Est-il possible aujourd’hui de rester anonyme lorsque l’on navigue sur le Web? Les cookies par exemple sont de plus en plus performants pour permettre une personnalisation des navigateurs web. Mais, bien au-delà de cette technologie, on constate que le navigateur utilisé laisse lui-même une empreinte qui nous identifie de manière unique. Nous avons pu confirmer ce constat en étudiant puis en testant l’algorithme Panopticlick.
Depuis les débuts du Web, les cookies permettent d'améliorer notre confort de navigation. Ces petits fichiers sont déposés sur nos ordinateurs lors de la visite d'un site web, sauvegardant les préférences de l'utilisateur (telles que la langue dans lequel un site doit s'afficher par exemple), et permettant ainsi au site de «reconnaître» l'utilisateur lors d'une visite future.
Au-delà de la technologie des cookies, des chercheurs ont fait le constat suivant: chaque navigateur web a une empreinte et chaque empreinte est unique, ou presque. Ainsi, il n'y a plus besoin de cookies pour déterminer quel ordinateur s'est connecté à un site web, il suffit d'observer l'empreinte du navigateur utilisé.
Nous avons étudié et testé l'algorithme Panopticlick (panopticon étant un modèle de prison qui permet aux gardiens d'observer les prisonniers sans se faire remarquer) proposé par Electronic Frontiers Foundation. Cet algorithme considère un certain nombre de paramètres en entrée et rend une mesure d'entropie qui permet de déterminer l'unicité du navigateur testé. Les paramètres sont, par exemple, le user agent qui donne des informations sur le type et la version du navigateur mais aussi du système d'exploitation utilisé, la liste des plug-ins installés - un plug-in étant un petit logiciel qui complète le navigateur en lui faisant bénéficier de nouvelles fonctionnalités, telles que la lecture de vidéos, les polices de caractère installées, des informations sur l'écran utilisé, etc. En fait, toutes les informations auxquelles il est possible d'accéder à travers le navigateur sont collectées. Ces informations mises bout à bout sont considérées comme l'identifiant (empreinte) du navigateur. Ainsi, c'est l'éventuelle unicité de cet identifiant qui détermine l'unicité du navigateur.
Dans la première phase de déploiement de l'algorithme, environ 400'000 empreintes ont été récoltées et anonymisées. Chaque nouvelle empreinte est testée par rapport à cet ensemble. Il est ainsi possible de déterminer si cette empreinte est semblable à l'une de celles déjà connues. Si c'est le cas, on détermine combien d'empreintes doivent être inclues dans un sous-ensemble pour être certain d'y trouver une empreinte identique.
Nous avons testé cet algorithme avec les dernières versions des navigateurs les plus connus (Internet Explorer, Firefox, Chrome, Safari, Opera) sous diverses conditions: directement après l'installation du navigateur, après un temps de navigation, en mode anonyme et après l'ajout de certaines extensions.
La conclusion que nous faisons est la suivante: il faut effectivement admettre que l'empreinte de chaque navigateur est unique, ou facilement identifiable. Il existe toutefois des possibilités de réduire quelque peu les dangers d'une identification certaine. Ainsi, le mode de navigation anonyme qui est aujourd'hui proposé par l'ensemble des navigateurs (du moins dans leur dernière version) est un bon outil à exploiter. Couplé à certaines extensions, comme NoScript, proposées en particulier par le navigateur Firefox, il est le meilleur moyen de préserver son anonymat lors de la navigation sur le Web.