Vous effacez vos cookies chaque semaine. Vous utilisez le mode incognito. Vous avez même installé un bloqueur de publicités.
Mais une régie publicitaire vous a reconnu instantanément dès votre retour sur le site.
Pas grâce aux cookies. Grâce à votre navigateur lui-même.
Ce qu’un site peut savoir sur vous sans cookies
Quand votre navigateur charge une page web, il transmet automatiquement des informations techniques nécessaires à l’affichage. Mais ces informations — combinées — créent une empreinte unique.
Un script de fingerprinting collecte :
- User-Agent : navigateur exact, version, système d’exploitation
- Résolution d’écran et profondeur de couleur
- Fuseau horaire et langue
- Polices installées sur votre système (via rendu Canvas)
- Canvas fingerprint : votre carte graphique rend les images légèrement différemment selon le matériel
- WebGL fingerprint : même chose pour les graphiques 3D
- Plugins et extensions installées
- Support de fonctionnalités : quelles APIs HTML5 sont disponibles
- Performances réseau (latence, débit approximatif)
- Batterie (niveau et si branché — WebBattery API)
Chaque élément seul est commun. La combinaison est statistiquement unique.
L’étude EFF
La Electronic Frontier Foundation a analysé 470 000 navigateurs avec leur outil Panopticlick (maintenant Cover Your Tracks). Résultat : 94% des navigateurs avec Flash, 90% sans Flash, produisaient une empreinte unique.
Vous êtes probablement dans les 90%.
Le Canvas Fingerprinting en détail
Le Canvas fingerprinting mérite une explication parce qu’il est particulièrement invisible et efficace.
Voici ce que fait le script :
- Il crée un élément canvas HTML (invisible, 1x1 pixel)
- Il demande au navigateur de dessiner un texte avec une police et une taille spécifiques
- Il extrait les données de pixels du résultat
Ce dessin varie légèrement selon :
- La carte graphique installée
- Les drivers graphiques et leur version
- Le sous-pixel rendering du système d’exploitation
- La version exacte du navigateur
La variante est subtile — imperceptible à l’oeil humain. Mais c’est une signature stable que vous emportez partout.
Ce qui ne fonctionne pas contre le fingerprinting
- Mode incognito/privé : même navigateur, même empreinte
- Effacer les cookies : le fingerprinting ne stocke rien chez vous
- VPN seul : change votre IP mais pas votre empreinte navigateur
- Changer de réseau : même résultat
Ce qui fonctionne réellement
Tor Browser : conçu pour que tous les utilisateurs aient la même empreinte. Canvas fingerprinting retourne un résultat aléatoire à chaque session. Polices standardisées. Taille de fenêtre fixe.
Firefox avec privacy.resistFingerprinting = true : réduit significativement l’empreinte. Activé dans Firefox Enhanced Tracking Protection “Strict”.
Brave Browser : inclut du bruit aléatoire dans les APIs de fingerprinting par défaut.
Ce qui n’aide pas : Chrome “avec des extensions de vie privée” — le navigateur lui-même a une empreinte riche, et les extensions ajoutent des paramètres supplémentaires qui vous rendent plus unique.
Ce que vous pouvez faire maintenant
- Testez votre empreinte maintenant : coveryourtracks.eff.org — voyez votre score réel
- Pour la navigation quotidienne : Firefox avec mode “Strict” dans la Protection contre le pistage
- Pour la navigation sensible : Tor Browser sans modifications
- Ne personnalisez pas Tor Browser : chaque personnalisation vous rend plus unique dans la foule des utilisateurs Tor
Au Québec, la Loi 25 encadre la collecte de données personnelles. Mais le fingerprinting opère techniquement sans “cookies” — dans un flou légal que la plupart des utilisateurs ne connaissent pas. Pour les entreprises, ce flou peut devenir un risque de conformité réel — la Loi 25 impose des obligations sur les données collectées même quand il n’y a pas de cookie.
Savoir comment vous êtes traqué, c’est la première étape pour décider si vous voulez l’être.
Sequr — Agent certifié québécois
À lire aussi :
