Il est facile de bloquer les cookies, mais que pouvez-vous faire pour empêcher quelqu'un de vous identifier en regardant votre GPU ?
Un GPU est l'un des composants clés d'un ordinateur car il détermine dans quelle mesure l'appareil exécute divers travaux liés aux graphiques, tels que la génération de modèles 3D, l'affichage d'effets spéciaux et la lecture de vidéos. Cependant, on s'inquiète de plus en plus d'une autre utilisation potentielle des GPU: la possibilité de suivre les activités en ligne des utilisateurs.
Une équipe de chercheurs français, israéliens et australiens a révélé qu'un GPU pouvait être utilisé pour suivre les utilisateurs en ligne grâce à une technique connue sous le nom d'empreintes digitales GPU. Qu'est-ce que l'empreinte GPU exactement? Comment les GPU vous suivent-ils en ligne? Et comment pouvez-vous vous protéger?
Qu'est-ce que l'empreinte GPU?
L'empreinte digitale du GPU est le processus d'identification et de suivi des individus en fonction des attributs distinctifs de leurs GPU. En analysant des attributs GPU spécifiques, comme les configurations matérielles, les systèmes d'exploitation et les types de polices, les sites Web peuvent créer un identifiant unique pour chaque utilisateur, permettant le suivi de leur en ligne activités.
La technique des empreintes digitales pourrait être exploitée par des acteurs malveillants et sites Web pour suivre vos comportements en ligne, même sans votre consentement. Il est donc difficile pour les politiques de confidentialité, comme celles adoptées dans l'Union européenne, de garder vos activités en ligne privées.
Comment votre GPU pourrait être utilisé pour vous suivre en ligne
Pour identifier les appareils, les chercheurs ont utilisé la technologie DrawnApart, une technique d'empreinte digitale GPU à distance qui identifie un appareil en analysant les caractéristiques uniques de sa pile GPU.
DrawnApart exploite les légères variations du comportement du GPU pour identifier les appareils en ligne.
Les chercheurs exploitent les variations du nombre et de la vitesse des unités d'exécution individuelles (EU) dans le GPU pour identifier avec précision un système complet. Pour ce faire, ils utilisent WebGL (Web Graphics Library) pour cibler les shaders du GPU avec une série d'opérations graphiques spécifiquement conçues pour cette tâche.
Le résultat est une trace de plusieurs mesures de synchronisation qui indiquent la durée dont l'UE ciblée a besoin pour rendre la scène. Les variations dans les informations de trace résultantes servent de marqueurs distinctifs qui permettent l'identification ou la « prise d'empreintes digitales » de différents GPU, même identiques.
Moyens possibles de lutter contre les empreintes digitales du GPU
Certains d'entre nous peuvent considérer la vie privée en ligne comme un droit fondamental, mais l'introduction de l'empreinte GPU soulève des inquiétudes quant à son érosion potentielle. Voici des moyens possibles de lutter contre les empreintes digitales du GPU.
1. Désactiver WebGL
Étant donné que DrawnApart dépend de WebGL pour fonctionner, vous pouvez empêcher le suivi via cette méthode en désactivant WebGL. Bien que la désactivation de WebGL reste une option, elle n'est peut-être pas idéale. De nombreux sites Web, dont Amazon, IKEA et Microsoft Office Online, en dépendent, et sa désactivation entraînerait un accès limité à ces sites.
2. Blocage de script
Une autre façon de lutter contre les empreintes digitales du GPU consiste à utiliser une technique de blocage de script qui bloque l'accès à des sites Web ou à du contenu potentiellement dangereux. Cependant, les chercheurs préviennent que les listes de filtres seules peuvent ne pas suffire pour protéger votre vie privée dans toutes les situations.
3. Modification des valeurs d'attribut
Vous pouvez également aborder la technique des empreintes digitales en modifiant les valeurs nécessaires pour suivre un utilisateur. Cela peut être fait de deux manières: en ajoutant du bruit aux valeurs ou en les rendant similaires à ce que la plupart des gens ont.
Par exemple, le navigateur Tor fait apparaître tous les utilisateurs de la même manière en rendant leurs valeurs d'attribut identiques. Bien que les chercheurs affirment qu'il s'agit d'une solution viable, ils soulignent également qu'elle n'est pas infaillible.
4. Empêcher l'exécution parallèle, la répartition déterministe et les mesures de temps
Pour contrer l'empreinte GPU, les chercheurs recommandent d'empêcher l'exécution parallèle, la répartition déterministe et les mesures de temps. La combinaison des trois mesures peut répondre pleinement à la menace pour la vie privée en ligne. Cependant, leur efficacité dépend de la mise en œuvre pratique et efficace par WebGL et les développeurs de navigateurs.
Protégez-vous des empreintes digitales
Les GPU peuvent être utilisés pour créer des empreintes digitales uniques pour un suivi Web persistant. Cela pourrait signifier qu'un simple clic erroné sur un site Web pourrait suffire à identifier de manière unique le GPU d'un utilisateur, ce qui présente un risque pour la confidentialité et la sécurité de l'utilisateur.
De plus, il n'y a pas de lois spécifiques régissant le suivi des utilisateurs via les empreintes digitales GPU. Cette faille permet aux sites Web malveillants de suivre les utilisateurs sans leur consentement, affaiblissant ainsi l'efficacité des lois qui exigent le consentement de l'utilisateur pour activer les traceurs Web, comme les cookies.
