Fingerprinting

Fingerprinting = empreintes de navigateur.

Le fingerprinting est la collecte systématique d'informations par rapport à un dispositif (mobile ou navigateur web par exemple) dans un objectif d'identification, sans le consentement des utilisateurs. Cette technique ne stocke aucune information sur les appareils.

Les langages de scripts côté client autorisent le développement de techniques permettant de collecter des empreintes de navigateur très riches en informations : types et versions du navigateur web, système d'exploitation, dimentions de l'écran, type d'architecture utilisée, listes des polices et des plugins, microphones, caméra, fuseau horaire, langue préférentielle, etc. — https://www.amiunique.org/fr

Les informations obtenues sur le site AmIUnique révèlent votre “fingerprint”.
Ce site indique la proportion de visiteurs partageant les mêmes éléments (8 + 59 = 67 paramètres). — https://amiunique.org/fr/fingerprint

C'est un des premiers critères pour l'anonymat.

• User agent
• Accept
• Content encoding
• Content language
• If none match
• Upgrade Insecure Requests
• Referer
• Do Not Track

• User agent
• Platform
• Cookies enabled
• Timezone
• Content language
• Canvas - Rendering of a specific picture with the HTML5 Canvas element following a fixed set of instructions. The picture presents some slight noticeable variations depending on the OS and the browser used.
• List of fonts (JS)
• Use of Adblock
• Do Not Track
• Navigator properties
• BuildID
• Product
• Product sub
• Vendor
• Vendor sub
• Hardware concurrency
• Java enabled
• Device memory
• List of plugins
• Screen width
• Screen height
• Screen depth
• Screen available top
• Screen available Left
• Screen available Height
• Screen available width
• Screen left
• Screen top
• Permissions
• WebGL Vendor
• WebGL Renderer
• WebGL Data
• WebGL Parameters
• Use of local storage
• Use of session storage
• Use of IndexedDB
• Audio formats
• Audio context
• Frequency analyser
• Audio data
• Video formats
• Media devices
• Accelerometer
• Gyroscope
• Proximity sensor
• Keyboard layout
• Battery
• Connection
• key
• Location bar
• Menu bar
• Personal bar
• Status bar
• Tool bar
• Result state
• List of fonts (Flash)
• Screen resolution (Flash)
• Language (Flash)
• Platform (Flash)

https://brave.com/glossary/digital-footprint/
https://support.torproject.org/tor-browser/features/fingerprinting-protections/

https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/
Pour empêcher les sites Web d'utiliser certaines API Javascript d’identifier les utilisateurs.
Plus d’informations sur les empreintes digitales peuvent être trouvées sur :

• <canvas>: http://www.browserleaks.com/canvas
• audio:
  • https://audiofingerprint.openwpm.com/ (very poorly written = slow)
  • https://webtransparency.cs.princeton.edu/webcensus/#audio-fp
• DOMRect:
  • http://jcarlosnorte.com/security/2016/03/06/advanced-tor-browser-fingerprinting.html
  • https://browserleaks.com/rects

Letterboxing

https://browserleaks.com/
BrowserLeaks est une suite d'outils qui propose une gamme de tests pour évaluer la sécurité et la confidentialité de votre navigateur Web. Ces tests visent à identifier les manières par lesquelles les sites Web peuvent divulguer votre véritable adresse IP, collecter des informations sur votre appareil et effectuer une empreinte digitale du navigateur. En comprenant ces risques, vous pouvez prendre les mesures appropriées pour protéger votre vie privée en ligne et minimiser votre exposition aux menaces potentielles.

• IP Address - https://browserleaks.com/ip
• WebRTC Leak Test - https://browserleaks.com/webrtc
• WebGL Report - https://browserleaks.com/webgl
• Geolocation API - https://browserleaks.com/geo
• SSL/TLS Client Test - https://browserleaks.com/tls
• JavaScript - https://browserleaks.com/javascript
• Font Fingerprinting - https://browserleaks.com/fonts
• Features Detection - https://browserleaks.com/features
• Content Filters - https://browserleaks.com/proxy

https://browserleaks.com/canvas
L'API Canvas, conçue pour dessiner des graphiques via JavaScript et HTML, peut également être utilisée pour le suivi en ligne via les empreintes digitales du navigateur. Cette technique repose sur des variations dans la façon dont les images de canevas sont rendues sur différents navigateurs et plates-formes Web pour créer une empreinte numérique personnalisée du navigateur d'un utilisateur.

La façon dont une image est rendue sur un canevas peut varier en fonction du navigateur Web, du système d'exploitation, de la carte graphique et d'autres facteurs, ce qui donne lieu à une image unique qui peut être utilisée pour créer une empreinte digitale. La façon dont le texte est rendu sur un canevas peut également varier en fonction des paramètres de rendu des polices et des algorithmes d'anticrénelage utilisés par différents navigateurs Web et systèmes d'exploitation.
Ce petit GIF animé illustre la variabilité des images de toile parmi 35 utilisateurs différents. Bien que le code JavaScript reste le même, chaque image est distincte en raison des différences dans la façon dont les images sont rendues sur différents systèmes :

Pour générer une signature à partir du canevas, nous devons extraire les pixels de la mémoire de l'application en appelant la fonction toDataURL(). Cette fonction renvoie une chaîne codée en base64 représentant le fichier image binaire. Nous pouvons ensuite calculer un hachage MD5 de cette chaîne pour obtenir l'empreinte digitale du canevas. Alternativement, nous pourrions extraire la somme de contrôle CRC du bloc IDAT, situé entre 16 et 12 octets à la fin de chaque fichier PNG, et l'utiliser comme empreinte digitale de canevas.

• How to Detect Font-Smoothing Using JavaScript — https://www.useragentman.com/blog/2009/11/29/how-to-detect-font-smoothing-using-javascript/ — The first article about the difference in rendering pixels. Not about fingerprinting, but just after this article it became clear to us that something similar can be done.
• Pixel Perfect: Fingerprinting Canvas in HTML5 — https://hovav.net/ucsd/dist/canvas.pdf — A well-known study, after which the topic has become known to the public.
• The Web never forgets: Persistent tracking mechanisms in the wild — https://securehomes.esat.kuleuven.be/~gacar/persistent/ — And now it is used by thousands of sites…
• CanvasBlocker — https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/ — Firefox add-on that changes the JS-API for modifying <canvas> to prevent Canvas Fingerprinting.
• Canvas Fingerprinting – Wikipedia — https://en.wikipedia.org/wiki/Canvas_fingerprinting
• HTML5 Canvas – MDN — https://developer.mozilla.org/en-US/docs/HTML/Canvas
• Compatibility tables for support of Canvas & WebGL in desktop and mobile browsers – Can I Use — https://caniuse.com/#search=canvas

https://librewolf.net/docs/testing/
Il existe de nombreux sites de test de navigateurs sur Internet. En voici quelques-uns nous trouvons le plus utile, ce qui pourrait également aider à fournir des détails sur les problèmes.
Prise d'empreintes digitales et sécurité :

• Cover Your Tracks par l'EFF utilise du vrai suivi des entreprises à tester. — https://coveryourtracks.eff.org/
• TorZillaPrint par Arkenfox est un suite de tests d'empreintes digitales pour Firefox et Tor Browser. — https://arkenfox.github.io/TZP/index.html
• PrivacyTests.org par Arthur Edelstein montre résultats de tests réguliers exécutés sur plusieurs navigateurs, dont LibreWolf. — https://privacytests.org/
• BrowserLeaks est un test de navigateur tout-en-un outil. — https://browserleaks.com/
• Device Info est un autre navigateur tout-en-un outil de test. — https://privacytests.org/
• SSL Labs est un côté client Test SSL. — https://www.ssllabs.com/ssltest/viewMyClient.html

Ces tests ne sont pas destinés à être utilisés comme des oracles, mais plutôt comme un moyen de vérifier votre configuration et vérifiez que vos modifications sont appliquées.