Comment Protéger Votre Navigateur contre les Vulnérabilités et le Data Mining

On pense parfois que les adresses IP et les cookies sont les seules empreintes digitales numériques utilisées pour suivre les gens en ligne. Mais aujourd’hui, de nouvelles techniques permettent aux corporations d’utiliser de nouvelles façons d’identifier et de traquer les utilisateurs à leur insu.

Aujourd’hui, nous allons vous présenter quelques outils simples qui vous aideront à naviguer sur internet en protégeant votre confidentialité et en minimisant au maximum les empreintes digitales de votre navigateur.

Vous trouverez ici une batterie d’outils de test de sécurité qui vous indiqueront quels types de données d’identité personnelles peuvent être divulguées et comment vous en protéger.

Test de Vulnérabilité de l’Adresse IP

L’adresse IP est évidemment la métrique principale qui permet potentiellement de révéler l’identité de l’utilisateur. Testez votre empreinte IP en vous rendant sur IP LEAKS. Cet outil dispose des fonctionnalités de base telles que l’affichage de votre adresse IP et des en-têtes HTTP, la géolocalisation IP (GeoIP) détermine votre pays, votre état, votre ville, votre FAI / ASN, l’heure locale. Il y a aussi l’empreinte digitale TCP / IP OS, les tests de fuite WebRTC, le test de fuite DNS, le test de fuite IPv6.

Pour dissimuler efficacement votre adresse IP, utilisez un VPN, mais pas n’importe lequel. Priviligiez des VPN réputés comme ProtonVPN, CalyxVPN, RavenVPN (tous gratuits) ou encore MullvadVPN (payant). ProtonVPN et MullvadVPN présentent l’avantage de pouvoir souscrire à un abonnement de façon totalement anonyme.

Test de fuite DNS

Avec une configuration insuffisante, il est possible que les demandes DNS du navigateur soient envoyées directement au serveur DNS de votre FAI et non envoyées via le VPN ou le proxy. Ainsi, un site Web malveillant pourra connaître le nom de votre véritable FAI, et le FAI connaîtra votre IP de point final et les sites que vous visitez.

Le test de fuite DNS montre les serveurs DNS que votre navigateur utilise pour obtenir les noms de domaine. Ce test tente d’obtenir 100 noms de domaine générés aléatoirement de manière asynchrone, 50 avec un enregistrement (IPv4 uniquement) et 50 avec des enregistrements A et AAAA (IPv4 + IPv6).

Sur l’image ci-dessous, mon FAI, mon adresse IP et les serveurs DNS de mon FAI sont tous localisés dans la région parisienne. Avec un bon VPN comme ProtonVPN ou MullVadVPN, le test de fuite DNS devrait vous permettre d’obtenir quelque chose comme cela :

Javascript Leak Test

Il est possible d’obtenir une grande quantité de données sur le système d’exploitation d’un utilisateur en exploitant les fonctionnalités de base de JavaScript et des API Web. Tels que l’agent utilisateur, la résolution d’écran, le langage système, l’heure locale, l’architecture CPU et le nombre de cœurs logiques, l’API d’état de la batterie, l’API d’information réseau, l’API audio Web, les plugins installés, etc. Cliquez ici pour tester votre empreinte Javascript.

WebRTC Leak Test

WebRTC signifie «Web Real-Time Communication». Cette API Javascript permet essentiellement le partage de voix, de chat vidéo et de P2P dans le navigateur (communication en temps réel) sans ajouter d’extensions supplémentaires. Une fuite WebRTC se produit lorsque votre adresse IP externe (publique) est exposée via la fonctionnalité WebRTC de votre navigateur.

Cette fuite peut vous désanonymiser via les API WebRTC, même si votre VPN fonctionne correctement. Si vous ne vous êtes pas protégé contre les fuites de WebRTC dans votre navigateur, tout site Web que vous visitez pourrait obtenir votre véritable adresse IP via les demandes WebRTC STUN. Afin de remédier à ce problème, n’utilisez que des navigateurs permettant de désactiver le WebRTC dans leurs paramètres. Nous vous recommandons d’utiliser des navigateurs tels que Firefox, Librewolf, Vivaldi ou Brave. Il n’est pas possible de désactiver WebRTC dans Chrome (pour Windows du moins) et c’est l’une des nombreuses raisons pour lesquelles vous devriez éviter d’utiliser ce navigateur.

Pour vérifier que votre navigateur ne divulgue pas votre vraie adresse IP via WebRTC, faites le test WebRTC Leak. Si votre WebRTC est bien désactivé, vous devriez obtenir le résultat suivant :

Détection de connection aux réseaux sociaux

Cet outil permet de vérifier la détection de connexions inter-origines pour la plupart des principaux réseaux sociaux. La menace est connue depuis longtemps, il y a une dizaine d’années. Ce que vous pouvez faire pour vous protéger :

  • Désactivez les cookies tiers : Cela résout le problème mais peut parfois causer des inconvénients ou disfonctionnements sur certains sites, plug-ins ou services lors de la navigation sur le Web.
  • Utilisez la protection contre le suivi :  Il existe des solutions intégrées comme la Protection de suivi Firefox, ou celle de Vivaldi, ainsi que certaines listes de filtres spéciaux que vous pouvez utiliser avec tous les modules complémentaires basés sur ABP ou uBlock Origin.

Test d’empreintes Canvas HTML5

Canvas est une API HTML5 utilisée pour dessiner des graphiques et des animations sur une page Web via JavaScript. Mais en dehors de cela, le canvas peut être utilisé comme une entropie supplémentaire pour la récupération des empreintes digitales du navigateur Web et peut donc être utilisé à des fins de traçage en ligne. La technique est basée sur le fait que la même image de canvas peut être rendue différemment sur différents ordinateurs. Cela se produit pour plusieurs raisons.

Au niveau du format d’image, (les navigateurs Web utilisent différents moteurs de traitement d’image, options d’exportation d’image, niveaux de compression), les images finales peuvent obtenir une somme de contrôle différente même si elles sont identiques aux pixels.

Au niveau du système – les systèmes d’exploitation ont différentes polices et utilisent différents algorithmes et paramètres pour le rendu anti-aliasing et sous-pixel.

En utilisant cet outil, vous pouvez voir si le canvas est pris en charge dans votre navigateur Web et vérifier si cette technique peut servir au traçage de vos données en ligne. De plus, une petite recherche continue montrera à quel point l’empreinte digitale de la toile est vraiment unique et persistante dans la vie réelle. Pour empêcher la détection de l’empreinte digitale du Canvas, il existe des extensions comme CanvasBlocker (Firefox) ou Canvas Fingerprint Defender (Vivaldi, Brave).

Rapport WebGL

WebGL est une API JavaScript pour le rendu de graphiques 3D interactifs capable de remonter l’information dans n’importe quel navigateur Web compatible sans utiliser de plug-ins. Les applications WebGL consistent en un code de contrôle écrit en JavaScript et un code d’effets spécial qui est exécuté sur le GPU d’un ordinateur. Les éléments WebGL peuvent être mélangés avec d’autres éléments HTML et composés avec d’autres parties de la page ou de l’arrière-plan de la page.

L’outil WebGL Browser Report vérifie la prise en charge de WebGL dans votre navigateur Web, produit des empreintes digitales de périphériques WebGL et affiche les autres capacités WebGL et GPU plus ou moins liées à l’identité du navigateur Web que vous utilisez.

Il existe deux types d’empreintes digitales WebGL :

  • WebGL Report Hash

Il s’agit d’un hash de tout le tableau des rapports de navigateur WebGL, qui contient une liste de toutes les capacités WebGL ci-dessus et des extensions prises en charge. Le hash est tiré du context dump WebGL le mieux pris en charge.

  • WebGL Image Hash

Un hash du tableau de pixels créé par l’impression de shader de gradient WebGL.

La méthode d’obtention du hash implique uniquement l’API WebGL. Cette empreinte digitale peut donc être similaire sur tous les navigateurs utilisés sur un même ordinateur.

Il est possible de désactiver WebGL dans Firefox, Safari ainsi que dans les navigateurs basés sur Chromium (Vivaldi, Brave). En revanche, il n’est pas possible de désactiver WebGL sur Microsoft Edge.

Test de l’API de géolocalisation HTML5

L’API de géolocalisation donne aux sites Web l’accès à une interface qui leur permet d’obtenir des informations de localisation physique telles que la latitude et la longitude, brisant ainsi l’anonymat de l’utilisateur.

L’API permet aux sites Web de faire des requêtes de localisation «à un coup» (getCurrentPosition) ou plusieurs mises à jour de position (watchPosition) pour suivre le cap et la vitesse de l’utilisateur. Les sources courantes d’informations de localisation incluent le système de positionnement global (GPS) et l’emplacement déduit des signaux réseau tels que l’adresse IP, les adresses MAC RFID, WiFi et Bluetooth, et les identifiants de cellule GSM / CDMA, ainsi que les entrées utilisateur. Pour les appareils sans capteurs spéciaux (par ex., un ordinateur de bureau avec une connexion filaire), la géolocation correspondra à l’emplacement de l’adresse IP. Lorsque vous modifiez votre IP à l’aide d’un VPN ou d’un proxy, l’API de géolocalisation affichera votre emplacement conformément à GeoIP.

Cet outil vérifiera si l’API de géolocalisation est activée dans votre navigateur, affichera toutes les données qui peuvent être récupérées et garantira que les sites Web n’accéderont pas à l’API sans votre autorisation explicite.

Vous pouvez trouver d’autres outils pour tester les vulnérabilités potentielles de votre navigateur, sur votre ordinateur, votre smartphone ou votre tablette sur BrowserLeaks.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s