Une nouvelle technique de fingerprinting révèle la localisation des utilisateurs même derrière un VPN. Le coupable ? Les listes de filtres AdBlock configurées selon votre pays.
Un chercheur en sécurité vient de démontrer comment contourner la protection offerte par les VPN. Son outil, baptisé Adbleed, détecte quelles listes de filtres publicitaires sont activées dans votre navigateur pour en déduire votre localisation réelle.
Des listes de filtres qui parlent trop
Les bloqueurs de publicités comme uBlock Origin, Brave ou AdBlock Plus reposent sur des listes de filtres pour bloquer les annonces. EasyList, la liste de base, couvre les publicités en anglais et les réseaux internationaux avec plus de 54 000 règles de blocage. Mais les utilisateurs activent généralement des listes spécifiques à leur pays : EasyList Germany en Allemagne, Liste FR en France, ou encore des versions dédiées pour l'Italie, l'Espagne ou les pays nordiques. Ces listes bloquent des domaines publicitaires locaux absents de la liste de base.
En pratique, cette configuration crée une sorte d'empreinte unique. Ce n'est pas tant la faute des navigateurs : Adbleed exploite cette différence en testant si certains domaines sont bloqués ou non. Le procédé repose sur une mesure de temps effectuée via JavaScript : lorsqu'un bloqueur intercepte une requête, l'erreur survient en moins de 5 millisecondes car la demande ne quitte jamais le navigateur. Sans bloqueur, la requête atteint le réseau et le délai grimpe à 50-500 millisecondes. L'outil teste 30 domaines par pays et si 20 d'entre eux sont bloqués quasi instantanément, il conclut que la liste correspondante est active.
Un VPN impuissant face au fingerprinting
Cette technique fonctionne même si l'internaute utilise un VPN, Tor ou n'importe quel proxy. L'adresse IP réelle est bien masquée, le trafic chiffré et sécurisé, mais le navigateur, lui, continue d'appliquer les règles de blocage configurées selon la langue ou le pays d'origine de l'internaute. Le VPN cache d'où vient la connexion, mais pas comment le navigateur se comporte.
Associée à d'autres données récoltées par fingerprinting (fuseau horaire, disposition du clavier, résolution d'écran), cette information réduit donc considérablement le degré de confidentialité. Le site adbleed.eu propose une démonstration publique qui teste sept listes nationales en temps réel. Les résultats apparaissent domaine par domaine avec les temps de réponse mesurés. Dans notre test, un VPN est activé sur un serveur aux États-Unis et l'outil en ligne identifie correctement l'activation des règles associées à la liste française du bloqueur intégré au navigateur Brave.
Pour brouiller les pistes, il est donc conseillé soit de désactiver les listes spécifiques par pays, soit au contraire d'en activer plusieurs afin de créer du bruit dans les données. Le développeur d'Adbleed suggère une piste aux éditeurs de bloqueurs : restreindre l'application des règles nationales aux sites du pays concerné, plutôt que de les activer sur l'ensemble du web, ce qui permettrait donc de ne pas être détecté par un tel outil.
