L’identification d’un utilisateur est devenu un enjeu particulièrement majeur pour les régies publicitaires sur Internet : plus un utilisateur est identifié précisément, plus les publicités pourront être ciblées efficacement, et plus elles généreront de revenus. Les régies rivalisent dont d’ingéniosité pour trouver des moyens de reconnaissance toujours plus efficaces, qui relèguent le bon vieux cookie au rang de technologie préhistorique… Et tant pis pour la vie privée.
Les cookies ont en effet un défaut presque rédhibitoire du point de vue des régies publicitaires : l’utilisateur a le contrôle dessus. Il peut en effet configurer son navigateur pour refuser les cookies, il peut les supprimer aussi souvent qu’il le veut quand il les accepte… L’adresse IP est pour sa part un moyen de reconnaissance assez peu fiable, puisqu’un utilisateur peut changer régulièrement d’IP, tandis qu’à l’inverse, une même IP peut être partagée par des dizains d’utilisateurs, voir bien plus… Alors, que faire ?
Depuis quelques temps, c’est le principe du « panopticlick » qui se développe. Ce système consiste à obtenir un maximum d’information sur la configuration logicielle et matérielle utilisée par une personne (type et version du navigateur, liste des plug-ins installés, liste des polices disponibles, définition de l’écran, etc…). Plus les informations sont détaillées, plus la probabilité que deux visites exposant exactement les mêmes informations correspondent à un seul utilisateur (ou plutôt, à un seul ordinateur). Mais avec le mobile, cette solution atteint aussi ses limites : les environnements mobiles sont plus fortement contraints (peu, voir pas du tout de plug-ins, pas de polices additionnelles, etc…), limitant le caractère discriminant de ces informations… Mais un chercheur de Standford semble avoir trouvé la solution ultime…
En effet, les appareils mobiles sont quasiment tous dotés d’accéléromètres, qui sont interrogeables par un site web, et ces accéléromètres présentent toujours de petits défauts de calibration qui peuvent permettre de les identifier de façon unique.
Le chercheur a d’ailleurs mis en ligne un site permettant de tester la signature de son appareil mobile.
La méthode semble heureusement encore largement insuffisante pour une identification précise. Tout d’abord, la mesure des caractéristiques de l’accéléromètre nécessite de poser l’appareil sur une surface dans un sens, puis dans l’autre, ce qui peut difficilement être fait à l’insu de l’utilisateur (mais les publicitaires regorgeront sans doute d’idées pour inciter l’utilisateur à faire la procédure…). Ensuite, en effectuant la procédure deux fois de suite, l’écart de mesure peut être assez « important » (1% d’écart sur une des valeurs dans mon cas), diminuant d’autant la qualité de l’identification. Mais nul doute que certains vont maintenant travailler à améliorer l’efficacité de cette méthode…
Heureusement, les accéléromètres devraient devenir de plus en plus précis au fil du temps, ce qui devrait réduire les possibilités d’une telle exploitation.
Avec mon vieux smartphone ça ne fonctionne pas.
Mais pour les autres on ne peut pas désactiver l’autorisation de consulter l’accéléromètre ?
À ma connaissance, c’est pas désactivable.
L’accéléromètre est généralement considéré comme un périphérique d’entrée, au même titre que l’écran tactile ou le clavier, pas comme une donnée personnelle, donc les paramètres de confidentialités ne proposent pas de le désactiver… Cela dit, ça pourrait changer si ce genre de méthode fait ses preuves…
Au pire ça fait une donnée supplémentaire pour améliorer les critères.
Les accéléromètres des téléphones pourraient déjà être beaucoup plus précis.
Sur mon tel(Wiko CS), de mémoire, il a une amplitude de mesure de +/- 16G échantillonnés sur 10 bits. Le même fabricant propose des accéléros identiques mais avec une plage de mesure bien plus faible et donc une meilleure définition. Quand on passe sur la FFT, pour peu que l’accélération soit un minimum répétable, les résultats sont surprenants (pour ne pas dire bluffants).