Mon navigateur révèle l’âge de grand-mère et le nom de son dernier amant

Posted on 11 mars 2010

1


Nous avions vu dans de précédents HOWTO comment devenir anonyme… ou comment tendre à l’anonymat sur Internet. Cependant, des études montrent que la combinaison navigateur/système d’exploitation associée à d’autres critères, tels que la langue utilisée, la liste des polices et plugins installés sur la machine, sont suffisants pour conférer une signature particulière à l’internaute.

Ce lien permet de tester la traçabilité de l’empreinte laissée par votre navigateur.

Dans un premier cas, sous Windows Vista et en utilisant  SRWare Iron (le code source de Chrome), j’obtiens :

Currently, we estimate that your browser has a fingerprint that conveys at least 19.49 bits of identifying information.

Sous OS X,  avec Firefox, l’empreinte est beaucoup moins commune :

Within our dataset of several hundred thousand visitors, only one in 45,886 browsers have the same fingerprint as yours.

Currently, we estimate that your browser has a fingerprint that conveys 15.49 bits of identifying information.

Le résultat, donné en bits d’information  passe de 18,49 à 15,49. Cette quantité mathématique, l’entropie, mesurée en bits, permet de mesurer à quel point un fait vient à révéler notre identité d’une manière unique.  Intuitivement, c’est le  nombre de possibilités qu’il y a pour une variable aléatoire: s’il ya deux possibilités, il y a 1 bit d’entropie, s’il y a quatre possibilités, il y a 2 bits d’entropie, etc

Comme il y a environ 7 milliards d’humains sur la planète, l’identité d’une personne inconnue contient  un peu moins de 33 bits d’entropie (deux à la puissance 33 ). Quand nous apprenons un fait nouveau sur quelqu’un, cela réduit l’entropie de leur identité d’un certain montant. Il existe une formule pour dire combien: ΔS = – log2 Pr (X = x)

Appliquons la formule à un petit nombre de faits, juste pour le fun:

Signe astrologique: ΔS = – log2 Pr (Signe astrologique= Capricorne) = – log2 (1 / 12) = 3,58 bits
Anniversaire: ΔS = – log2 Pr (Date de naissance = 2 janvier) =-log2 (1 / 365) = 8,51 bits
Code postal 40203: ΔS = – log2 (452 / 6625000000) = 23.81 bits

Ainsi par exemple, si nous connaissons la date anniversaire de quelqu’un et son code postal, nous avons 8.51 + 23.81 = 32.32 bits, ce qui n’est pas mal, mais peut-être pas tout à fait assez pour savoir qui il est: plusieurs personnes peuvent partager ces 2 caractéristiques. En revanche, si on précise leur sexe, c’est 33,32 bits, et là, on peut probablement dire exactement de qui  il s’agit.

Cet article montre comment, avec le sexe, une date de naissance et un code postal, un professeur de mathématiques a réussi, en… 1997, à identifier Mr X.

En ce qui concerne les navigateurs, ils  envoient entre  5 et 15 bits d’information, soit 10.5 bits en moyenne. 10 bits d’information permettent de vous retrouver dans une population de 210, soit 1024 personnes. 10.5 bits correspondent à un échantillon d’un peu moins de 1,448 personnes.

Les navigateurs et leur entropie

Browser class Avg. identifying information Minimum identifying information (Least identifying user agent)
Modern Windows Desktops 10.3-11.3 bits 4.6 – 5.0 bits Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
Internet Explorer 13.2-13.5 bits 6.3 – 7.2 bits Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Firefox 8.6 – 9.4 bits 4.6 – 5.0 bits Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
Chrome 7.5-8.5 bits 5.7 – 6.2 bits Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/3.0.195.27 Safari/532.0
Linux 11.8-13.15 bits 6.6-7.9 bits Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
Ubuntu 9.6 – 11.7 bits 6.6 – 7.8 bits Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
Debian 13.5-15.3 bits 10.50 – 11.7 bits Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) Gecko/2009091010 Iceweasel/3.0.6 (Debian-3.0.6-3)
Macintosh 8.8-9.3 bits 5.8-5.8 bits Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
iPhone 10.8 – 11.3 bits 8.7 – 9.3 bits Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_1 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7C144 Safari/528.16
Blackberry 14.7 – 15.5 bits 12.0 – 12.7 bits BlackBerry9530/4.7.0.148 Profile/MIDP-2.0 Configuration/CLDC-1.1 VendorID/105
Android 14.4 – 14.4 bits 12.2-12.4 bits Mozilla/5.0 (Linux; U; Android 1.6; en-us; T-Mobile G1 Build/DRC83) AppleWebKit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1

Comment éviter cela ? Il suffit en fait, pour se noyer dans la masse, de choisir la combinaison de navigateur et d’OS la plus répandue, et désactiver JavaScript — ou d’utiliser Tor… C’est pas gagné.

Sources :

https://www.eff.org/deeplinks/2010/01/primer-information-theory-and-privacy

https://www.eff.org/deeplinks/2010/01/tracking-by-user-agent

Advertisements
Posted in: HADOPI, HOWTO, Internet, LOPPSI