Le moteur de recherche DuckDuckGo a nié une affirmation faite dans un message de forum suggérant qu’il se servait du fingerprinting du navigateur.
Disposant de paramètres variés, le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, est souvent utilisé par des sites web par exemple pour diffuser de la publicité ciblée. Parmi ces paramètres, nous pouvons citer l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.
À ce propos, rappelons qu’en début 2017, des chercheurs ont affirmé avoir mis au point une nouvelle technique qui, en plus de fonctionner sur plusieurs navigateurs, pouvait rendre plus précises que les techniques existantes :
« Dans cet article, nous proposons une technique de fingerprinting du navigateur qui permet de pister les utilisateurs non seulement sur un navigateur, mais aussi sur différents navigateurs sur la même machine. Plus précisément, notre approche utilise de nombreuses nouvelles fonctionnalités apportées par les systèmes d’exploitation et au niveau des hardwares, comme celles des cartes graphiques, des CPU. Nous extrayons ces fonctionnalités en demandant aux navigateurs d’effectuer des tâches qui reposent sur le système d'exploitation et les fonctionnalités matérielles correspondantes », ont indiqué les chercheurs.
« Notre évaluation montre que notre approche peut identifier avec succès 99,24 % des utilisateurs contre 90,84 % pour l'état de l’art sur l'empreinte numérique d'un seul navigateur avec le même ensemble de données. En outre, notre approche peut atteindre un taux d'unicité plus élevé que la seule approche multinavigatrice avec une stabilité similaire ».
Le fingerprinting n’est pas nécessairement mauvais, tout est une question de perspective. Par exemple, certains pourraient approuver que les banques puissent s’en servir : s’appuyant sur l’empreinte numérique, la banque pourrait détecter si un individu tente de se connecter depuis un ordinateur qui n’a pas été utilisé pour entrer dans son compte bancaire. La banque pourrait alors vérifier la légitimité de cette opération avec le titulaire du compte via un appel téléphonique. Néanmoins, la plupart du temps, les empreintes numériques soulèvent des inquiétudes sur la vie privée.
En quoi cela dérange si DuckDuckGo fait du profilage ?
Étant donné la position de DuckDuckGo, qui se revendique être le champion de la vie privée dans le domaine des moteurs de recherche, il n’est donc pas étonnant de voir que certains utilisateurs aient été surpris.
Rappelons qu’il s'est taillé une place sur le marché de la recherche en tant qu'alternative pro-vie privée en affirmant qu'il ne fait pas de profilage des utilisateurs pour diffuser des publicités ciblées, mais qu'il affiche des annonces en fonction des mots clés entrés pour effectuer une recherche.
Si DuckDuckGo venait à se servir du fingerprinting de navigateur pour suivre les utilisateurs, cela irait clairement à l'encontre des principes de non-pistage énoncés depuis longtemps.
Un utilisateur a affirmé que :
La réponse de DuckDuckGo
Brian Stoner, le responsable de la recherche de DuckDuckGo, a réfuté l'accusation en ces termes ::
Envoyé par Brian StonerNous utilisons diverses API de navigateur pour offrir une expérience de recherche compétitive par rapport à celle de Google. De nombreuses extensions de protection contre le "fingerprinting" adoptent une approche de terre brûlée, bloquant toute API de navigateur susceptible d'être exploitée par un mauvais acteur.
Gabe Weinberg, PDG de DuckDuckGo, lui a fait écho et a déclaré que cet avertissement est un faux positif :
Envoyé par Gabe Weinberg
