Présentation des recherches en génie logiciel réalisées par l’équipe-projet Spirals et de leurs applications à la Web privacy, protection de la vie privée en ligne.
L’anonymat numérique est-il encore possible ? Lorsque nous naviguons sur Internet, nous laissons d’innombrables traces numériques de notre activité, lesquelles trahissent nos centres d’intérêt, nos préférences, nos comportements, etc. Ces données, collectées souvent à notre insu, constituent une mine d’informations exploitées en premier lieu dans des buts commerciaux.
Une équipe en pointe sur les sujets de Web privacy
En contrôlant certains paramètres des outils d’exploration du Web, ou en supprimant un historique de navigation, on peut effacer ou contrôler certaines fuites potentielles de données – en particulier celles que permettent les fameux cookies. Une parade qui s’avère cependant inefficace devant des techniques de collectes d’information plus sophistiquées et pernicieuses, comme celle permise par le suivi de « l’empreinte de navigateur », ou browser fingerprinting.
Une technique dont les chercheurs en génie logiciel de l’équipe Spirals[1] connaissent dans le détail les principes… comme les failles ! Ils ont ainsi proposé une méthode pour la neutraliser. Cette solution a inspiré des développements récents dans Brave, un navigateur imaginé par la société américaine Brave Software dont le positionnement sur le marché est le respect de la vie privée en ligne. Cette nouvelle fonctionnalité sera accessible dans les prochaines semaines à ses quelque douze millions d’utilisateurs.
Une redoutable technique de tracking
« Le fonctionnement normal d’un navigateur repose, entre autres, sur divers protocoles d’échanges d’informations et de données, caractérisant par exemple la configuration du terminal informatique à partir duquel s’effectue la connexion (applicatifs, polices de caractère, plugins, etc.…) », explique Lionel Seinturier, responsable de Spirals, une équipe qu’il a contribué à créer en 2014 au centre Inria Lille-Nord Europe.
Toujours plus complexes, plus performants et offrant des fonctionnalités toujours plus variées (vidéo, 3D, etc.), les navigateurs ont cependant besoin d’un plus grand nombre de données pour opérer de façon optimale. La combinaison de ces informations, nécessaires à un fonctionnement fiable et sécurisé, permet de construire une empreinte de navigateur propre à chaque utilisateur et utilisable afin de tracer son activité en ligne.
« Cette empreinte est, pour l’internaute, plus difficile à contrôler que les cookies… et elle peut être aussi plus durable », précise Pierre Laperdrix, chargé de recherche CNRS, membre de l’équipe Spirals, et auteur d’une thèse sur le browser fingerprinting, menée au sein de l’équipe Diverse[2] à Inria Rennes-Bretagne. Ses recherches ont par exemple montré qu’une empreinte de navigateur pouvait persister plusieurs mois : une aubaine pour qui veut connaître l’activité numérique d’un internaute, apprenant ainsi tout de lui !
Une parade issue de travaux académiques
« Mes recherches ont porté sur les usages potentiellement néfastes du fingerprinting et la façon d’en protéger les internautes, explique Pierre Laperdrix. J’ai ainsi proposé une technique consistant à introduire des données imprévisibles dans les informations permettant de construire l’empreinte d’un navigateur… tout en s’assurant que ces perturbations étaient sans conséquences sur son fonctionnement ! » Le résultat ? L’empreinte est comme "floutée" et ne peut être exploitée pour du tracking publicitaire par exemple.
Cette technique, développée par Pierre Laperdrix pendant sa thèse, a fait l’objet de publications en 2017, alors qu’il intégrait l’équipe Spirals. Ces communications scientifiques ont attiré l’attention de Pete Snyder, directeur de développement du navigateur Brave, et contribué à améliorer les performances du logiciel américain. Une reconnaissance de la qualité et de la pertinence des travaux des chercheurs de l’équipe Spirals.
« Orientées vers le fonctionnement concret des mécanismes du numérique et de l’informatique, nos recherches ont une finalité applicative, commente Lionel Seinturier. Nous collaborons ainsi régulièrement avec des éditeurs ou développeurs de solutions informatiques, comme Brave. » Les travaux de l’équipe sur le fingerprinting ont également permis de constituer une base de données sur cette technique et de proposer le site Am I Unique, qui permet d’en expliquer aux internautes les principes et les usages (voir encadré).
« Nos recherches contribuent aussi à faire connaître le fonctionnement d’Internet au grand public, à le sensibiliser aux enjeux de société du numérique, en particulier sur les questions de vie privée », conclut Lionel Seinturier.
Am I unique, un site qui explique le
"fingerprinting" aux internautes
Créé en 2014 par Pierre Laperdrix à l’occasion de son doctorat, le site Am I Unique a pour vocation initiale d’expliquer aux internautes le fonctionnement du browser fingerprinting. Il leur révèle quelles données personnelles sont susceptibles d’être transmises à des tiers via leur navigateur.
Pendant sa première année de mise en ligne, le script développé par le jeune chercheur, sans publicité particulière, a scanné près de 100 000 terminaux, constituant une base de données utile à ses recherches sur les parades à opposer au fingerpritting. Ces informations s’avèrent aujourd’hui précieuses pour l’équipe Spirals afin de développer ses recherches ou de continuer à informer les internautes sur le sujet.
[1]Spirals, Self-adaptation for distributed services and large software systems, est une équipe-projet commune à Inria et à l’université de Lille au sein de l’UMR CRIStAL, dirigée par Lionel Seinturier.
[2]Diverse, Diversity-centric Software Engineering, est une équipe-projet commune à Inria, l’université Rennes 1 et l’Insa Rennes au sein de l’UMR IRISA, dirigée par Olivier Barrais.