Conseils

Empreinte digitale d’appareil et économie de la surveillance

Chandler Givens, 22 août 2019

Si les consommateurs peuvent supprimer leurs cookies, ils ne peuvent pas en faire autant de leurs empreinte digitale.

De nombreux consommateurs sont conscients que leurs activités en ligne peuvent être suivies par des cookies, dont l’utilisation est plutôt bien régulée. On ne cerne cependant pas aussi bien les enjeux de l’empreinte digitale numérique (aussi appelée « empreinte digitale d'appareil »). Nous pensons que les grands média sous-estiment énormément son développement.

L’empreinte digitale d’appareil fait référence aux logiciels de suivi qu’utilisent les sites Web pour collecter des informations sur l’appareil que vous utilisez, telles que sa marque, son modèle, son système d'exploitation, son navigateur et même les logiciels qui y sont installés. Ces informations permettent d'identifier l’empreinte digitale numérique de votre appareil. Celle-ci est unique.

Les consommateurs peuvent supprimer leurs cookies. Et pour les utiliser, les sites Web doivent demander une permission. Cela n'est pas le cas pour l’empreinte digitale, qui pourrait supplanter la méthode de suivi par cookies.

Le New York Times a récemment mis en lumière ce problème, mais a suggéré une tactique utilisée par moins de 5 % des sites Web. Selon nous, ce chiffre minimise les résultats de l’étude.

Le problème de l’empreinte digitale, c’est qu’en raison de la nature unique de vos composants matériels et logiciels, vous pouvez être identifiable avec une précision supérieure à 95 %. Cela veut dire que si quelqu’un identifie votre empreinte digitale, il peut avoir un aperçu clair de qui vous êtes, que vous ayez donné ou non la permission à des parties tierces de collecter des informations sur vous. Une fois collectés et associés votre historique d’utilisation d’Internet et votre historique de navigation, il est possible d’obtenir un aperçu complet de votre historique en ligne, de vos préférences, de vos activités voire de votre vie et de l’attribuer directement à un appareil spécifique, et donc à son propriétaire.

L'étude citée dans le New York Times sur Mozilla a révélé que 3,5 % des sites Web populaires utilisaient l’empreinte digitale pour suivre leurs utilisateurs. Il se peut que seulement un faible pourcentage des sites Web les plus populaires utilise des scripts connus pour être des trackers exclusivement basés sur l’empreinte digitale. Cela ne concernerait alors qu’une petite minorité de sites Web. Mais on sait aussi que la majorité du trafic Web se concentre sur les sites Web les plus populaires. Le nombre d'utilisateurs pouvant être identifiés à partir d’informations déjà collectées à leur sujet en ligne serait un indicateur beaucoup plus pertinent.

Cette étude de l’Université de Princeton montre qu’au moins 60 % des 1 000 sites Web les plus populaires partagent des informations avec des tiers. Beaucoup de ces tiers créent alors des profils en ligne ou des empreintes digitales des utilisateurs pour ensuite les partager ou les vendre aux annonceurs et entreprises de données. Comme l’avait révélé l'étude de Mozilla, cette recherche confirme que même s’ils n'utilisent pas de suivi basé sur l’empreinte digitale, 96,5 % des sites Web ont accès à votre empreinte digitale grâce à des tiers.

Ce qui est inquiétant, c’est que l’utilisateur moyen n’a aucun moyen de savoir quels sites Web prennent l’empreinte digitale de son appareil car on ne peut pas faire la différence entre les scripts. Les scripts s’exécutent en arrière-plan des sites Web et peuvent être utilisés à des fins légitimes, telles que le rendu de vidéos ou de photos. Mais ces mêmes scripts peuvent aussi servir des objectifs moins nobles, tels que la collection de données utilisateur.

Vous devez vous demander ce que les entreprises peuvent bien faire de toutes ces informations. Une grande majorité les utilise pour vous envoyer de la publicité et personnaliser votre expérience en ligne.

Il y a cependant des entreprises qui utilisent vos données en ligne pour déduire des choses sur vous qui pourraient avoir un impact négatif ou injuste sur le consommateur que vous êtes. Par exemple : 

fingerprinting_insurance

Dans le graphique ci-dessus, vous recherchez « douleur à la poitrine » → un site Web vend votre historique de recherche à une entreprise d'assurance maladie → l’entreprise d’assurance maladie déduit que vous risquez une maladie du cœur et augmente vos taux de cotisation.

fingerprint2

Dans le graphique ci-dessus, vous partagez votre position géographique → vous vivez dans un quartier aisé → la société x vous facture plus cher pour des produits parce qu’elle déduit que vous pouvez et accepterez de payer davantage.

En matière d’empreinte digitale, il n’y a aucune transparence avec l’utilisateur. Il ne peut pas savoir quelles informations sont collectées à son sujet, par qui et à quelles fins. De même, le consommateur n’a aucun contrôle sur ses données : il ne peut pas décider de les récupérer ou de les supprimer du système des entreprises qui les détiennent. Il ne peut même pas savoir ce que les entreprises savent de lui.

Même avec des sites comme Facebook, dont les pratiques de confidentialité sont douteuses, un utilisateur motivé peut télécharger ses informations, les consulter et modifier ou supprimer son profil. Les utilisateurs n’ont généralement aucun contrôle sur la collecte de leurs informations sur la plupart des autres sites Web.

Puisque nos appareils constituent à la fois un portail d'information et de communication et un moyen de gérer nos informations sensibles (comme nos informations bancaires ou médicales), les entreprises doivent assumer une responsabilité dans leur suivi. Des réglementations telles que le RGPD ont été élaborées pour protéger les informations personnellement identifiables sur Internet en se concentrant sur le suivi par cookie. La prise d’empreinte digitale permet de contourner ces pratiques et de suivre impunément des individus en partant du simple principe que ce que l’appareil fait correspond aux actions de son utilisateur.

L’empreinte digitale est d’autant plus préoccupant qu'une fois votre profil numérique créé et disponible dans le cyberespace, il ne sert plus à rien de suivre des mesures préventives comme modifier son mot de passe ou effacer son historique de navigation. Il semble impossible de stopper la fuite de nos informations personnelles. Pour ce faire, il faudrait extraire ses données des centaines de courtiers en données qui en disposent. Et cela de façon régulière. Et les entreprises ne cesseront pas de contourner les lois et réglementations qui limitent leur possibilité de vous suivre. C'est pour cette raison que les consommateurs doivent agir et se protéger de l’économie de la surveillance.

Que peut faire un utilisateur lambda ?

Nous recommandons aux utilisateurs de partir du principe que la plupart des sites Web vous suivent et agissent en conséquence.

Songez à installer un produit anti-suivi qui peut vous aider à rester en sécurité. Il y a de bonnes options sur le marché. Avast dispose de son propre produit AntiTrack et il existe des navigateurs axés sur la confidentialité, tels que Mozilla Firefox et Avast Secure Browser. Ces produits déjouent activement le suivi en ligne.

AntiTrack contre la technique de suivi basée sur l’empreinte digitale en la rendant inefficace. En effet, au lieu de bloquer les scripts et d’empêcher l’accès aux sites Web, AntiTrack insère de fausses données pour que le script continue à fonctionner. Cela empêche la collecte de données précises à votre sujet et leur utilisation contre vous. D’autre part, il vous protège sur tout type d’appareil ou de navigateur.

Dans le monde réel, vous ne laisseriez personne suivre chacun de vos pas. Il devrait en être de même dans votre vie numériqu