Manque d’intimité: La vie privée semble être une rareté de nos jours, mais avec suffisamment de soin et d’efforts, il est possible de la plupart masquez votre empreinte numérique auprès des entreprises technologiques géantes et des gouvernements mondiaux. Du moins, c’est le cas jusqu’à présent. Des chercheurs de France, d’Israël et d’Australie se sont associés pour prouver que même les garanties de confidentialité les plus strictes pourraient ne pas suffire à combler toutes les failles de suivi. En fin de compte, votre propre matériel informatique pourrait finir par jouer contre vous.
Les chercheurs en question ont mis au point une méthode d’identification des appareils qu’ils appellent « DrawnApart. » Cette stratégie utilise la technologie traditionnelle d’empreintes digitales du navigateur, qui a tendance à devenir obsolète au fur et à mesure que l’empreinte digitale est utilisée et fait monter les choses d’un cran en identifiant l’appareil d’un utilisateur en fonction des « propriétés uniques » de sa pile GPU.
Habituellement, les empreintes digitales du navigateur ont tendance à se confondre avec le temps lorsque des utilisateurs disposant d’appareils similaires avec un matériel similaire accèdent à un site Web donné. L’empreinte digitale du GPU cherche à trouver les « légères différences » induites par le processus de fabrication de chaque carte vidéo ; les différences qui ne peuvent pas être facilement masquées ou obscurcies.
Alors, comment fonctionne DrawnApart à un niveau un peu plus technique ? Selon les chercheurs, il génère d’abord une « séquence de tâches de rendu », chacune avec différentes « unités d’exécution » cibles sur le GPU d’un utilisateur. Les résultats de ces tâches – une trace d’empreintes digitales – sont ensuite transmis à un réseau d’apprentissage automatique, qui transforme ladite trace en un « vecteur d’intégration ». Ce vecteur décrit l’empreinte digitale et peut diriger un adversaire (la personne ou l’entité utilisant cette technique) vers l’appareil spécifique qui l’a générée.
Les charges de travail de DrawnApart sont générées à l’aide de WebGL, la bibliothèque graphique responsable du rendu sur d’innombrables sites Web. Les charges de travail en question sont conçues pour identifier les différences les plus minimes de consommation d’énergie et de puissance de traitement entre les GPU. Même si leur marque et leur modèle sont identiques, chaque carte traitera le rendu des points WebGL (objets à un seul sommet) et gérera les fonctions de décrochage un peu différemment. Vous pouvez voir un exemple de ces petites différences dans l’image de trace ci-dessous, qui se compare à des GPU apparemment identiques.
Les chercheurs ont utilisé DrawnApart pour collecter 50 traces des deux appareils, chaque trace individuelle consistant en « 176 mesures de 16 points ». Ces mesures sont ensuite organisées en 16 groupes de 11, et chaque groupe « cale » un point différent. Le temps nécessaire au GPU pour rendre chaque point est affiché à l’aide d’un dégradé de couleurs allant du blanc pur au bleu profond, le premier représentant un rendu plus rapide (presque 0 ms) et le second un rendu plus lent (jusqu’à 90 ms). Les barres rouges que vous voyez dans l’image ci-dessus ne sont utilisées que pour séparer les groupes, c’est pourquoi elles restent cohérentes sur les deux traces.
Comme vous pouvez le voir, il existe des différences distinctes entre ces deux traces. Les chercheurs notent que quelques de ces variations sont à prévoir car même le même appareil ne fonctionnera pas toujours de la même manière. Cependant, malgré cela, l’équipe estime que ces traces montrent des motifs suffisamment distincts pour leur permettre de faire la distinction entre deux cartes identiques. Naturellement, ce niveau de mesure granulaire permet une empreinte digitale très précise qui peut suivre les utilisateurs sur une durée beaucoup plus longue que les méthodes traditionnelles. Lorsqu’il est combiné avec un algorithme de suivi « à la pointe de la technologie », Bleeping Computer rapportsDrawn Apart augmente la durée pendant laquelle un objectif peut être suivi jusqu’à 67 % (28 jours par rapport à la moyenne normale de 17,5 jours).
Alors… Pourquoi effectuer cette recherche ? Si ces chercheurs sont si soucieux de la vie privée des utilisateurs – ce qu’ils prétendent être – pourquoi donner aux annonceurs et autres mauvais acteurs les clés du royaume, pour ainsi dire ? L’équipe espère qu’en exposant ces failles potentielles de confidentialité, les personnes derrière les bibliothèques graphiques telles que WebGL ou la prochaine API WebGPU prendront en compte les implications que leur technologie pourrait avoir sur la confidentialité des utilisateurs et intégreront des garanties le plus tôt possible.
Quoi qu’il en soit, cette recherche est intéressante et pose de sérieuses inquiétudes pour l’avenir de la confidentialité sur le Web. Nous avons hâte de voir ce qu’il adviendra à l’avenir, pour le meilleur ou pour le pire.
