Se faire traquer sur le web via sa carte graphique ? Oui c’est possible

    C’est via un document de recherche nommé  » DRAWNAPART : une technique d’identification de périphérique basée sur l’empreinte digitale du GPU à distance «  que nous apprenons qu’en pratique il est possible de tracer des utilisateurs sur le web via les cartes graphiques qui ont une signature particulière. Dans un monde où les utilisateurs sont déjà traqués via les adresses IP, les cookies, et d’autres méthodes encore, il ne manquait plus que ça. Mais rappelons que l’identification des utilisateurs permet aux serveurs de se défendre contre des attaques de bots ou encore de proposer des publications ciblées aux utilisateurs. Selon la loi, les cookies pour réaliser ceci doivent être acceptés par les utilisateurs d’un site, comme c’est le cas chez HardwareCooking. Mais certaines personnes malveillantes se moquent bien de la loi et mettent au point des outils permettant de traquer chaque clic.

    Les cartes graphiques laissent une empreinte digitale permettant de traquer un utilisateur en ligne

    Concrètement, les chercheurs ont découvert que les cartes graphiques laissent une empreinte (identification du matériel) qui permet d’identifier les utilisateurs avec une grande précision. Une expérience à grande échelle impliquant 2500 appareils a été réalisée et a permis un suivi 67% plus rapide que les autres méthodes connues. La méthode actuelle reposant sur l’APU WebGL 2.0 nécessite au moins 8 secondes pour identifier le GPU, mais il existe déjà de nouvelles API Web qui limiteront ce temps à 150 ms et augmenteront la précision jusqu’à 98 %.

    Se faire tracker sur le web via sa carte graphique ? Oui c'est possible

    Cette méthode d’empreinte digitale repose donc sur l’identification du matériel et en particulier les GPU. Ils exploitent la possibilité de mesurer un vecteur contenant divers calculs qui peuvent ensuite être utilisés pour vérifier l’utilisateur. Les chercheurs ont même confirmé que la suppression et le remplacement de certains composants n’affecteront pas le « classificateur » utilisé pour suivre l’utilisateur.

    Pour renforcer notre affirmation selon laquelle les résultats de la classification sont dus à des différences de comportement des GPU, et non à des différences résiduelles entre les ordinateurs, nous avons sélectionné deux ordinateurs GEN 3, échangé physiquement leurs disques durs et réexécuté le classificateur d’empreintes digitales. Comme prévu, le classificateur d’empreintes digitales n’a pas été induit en erreur par la greffe de disque dur et a toujours été en mesure d’étiqueter chacun des deux ordinateurs en fonction de leur processeur. Ensuite, nous avons remis les disques durs à leur emplacement d’origine et échangé physiquement les processeurs avec les graphiques intégrés des deux systèmes. Comme prévu, le classificateur a suivi le processeur transplanté, même si tout le reste du matériel n’a pas été modifié.

     

    – Document de recherche

    Cette méthode d’empreinte digitale nécessite l’API WebGL 2.0 qui n’est plus activement prise en charge, car remplacée par WebGPU. Cependant, bien que cette dernière soit en cours de développement actif, aucune édition stable n’est prise en charge par aucun navigateur, du moins pour le moment. WebGL 2.0 est encore utilisé par certains sites populaires tels que Google Maps ou IKEA.

    La recherche conclut qu’il existe des moyens d’empêcher les empreintes digitales du GPU. La norme WebGL n’est requise que par 1% des 10 000 meilleurs sites Web classés par Alexa. Ceci suggère que cette API pourrait être désactivée par défaut par les navigateurs. La création d’empreintes digitales serait également sévèrement limitée par l’introduction d’une exécution parallèle, mais cela pourrait avoir un impact important sur les performances de l’API WebGL. Khronos, l’organisation à but non lucratif responsable de WebGL, est déjà à la recherche de méthode permettant de bloquer cette méthode d’empreinte.

    Empreinte digitale GPU


     

    LAISSER UN COMMENTAIRE

    Please enter your comment!
    Please enter your name here

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.