Différences

Ci-dessous, les différences entre deux révisions de la page.

--- wiki:securite:menaces:tracage_fingerprinting [2024/07/30 13:01] – palas
+++ wiki:securite:menaces:tracage_fingerprinting [2025/12/22 13:06] (Version actuelle) – [Empreinte numérique] palas
@@ Ligne 5: / Ligne 5: @@
 ===== Fingerprinting =====
+Fingerprinting = empreintes de navigateur.
+Le fingerprinting est la collecte systématique d'informations par rapport à un dispositif (mobile ou navigateur web par exemple) dans un objectif d'identification, sans le consentement des utilisateurs.
+Cette technique ne stocke aucune information sur les appareils. \\
-Le **fingerprinting** est la collecte systématique d'informations par rapport à un dispositif (mobile ou navigateur web par exemple) dans un objectif d'identification, sans le consentement des utilisateurs. Cette technique ne stocke aucune information sur les appareils. \\
+Les langages de scripts côté client autorisent le développement de techniques permettant de collecter des empreintes de navigateur très riches en informations : types et versions du navigateur web, système d'exploitation, dimentions de l'écran, type d'architecture utilisée, listes des polices et des plugins, microphones, caméra, fuseau horaire, langue préférentielle, etc. --- https://www.amiunique.org/fr
-Les langages de scripts côté client autorisent le développement de techniques permettant de collecter des empreintes de navigateur très riches d’informations : types et versions du navigateur web, sa version, système d'exploitation, résolution de l'écran, type d'architecture utilisée, listes des polices et des plugins, microphones et caméra, fuseau horaire, langue préférentielle, etc. --- https://www.amiunique.org/fr
-Les informations obtenues sur le site **[[:wiki:securite:menaces:tracage_amiunique|AmIUnique]]** révèlent votre "fingerprints". \\
+Les informations obtenues sur le site **[[:wiki:securite:menaces:tracage_amiunique|AmIUnique]]** révèlent votre "fingerprint". \\
-Il indique la proportion de visiteurs (du site AmIUnique) partagent les mêmes éléments (8 + 59 = 67 paramètres). --- https://amiunique.org/fr/fingerprint
+Ce site indique la proportion de visiteurs partageant les mêmes éléments (8 + 59 = 67 paramètres). --- https://amiunique.org/fr/fingerprint
 C'est un des premiers critères pour l'[[:wiki:securite:secu_anonymat_xxxx|anonymat]].
-**HTTP headers attributes :**
+==== HTTP headers attributes ====
   * User agent
   * Accept
@@ Ligne 25: / Ligne 27: @@
   * Do Not Track
-**Javascript attributes :**
+==== Javascript attributes ====
   * User agent
   * Platform
@@ Ligne 86: / Ligne 88: @@
   * Platform (Flash)
+===== Empreinte numérique =====
+https://brave.com/glossary/digital-footprint/ \\
+https://support.torproject.org/tor-browser/features/fingerprinting-protections/
+===== CanvasBlocker by kkapsner =====
+https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/ \\
+Pour empêcher les sites Web d'utiliser certaines API Javascript d’identifier les utilisateurs. \\
+Plus d’informations sur les empreintes digitales peuvent être trouvées sur :
+  * <canvas>: http://www.browserleaks.com/canvas
+  * audio:
+    * https://audiofingerprint.openwpm.com/ (very poorly written = slow)
+    * https://webtransparency.cs.princeton.edu/webcensus/#audio-fp
+  * DOMRect:
+    * http://jcarlosnorte.com/security/2016/03/06/advanced-tor-browser-fingerprinting.html
+    * https://browserleaks.com/rects
+===== Letterboxing =====
+[[:wiki:securite:menaces:tracage_Letterboxing|Letterboxing]]
+===== BrowserLeaks =====
+https://browserleaks.com/ \\
+BrowserLeaks est une suite d'outils qui propose une gamme de tests pour évaluer la sécurité et la confidentialité de votre navigateur Web. Ces tests visent à identifier les manières par lesquelles les sites Web peuvent divulguer votre véritable adresse IP, collecter des informations sur votre appareil et effectuer une empreinte digitale du navigateur. En comprenant ces risques, vous pouvez prendre les mesures appropriées pour protéger votre vie privée en ligne et minimiser votre exposition aux menaces potentielles.
+  * IP Address - https://browserleaks.com/ip
+  * WebRTC Leak Test - https://browserleaks.com/webrtc
+  * WebGL Report - https://browserleaks.com/webgl
+  * Geolocation API - https://browserleaks.com/geo
+  * SSL/TLS Client Test - https://browserleaks.com/tls
+  * JavaScript - https://browserleaks.com/javascript
+  * Font Fingerprinting - https://browserleaks.com/fonts
+  * Features Detection - https://browserleaks.com/features
+  * Content Filters - https://browserleaks.com/proxy
+==== Canvas Fingerprinting ====
+https://browserleaks.com/canvas \\
+L'API Canvas, conçue pour dessiner des graphiques via JavaScript et HTML, peut également être utilisée pour le suivi en ligne via les empreintes digitales du navigateur. Cette technique repose sur des variations dans la façon dont les images de canevas sont rendues sur différents navigateurs et plates-formes Web pour créer une empreinte numérique personnalisée du navigateur d'un utilisateur.
+La façon dont une image est rendue sur un canevas peut varier en fonction du navigateur Web, du système d'exploitation, de la carte graphique et d'autres facteurs, ce qui donne lieu à une image unique qui peut être utilisée pour créer une empreinte digitale. La façon dont le texte est rendu sur un canevas peut également varier en fonction des paramètres de rendu des polices et des algorithmes d'anticrénelage utilisés par différents navigateurs Web et systèmes d'exploitation. \\
+Ce petit GIF animé illustre la variabilité des images de toile parmi 35 utilisateurs différents. Bien que le code JavaScript reste le même, chaque image est distincte en raison des différences dans la façon dont les images sont rendues sur différents systèmes : {{https://browserleaks.com/img/canvas/canvas-fingerprinting.png}}
+Pour générer une signature à partir du canevas, nous devons extraire les pixels de la mémoire de l'application en appelant la fonction toDataURL(). Cette fonction renvoie une chaîne codée en base64 représentant le fichier image binaire. Nous pouvons ensuite calculer un hachage MD5 de cette chaîne pour obtenir l'empreinte digitale du canevas. Alternativement, nous pourrions extraire la somme de contrôle CRC du bloc IDAT, situé entre 16 et 12 octets à la fin de chaque fichier PNG, et l'utiliser comme empreinte digitale de canevas.
+==== Lectures complémentaires ====
+  * How to Detect Font-Smoothing Using JavaScript --- https://www.useragentman.com/blog/2009/11/29/how-to-detect-font-smoothing-using-javascript/ --- The first article about the difference in rendering pixels. Not about fingerprinting, but just after this article it became clear to us that something similar can be done.
+  * Pixel Perfect: Fingerprinting Canvas in HTML5 --- https://hovav.net/ucsd/dist/canvas.pdf --- A well-known study, after which the topic has become known to the public.
+  * The Web never forgets: Persistent tracking mechanisms in the wild — https://securehomes.esat.kuleuven.be/~gacar/persistent/ --- And now it is used by thousands of sites...
+  * CanvasBlocker --- https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/ --- Firefox add-on that changes the JS-API for modifying <canvas> to prevent Canvas Fingerprinting.
+  * Canvas Fingerprinting – Wikipedia --- https://en.wikipedia.org/wiki/Canvas_fingerprinting
+  * HTML5 Canvas – MDN --- https://developer.mozilla.org/en-US/docs/HTML/Canvas
+  * Compatibility tables for support of Canvas & WebGL in desktop and mobile browsers – Can I Use --- https://caniuse.com/#search=canvas
+===== Tests du navigateur =====
+https://librewolf.net/docs/testing/  \\
+Il existe de nombreux sites de test de navigateurs sur Internet. En voici quelques-uns nous trouvons le plus utile, ce qui pourrait également aider à fournir des détails sur les problèmes.  \\
+Prise d'empreintes digitales et sécurité :
+  * Cover Your Tracks par l'EFF utilise du vrai suivi des entreprises à tester. --- https://coveryourtracks.eff.org/
+  * TorZillaPrint par Arkenfox est un suite de tests d'empreintes digitales pour Firefox et Tor Browser. --- https://arkenfox.github.io/TZP/index.html
+  * PrivacyTests.org par Arthur Edelstein montre résultats de tests réguliers exécutés sur plusieurs navigateurs, dont LibreWolf. --- https://privacytests.org/
+  * BrowserLeaks est un test de navigateur tout-en-un outil.  --- https://browserleaks.com/
+  * Device Info est un autre navigateur tout-en-un outil de test.  --- https://privacytests.org/
+  * SSL Labs est un côté client Test SSL. --- https://www.ssllabs.com/ssltest/viewMyClient.html
+Ces tests ne sont pas destinés à être utilisés comme des oracles, mais plutôt comme un moyen de vérifier votre configuration et vérifiez que vos modifications sont appliquées.
+<ifauth @contrib>
+----
+Nombre de visiteurs : {{counter}}
+----
+</ifauth>