Dans ce court article, je vais vous dire comment l'industrie a mal interprété la recherche sur la confidentialité au fil des ans et comment cela a freiné le développement technologique dans ce domaine. Enfin, comment les recherches récentes ont remédié à la situation et quels avantages en tirer.
Il s'agit des empreintes digitales via un navigateur. En raison des différences de système d'exploitation, de versions de navigateur, de polices, de plug-ins et d'au moins une douzaine d'autres facteurs, les navigateurs Web des différents utilisateurs ont tendance à avoir une apparence différente. Cela peut être utilisé par des sites et des trackers tiers pour créer des «empreintes digitales» uniques, des identifiants de navigateur. Ces empreintes digitales sont beaucoup plus efficaces que les cookies pour suivre les utilisateurs: elles ne laissent aucune trace et ne peuvent pas être effacées.
La question est: quelle est l'efficacité des empreintes digitales? Autrement dit, dans quelle mesure l'empreinte digitale de l'appareil d'un utilisateur typique est-elle unique? La réponse est d'une grande importance pour la confidentialité sur Internet. Mais étudier cette question d'un point de vue scientifique est difficile: bien que de nombreuses entreprises disposent d'énormes bases de données d'empreintes digitales, elles ne les partagent pas avec les chercheurs.
La première expérience à grande échelle de prise d'empreintes digitales appelée Panopticlick a lancé l'Electronic Frontier Foundation en 2009. Des centaines de milliers de bénévoles ont visité
panopticlick.eff.org et ont accepté de prendre leurs empreintes digitales pour la recherche. L'expérience a montré un
résultat étonnant: 83% des utilisateurs de l'échantillon entier ont montré des empreintes digitales uniques. Pour les utilisateurs avec Flash ou Java activé, les empreintes digitales sont encore plus uniques: 94%.
Une expérience menée par des chercheurs de l'INRIA en France avec un échantillon encore plus important a montré un résultat globalement similaire. Pendant ce temps, divers chercheurs, dont nous, ont déclaré que dans les navigateurs, le nombre de fonctions pouvant être utilisées pour les empreintes digitales augmente:
Canvas ,
Battery, Audio et WebRTC .
La conclusion était claire: les empreintes digitales sont extrêmement efficaces. Le navigateur ne peut pas faire face à cette menace en donnant aux scripts moins d'informations: trop de fuites d'informations, trop de vecteurs d'attaque. Les conséquences sont graves. Les développeurs de navigateurs sont parvenus à la conclusion qu'ils ne pouvaient pas faire face à la surveillance de tiers, et donc protéger la confidentialité du département à la merci des extensions.
[1] Mais ces extensions n'ont pas non plus cherché à limiter les empreintes digitales. La plupart d'entre eux fonctionnaient selon un schéma complexe: ils bloquaient des milliers de script-trackers selon des listes compilées manuellement, jouant constamment du rattrapage lorsque de nouveaux joueurs apparaissaient.
Mais il y a eu un virage: l'équipe de l'INRIA (dont certains auteurs d'études précédentes) a réussi à négocier avec un grand site français et à tester ses visiteurs pour des tirages. Les résultats ont été
publiés il y a quelques mois, et cette fois, les résultats sont complètement différents: seulement un tiers des utilisateurs ont des empreintes digitales uniques (contre 83% et 94% plus tôt), malgré les chercheurs utilisant un ensemble complet de 17 signes. Pour les utilisateurs mobiles, le nombre est encore plus faible: moins de 20%. Ces différences s'expliquent par deux raisons: l'augmentation de l'échantillon dans la nouvelle étude et le fait que l'auto-sélection des participants semble avoir introduit un certain biais dans les études précédentes. Il existe d'autres facteurs: Internet se débarrasse progressivement des plugins tels que Flash et Java, donc la possibilité de prendre des empreintes digitales devrait continuer à décliner. Une étude approfondie des résultats montre que l'intervention la plus simple du navigateur pour limiter les attributs avec une entropie maximale améliorera considérablement la capacité des utilisateurs à se cacher dans la foule.
Apple a récemment
annoncé que Safari tentera de limiter les empreintes digitales. Il est probable que la dernière expérience ait influencé cette décision. Il est à noter que peu d'experts en confidentialité considèrent la protection contre les empreintes digitales comme inutile, et même le consortium W3C a publié depuis longtemps des
recommandations pour les développeurs de nouvelles normes sur la façon de minimiser les empreintes digitales. Ce n'est pas trop tard. Mais si en 2009 nous savions ce que nous savons aujourd'hui, cela aurait incité les navigateurs à développer et à déployer une telle protection.
Quelle est la principale raison d'une mauvaise interprétation des résultats? Une leçon simple est que les statistiques sont une science complexe et que des échantillons non représentatifs peuvent fausser complètement les résultats de la recherche. Mais il y a une autre conclusion qui est plus difficile à accepter: une étude récente est meilleure pour vérifier les utilisateurs ordinaires parce que les chercheurs ne les demandent ni ne les notifient.
[2] Dans les expériences sur Internet, il existe une contradiction entre le consentement éclairé traditionnel et la fiabilité des résultats. Pour résoudre ce problème, de nouvelles normes éthiques sont nécessaires.
Une autre leçon est que la protection de la vie privée ne doit pas être parfaite. De nombreux chercheurs et ingénieurs pensent à la confidentialité en termes de «tout ou rien»: une erreur détruit tout, et si la protection n'est pas parfaite, alors vous ne devriez pas l'utiliser du tout. Cela peut avoir du sens pour certaines applications, comme le navigateur Tor, mais pour les utilisateurs ordinaires des principaux navigateurs, le modèle de menace est la mort de milliers de petites coupures. La protection de la vie privée perturbe bien
l'économie de la surveillance .
Enfin, l'argument de la futilité de la protection est un exemple de défaitisme dans la vie privée. Face à l'assaut de mauvaises nouvelles dans ce domaine, nous acquérons généralement une variété d'
impuissance apprise et arrivons à la conclusion simplifiée que la vie privée se meurt et qu'il n'y a rien à faire à ce sujet. Mais cette position n'est pas étayée par des preuves: en fait, nous voyons que dans ce domaine un nouveau point d'équilibre est constamment cohérent. Bien qu'il y ait toujours des atteintes à la vie privée, elles sont parfois compensées par des mécanismes de protection juridiques, technologiques et sociaux.
L'empreinte digitale via les navigateurs reste aujourd'hui à l'avant-garde de la bataille pour la confidentialité. Le RGPD a
rendu la vie
difficile aux entreprises qui le font. Les développeurs de navigateurs sont également venus s'attaquer sérieusement à cette vile pratique.
[1] Une exception évidente est le navigateur Tor, mais vous devez le payer avec une grave perte de performances et des fonctions défectueuses sur les sites. Une autre exception est Brave, dont les utilisateurs sont censés accepter des inconvénients en échange du maintien de la confidentialité. [retour]
[2] L'expérience a pris des utilisateurs qui avaient précédemment accepté d'accepter les cookies, mais ils n'étaient pas spécifiquement informés de l'étude. [retour]