Saviez-vous que l'on peut établir votre profil à partir des extensions de navigateur que vous utilisez ? Les annonceurs peuvent détecter quelles extensions sont installées et s'en servir pour se faire une idée du type d'utilisateur que vous êtes.
Par exemple, êtes-vous fier d'être un fin chasseur de bonnes affaires en ligne qui ne paie jamais le prix fort ? Peut-être utilisez-vous une extension d'achat qui parcourt le Web à la recherche de codes promotionnels valides. Êtes-vous un développeur qui crée des outils en ligne ? Vous utilisez peut-être des extensions pour analyser les performances d'un site, vérifier son accessibilité ou inspecter les éléments d'une page. Ou peut-être êtes-vous une personne productive ? Vous utilisez probablement des extensions pour la gestion des onglets, les résumés de contenu ou même le suivi des tâches chronométrées.
Les annonceurs s'intéressent à vos extensions de navigateur, car celles-ci révèlent à quel type de public vous appartenez et ce que vous êtes susceptible d'acheter. Mais il n'y a pas que les annonceurs. Plus il y a de données vous concernant en circulation, plus les escrocs, les usurpateurs d'identité et les harceleurs ont de matière à exploiter.
Si un site web parvient à détecter ce que vous avez installé, il peut en savoir plus sur vous que vous ne le pensez.
Il ne s'agit pas d'un problème hypothétique. Des rapports récents ont révélé que LinkedIn des scripts pour analyser les navigateurs des visiteurs à la recherche de plus de 6 000 Chrome , puis associait ces données aux profils des utilisateurs.
Et plus tôt cette année, des cybercriminels ont piraté Gravy Analytics, un important courtier en données. Il s'agit d'une entreprise peu connue qui collecte d'énormes quantités de données de localisation provenant de smartphones. Bien que cette entreprise collecte ces données en toute légalité, cette intrusion a exposé des informations hautement sensibles et mis en danger des millions de personnes.
Quelles extensions peuvent être profilées ?
L'année dernière, un groupe d'étudiants en doctorat a mené une étude visant à déterminer précisément comment certains sites web suivent les utilisateurs grâce aux extensions de navigateur qu'ils utilisent. L'un d'entre eux a dressé une liste impressionnante de plus de 10 000 extensions. Leurs conclusions ont montré qu'il n'est pas tout à fait possible pour une extension de se dissimuler sans apporter certaines modifications à la technologie sous-jacente du navigateur.
Prenons l'exempleBrowser Guard Malwarebytes Browser Guard . Il doit communiquer en interne pour vérifier des éléments tels que « Ce site figure-t-il dans la liste blanche ? » ou « Y a-t-il un incident de sécurité dont nous devons informer l'utilisateur ? ». En raison du fonctionnement des navigateurs, ce système de messagerie n'est pas totalement isolé de la page Web, ce qui signifie qu'il pourrait être surveillé.
On pourrait penser que chiffrement ce problème, mais ce n’est pas si simple. Si une seule extension chiffre ses données d’une manière spécifique, ce comportement devient en soi une empreinte unique.
Comment nous avons rendu Browser Guard
Cela dit, nous avons intégré de nouvelles fonctionnalités à Browser Guard il soit plus difficile pour les annonceurs et les escrocs de détecter sa présence. En restant invisible, Browser Guard les informations auxquelles les autres peuvent avoir accès et limite leurs possibilités de réaction.
Utilisation des API de stockage du navigateur
Toute donnée laissée sur la page peut permettre de déterminer quelles extensions sont installées.Browser Guard les outils d'extension mis à disposition par les éditeurs de navigateurs afin d'éviter de laisser ce type de traces.
Utilisation d'URL dynamiques
use_dynamic_url est un paramètre que vous pouvez activer dans le fichier manifeste de l'extension de navigateur.
- Ce paramètre est désactivé par défaut dans Chrome Edge.
- Firefox active ce comportement par défaut, et il n'y a aucun moyen de le désactiver.
Qu'est-ce que cela implique pour l'identification par empreintes digitales ?
Auparavant, un site web pouvait simplement vérifier la présence de ressources spécifiques, comme une image chargée par une extension. S'il trouvait cette ressource, il savait alors que l'extension était installée.
Mais les URL dynamiques génèrent un nouvel identifiant unique pour chaque session de navigation ; ainsi, lorsqu'un site tente la même astuce, l'extension semble ne pas exister.
En fait, nous avons constaté que cette technique est également utilisée par certains anti-bloqueurs de publicités pour détecter quel bloqueur de publicités est actif sur l'ordinateur.
Ce que les autres peuvent voir concernant vos extensions (Chrome )
Si vous lisez ceci sur Chrome, cliquez sur le bouton ci-dessous pour voir quelles extensions installées peuvent être identifiées à l'aide de ressources accessibles au public — la même technique que celle décrite dans cet article.
Installez ensuite Browser Guard Chrome et constatez par vous-même qu'il préserve votre confidentialité.
