Google teste actuellement une nouvelle fonctionnalité dans Chrome pour bloquer le fingerprinting par canvas, une technique de traçage qui permet aux sites web de suivre les utilisateurs même en mode incognito.
Le mode incognito du navigateur Chrome offre une protection limitée contre certaines méthodes de suivi avancées. Google développe désormais une défense spécifique contre le fingerprinting par canvas, une technique qui exploite les différences de rendu graphique pour identifier les utilisateurs.
La faille du mode Incognito
Le fingerprinting par canvas consiste à analyser la manière - et les variations - dont chaque appareil dessine des images invisibles intégrées aux pages web. Il est alors possible de créer un identifiant unique basé sur les spécificités du processeur graphique, du système d'exploitation et des pilotes de chaque machine. Les sites web génèrent ainsi une empreinte digitale distinctive qui permet de reconnaître un utilisateur lors de ses visites successives, même lorsque les cookies sont désactivés ou en navigation privée.
D'emblée, le mode de navigation privée n'est donc pas totalement sécurisé. Les scripts malveillants peuvent lire le contenu de ces éléments canvas cachés pour extraire les données de rendu et constituer un profil de suivi. Dans un contexte commercial, un site peut ainsi recibler l'internaute avec une offre spécifique ou lui proposer des contenus relatifs à sa précédente visite.
Bientôt une meilleure protection pour tous
La fonctionnalité, en cours de test par Google, est accessible via le flag Enable blocking canvas readbacks in Incognito. Celle-ci empêche la lecture du contenu des éléments canvas par les scripts. Lorsqu'un site tente d'accéder aux données de rendu, Chrome génère une exception au lieu de transmettre les informations. Cette protection fonctionnera sur Windows, macOS, Linux, iOS et Android. Il est possible de l'activer au sein versions Canary du navigateur avant un déploiement plus large.
En termes de vie privée, d'autres navigateurs ont un temps d'avance sur Google. C'est par exemple le cas de Brave. Ce dernier mise surtout sur la "randomisation" pour contrer le fingerprinting. Plutôt que de bloquer directement l’accès aux données canvas, Brave va modifier de façon aléatoire des informations techniques (canvas, WebGL, user agent, capacités de stockage, etc.) à chaque session ou visite de site. Concrètement, lorsqu’un site web ou un script tente de récupérer ces informations pour créer une empreinte unique, Brave va volontairement fausser le résultat, ce qui rend le suivi bien plus complexe pour les trackers.
