant plusieurs attributs dont les motifs de bruit sont corrélés — par exemple, le bruit de canvas ajouté au canal rouge est corrélé de manière prévisible au bruit ajouté au canal vert.

L’asymétrie fondamentale : les défenseurs de l’empreinte numérique doivent rendre chaque attribut imprévisible de manière indépendante et non corrélé avec tous les autres attributs, ce qui est coûteux en calcul et casse souvent des fonctionnalités légitimes. Les attaquants de l’empreinte n’ont besoin que de trouver un attribut stable ou un motif de corrélation. La position du défenseur est structurellement plus faible.

Ce que les utilisateurs peuvent faire

Pratiquement : Brave offre la protection la plus forte contre l’empreinte numérique parmi les navigateurs grand public. Firefox en mode Strict constitue une amélioration significative par rapport à Chrome. L’utilisation d’un VPN masque la composante d’empreinte réseau (adresse IP, comportement de la pile TCP/IP). La désactivation complète de JavaScript bloque les empreintes canvas et AudioContext mais casse également la majeure partie du web moderne.

Le point le plus important est que les contre-mesures techniques individuelles sont intrinsèquement réactives. La solution fondamentale est l’application réglementaire de la loi existante — le RGPD interdit déjà l’empreinte numérique non consentie à des fins publicitaires ; le texte du CPRA soutient la même interprétation. Le fossé n’est pas une ambiguïté juridique ; c’est la capacité de détection et les ressources d’application. Les autorités de protection des données qui investissent dans l’infrastructure d’audit du ad tech — en explorant les sites, en surveillant le comportement JavaScript, en documentant les déploiements d’empreinte — pourraient appliquer la loi à grande échelle. La question est de savoir si cet investissement se matérialisera avant que l’empreinte numérique ne soit si profondément intégrée dans la pile ad tech que la remédiation devienne politiquement irréalisable.