Chrome, Firefox, Edge ou encore Safari ont tous un gros point faible lorsqu'il s'agit de protéger la vie privée de leurs utilisateurs : des chercheurs de Mozilla démontrent dans une étude que l'historique des internautes peut être exploité activement par des sites pour les identifier sur tous les appareils et leur proposer du contenu personnalisé.

Une étude menée par trois chercheurs de Mozilla montre comment les sites qui proposent du contenu personnalisé peuvent contourner la plupart des mécanismes de protection de la vie privée en analysant l'historique de navigation et de recherches. Selon les chercheurs, les habitudes de navigation des internautes fonctionnent comme une empreinte unique permettant de les identifier à plusieurs reprises. Et de leur proposer du contenu publicitaire personnalisé, dans le meilleur des cas.

Google et Facebook en ligne de mire

Pour en arriver à ce résultat, les chercheurs ont analysé de manière anonyme les données de navigation de 52 000 utilisateurs de Mozilla Firefox pendant deux semaines. Dans une première phase, les chercheurs se sont cantonnés à définir des profils uniques à partir de ces données. Le but des chercheurs lors de la deuxième semaine était de vérifier que ces profils permettaient d'identifier à nouveau les utilisateurs. Leurs conclusions font un peu froid dans le dos : cela a fonctionné sur 48919 profils soit dans 99% des cas.

Les chercheur vont plus loin : “le degré de caractéristiques uniques reste haut même lorsque l'historique est restreint à une centaine de sites. Nous avons ensuite trouvé chez des utilisateurs ayant visité 50 domaines distincts ou plus dans les deux semaines de collecte de données que 50% d'entre eux pouvaient être réidentifiés en n'analysant que les 10 premiers sites. La propension à réidentifier les internautes atteint 80% lorsque ces derniers visitent 150 domaines distincts ou plus”, expliquent les chercheurs.

Et d'avertir du danger sous-jacent de cette découverte : “nous observons que de nombreux tiers sont suffisamment intrusifs pour collecter des historiques web suffisants pour utiliser ces historiques comme des identifiants”. D'autant que selon les chercheurs l'analyse de l'historique a pour avantage de permettre une identification sur tous les appareils utilisés par un internaute donné, même si celui-ci refuse tout pistage.

Les chercheurs n'hésitent d'ailleurs pas à désigner les principaux acteurs capables de tels procédés : “nous pensons que les résultats de l'étude ne sont pas seulement reproductibles mais sont aujourd'hui renforcés par le fait que Google (Alphabet) et Facebook observent de larges portions du web“. Ils citent également dans leur papier une série d'entreprises plus ou moins connues du grand public, comme Verizon, Adobe, Oracle, Twitter, Microsoft, Cloudflare, AppNexus, Rubicon Project, Amazon, Acxiom, PubMatic, The Trade Desk…

Lire également : Avast, AVG – leur protection contre le pistage criblée de failles pouvait servir à vous pirater

Hélas, il n'existe donc pas, au vu de la multiplicité d'acteurs, de manière simple d'éviter complètement ce pistage de masse. Vous pouvez néanmoins le limiter en supprimant régulièrement vos historiques Google et navigateur et en utilisant une extension permettant d'empêcher le tracking d'acteurs tels que Facebook sur des sites tiers, comme Ghostery.

Source : Usenix