Signatures des navigateurs : la biométrie du virtuel ?
Posted by Gutek in Général, tags: javascript, navigateur
Pour des raisons de sécurité ou peut être plus souvent pour des raisons publicitaires le fournisseur de services cherche depuis toujours à s’assurer de l’identité de son client. Vous voulez quelque chose ? montrez patte blanche. On vous enregistre, et sous couvert de vous faciliter vos prochains besoins on va “profiler” un peu tout ca.
Le principe le plus simple est bien sûr de demander la création d’un compte : qui êtes vous, que voulez vous ?
Ce principe à ses limites. De plus en plus de personnes, mieux informées des risques à se dévoiler complètement rechignent à répondre à la première question. A juste titre elles ne voudraient répondre qu’à la seconde, qui est la raison de leur venue vers le prestataire de services.
Pour ce dernier, l’affaire deviendrait alors plus compliquée. Il sait bien mettre en statistiques l’ensemble de “ce que les clients veulent” mais pour pouvoir exploiter ce genre d’étude commercialement il faut toujours les associer à des notions de profils faute de quoi elles deviennent inutiles parce que trop généralistes. Un peu comme une moyenne ne veut pas dire grand chose si on ne parle pas en plus d’écarts-types et autres considérations statistiques qui décrivent finement une tendance.
Finalement, pour ses objectifs marketing le prestataire n’a pas réellement besoin d’un ciblage identitaire. Le client ne veut pas décliner son identité ? qu’à cela ne tienne, on va plutot le décrire : c’est le ciblage comportemental.
Dans la vie réelle on parle beaucoup par les temps qui courent de techniques descriptives de l’individu. La biométrie, par exemple. Par définiton il s’agit de décrire de façon suffisament précise l’individu pour être certain que cette description le représente de façon si unique qu’aucune erreur n’est possible : la technique ne dit pas son nom mais peu importe. C’est Lui.
Sur le Réseau l’individu est dématérialisé et là encore en termes de marketing son identité importe finalement peu. Au départ afin de l’identifier le principe le plus courant reste les célèbres cookies.
Pas très intéressant comme système, finalement. La plupart du temps le cookie identifiant ne se résume qu’à un code aléatoire unique (identifiant de session, hashes divers…)qui, si il représente temporairement l’individu-client, ne dit pas ce qu’il *est*. Inexploitable sur le long terme, d’autant que les systèmes de navigation et de protection individuels proposent depuis longtemps diverses méthodes de filtrage de ces petits “tickets”.
Mais nos machines sont si complexes aujourd’hui dans leur configuration qu’elles ont fini par ressembler fortement à une sorte de “corps” exclusif qu’il est possible d’observer à distance, de mesurer et d’en tirer une description unique qui, si elle permet d’identifier à première vue non pas l’individu-client mais son vecteur (le navigateur, l’OS), permet en fait à y regarder de plus prèt d’obtenir pas mal d’informations sur l’individu. Quels plugins ? qui servent à quoi ? Quelles polices ? rares ? quel écran ? quelles fréquences de mises à jour dans les versions ? etc…
L’EFF (Electronic Frontier Foundation), vestale des libertés Internet, mène en ce moment l’expérience Panopticlick.
Cette experience vise à démontrer que sans la moindre action de l’individu et via quelques codes javascript et autres techniques courantes du Web il est possible d’obtenir une empreinte unique identifiant et classant tout visiteur.
Le lecteur de ce blog connait -on le suppose- déjà depuis longtemps quelques variables qui premettent à un site de récupérer les données d’en tête HTTP représentant le navigateur, l’adresse IP, les proxies éventuels etc…
Mais Panopticlick va plus loin, beaucoup plus loin par la somme d’informations qu’il va récolter à la simple visite d’une page Web. Faites l’experience, vous pouriez être surpris.
L’EFF propose quelques workarounds pour se protéger de cette nouvelle forme de fichage, toute présentant des contraintes pour l’utilisateur plus ou moins génantes dans son expérience de navigation.
Finalement, au moment même où l’individu prend conscience que sa sphère privée se rétrécie il est déjà trop tard : insidieusement elle a déjà été infiltrée depuis longtemps, décortiquée, classée et a généré des profits sans avoir la politesse élementaire de lui demander son avis.
Il parait que c’est pour son bien.
Entries (RSS)