Empreinte digitale du navigateur

[HEISENBERG]

De nombreuses personnes utilisent les réseaux d'anonymat pour masquer leur adresse IP et leur localisation, mais il existe un autre moyen de vous identifier et de vous suivre à la trace : l'empreinte digitale du navigateur.

Chaque fois que vous allez en ligne, votre ordinateur ou votre appareil fournit aux sites que vous visitez des informations très précises sur votre système d'exploitation, vos paramètres et même votre matériel. L'utilisation de ces informations pour vous identifier et vous suivre en ligne est connue sous le nom d'empreinte digitale de l'appareil ou du navigateur.

Les navigateurs étant de plus en plus étroitement liés au système d'exploitation, de nombreux détails et préférences uniques peuvent être exposés par l'intermédiaire de votre navigateur. La somme totale de ces données peut être utilisée pour créer une "empreinte digitale" unique à des fins de suivi et d'identification.
L'empreinte digitale de votre navigateur peut refléter

• l'en-tête User Agent ;
• l'en-tête Accept ;
• l'en-tête Connection ;
• l'en-tête Encoding ;
• l'en-tête Language ;
• la liste des plugins ;
• la plate-forme ;
• les préférences en matière de cookies (autorisés ou non)
• les préférences Do Not Track (oui, non ou non communiqué) ;
• le fuseau horaire ;
• la résolution de l'écran et sa profondeur de couleur ;
• l'utilisation du stockage local ;
• l'utilisation du stockage de session ;
• une image rendue avec l'élément HTML Canvas ;
• une image rendue avec WebGL ;
• la présence d'AdBlock ;
• la liste des polices de caractères.

L'efficacité de cette méthode d'identification est bien décrite ici : http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Les sites web de test de l'empreinte digitale du navigateur sont-ils très précis ?

Oui et non.

Oui, ces sites fournissent des informations précises sur l'empreinte digitale de votre navigateur et sur les différentes valeurs recueillies.

Non, les conclusions sur l'"unicité" de votre navigateur tirées par ces sites web peuvent être extrêmement inexactes et très trompeuses. Voici pourquoi :

Échantillon de données : Cover Your Tracks et amiunique.org comparent l'empreinte digitale de votre navigateur à une gigantesque base de données de navigateurs anciens et obsolètes, dont beaucoup ne sont plus utilisés. Lorsque vous testez l'empreinte digitale de votre navigateur avec un navigateur mis à jour, elle peut apparaître comme extrêmement rare et unique, même si la majorité des gens utilisent la même version mise à jour. À l'inverse, si vous effectuez le test avec un navigateur ancien et obsolète, vous obtiendrez un très bon résultat (non unique) alors qu'en réalité, très peu de personnes utilisent l'ancien navigateur aujourd'hui.
Résolution de l'écran: Au moins sur les ordinateurs de bureau, la plupart des gens ajustent régulièrement la taille de l'écran de leur navigateur. Chaque valeur mineure de taille d'écran sera mesurée comme un facteur d'unicité, ce qui peut être trompeur.
Empreintes digitales aléatoires: Un autre problème de ces sites de test est qu'ils ne tiennent pas compte des empreintes digitales aléatoires qui peuvent être régulièrement modifiées grâce à des extensions de navigateur. Cette méthode peut être un moyen efficace d'empêcher la prise d'empreintes dans le monde réel, mais elle ne peut pas être testée/quantifiée par ces sites.

En général, les sites web de test d'empreintes de navigateur sont bons pour révéler les informations et les valeurs uniques qui peuvent être rendues par votre navigateur. Cependant, à part cela, essayer de battre le test en obtenant le score d'"unicité" le plus bas peut être une perte de temps et s'avérer contre-productif.

Voici quelques bonnes façons d'atténuer l'empreinte digitale de votre navigateur :
Il est fortement recommandé de ne pas utiliser votre système d'exploitation normal ou votre navigateur par défaut pour tout ce qui pourrait être considéré comme lié au Darknet. Il est conseillé d'avoir un appareil séparé à cet effet.

N'oubliez pas d'étudier :

Couvrez vos traces

Voir comment les traqueurs voient votre navigateur

coveryourtracks.eff.org

https://amiunique.org/ est une autre bonne ressource. Il s'agit d'une source ouverte qui fournit de plus amples informations et des techniques d'empreintes digitales actualisées, y compris webGL et canvas.

 

[Chemman]

Existe-t-il des précédents où un trafiquant de drogue a été arrêté pour avoir identifié les empreintes digitales d'un navigateur ?
La JS est-elle si dangereuse pour le darknet ?

 

[Alenciss]

Il existe un certain nombre de vulnérabilités connues qui ont été utilisées pour désanonymiser les utilisateurs de Tor en exploitant JavaScript.

Le premier incident majeur où cela s'est produit a été la saisie de "Freedom Hosting" par le FBI. Le FBI a gardé les serveurs en ligne, puis a installé des paylods javascript qui exploitent une faille zero-day dans Firefox. Les ordinateurs rappelaient ainsi un serveur du FBI à partir de leur adresse IP réelle, non anonymisée, ce qui a conduit à la désanonymisation de plusieurs utilisateurs. Pour en savoir plus, consultez Ars Technica.

D'une manière générale, l'activation de JavaScript ouvre la voie à de nombreuses autres attaques potentielles contre un navigateur web. Dans le cas d'un adversaire sérieux, comme une entité soutenue par un État (par exemple le FBI), il a accès à des exploits de type "zero-day". Si les vecteurs de ces exploits sont désactivés (par exemple JavaScript), il leur sera difficile de trouver un exploit viable même s'ils ont accès à des exploits de type "zero day", etc.

La seule raison pour laquelle le projet Tor permet à JavaScript d'être activé par défaut dans le navigateur Tor est la facilité d'utilisation. De nombreux utilisateurs de Tor ne sont pas techniquement avertis et JavaScript est couramment utilisé avec HTML5 dans les sites web modernes. Désactiver JavaScript rend de nombreux sites web inutilisables, c'est pourquoi il est activé par défaut.

La meilleure pratique consiste à désactiver JavaScript dans le navigateur Tor et à garder NoScript activé pour tous les sites, à moins que vous n'ayez une raison impérieuse de ne pas le faire.

 

[MuricanSpirit]

En effet, l'api montre quels sont les appareils disponibles (par exemple, Chrome indique si vous avez une manette de Xbox branchée).

Une technique unique d'empreinte non js est l'utilisation de css respectivement la requête @media (responsive view) pour vous identifier en "téléchargeant à chaque fois une nouvelle image" lorsque la taille du navigateur est modifiée. Ainsi, ils peuvent savoir si vous avez un moniteur 4k ou si vous utilisez un vm (la plupart des vms n'ont que 2 tailles disponibles par défaut). La seule façon d'"éviter" ce fingerprinting est de ne pas changer la taille du navigateur tor après son démarrage (il démarrera dans sa taille par défaut).

ex.

@media only screen and (max-width : 600px) { body { background : url("maxwidth600.png") } }

De cette manière, le serveur sait quelle est la largeur du navigateur. Le point de terminaison (par exemple, /images/widthWHATEVER.png) n'a même pas besoin de renvoyer une image, mais le navigateur en demandera une à chaque fois lors du redimensionnement.

Ils peuvent également utiliser votre "comportement de redimensionnement" pour vous identifier, par exemple vous êtes le seul utilisateur parmi 1 000 000 d'échantillons à redimensionner de la largeur x à la largeur y de manière répétée.

Il existe tellement de techniques pour prendre vos empreintes digitales que c'en est incroyable. Le mieux est d'éviter tout site auquel vous ne faites pas confiance.

 

[HEISENBERG]

La seule solution sensée

 

[MuricanSpirit]

Suivre la souris sans js (bien qu'il soit expiré, je ne l'ai jamais vu ou entendu dire qu'il était utilisé) :

Cela fonctionne dans le backend de la même manière que le "resolution fingerprinting" en chargeant une image (le serveur peut répondre par 404 not found) qui indique au backend les coordonnées de la souris.

// jamais essayé .main { -z-index : 999999 ; // mettre par dessus tout width : 100% ; height : 100% ; position : absolut ; top : 0 ; left : 0 ; pointer-events : none ; // laisser la souris cliquer } // disons que vous vous souciez de chaque mouvement de 1px, ce qui entraîne un grand nombre de requêtes bruyantes, vous utiliseriez probablement des grilles de 20-100px .main grid00 { // représente le premier pixel en haut à gauche x:0 y:0 background : url("position0_0.png") ; width : 1px ; height : 1px ; } .main grid01 { // représentant le premier pixel en haut à gauche x:0 y:1 background : url("position0_0.png") ; width : 1px ; height : 1px ; } // etc. vous généreriez bien sûr ces règles css via scss (imaginez que c'est [I]scripted css[/I] qui génère du css standard).


Vous pourriez utiliser la date pour savoir si l'utilisateur est actif sur l'onglet, classer son comportement à la souris (par exemple, à quelle vitesse il la déplace, quelle est sa position préférée, utilise-t-il sa souris pour lire le texte etc...)

Vous pourriez créer des règles css pour chaque bouton afin de savoir "comment l'utilisateur appuie sur un bouton" (se déplace-t-il de bas en haut, à quelle vitesse, etc.) et, bien sûr, quelle est sa position préférée sur le bouton lui-même.

 

[cederroth]

Je recommande de ne pas faire plus d'une chose à la fois lorsque l'on utilise tor ou tails.
Lorsque vous voulez faire autre chose, déconnectez-vous de tails et reconnectez-vous. Cela crée un nouvel identifiant.
Si vous faites plusieurs choses en même temps, on pourrait être capable de relier des points auxquels vous ne pensez pas.