Les données de navigation web n’ont rien d’anonyme
Une recherche dévoile qu’il n’est pas compliqué d’identifier un individu et son historique web à partir de données de navigation soi-disant «anonymisées».
Les données «anonymisées» ne garantissent pas forcément la protection de la sphère privée. Présentée lors de la récente conférence DEF CON, consacrée à la cybersécurité, une recherche menée par la journaliste allemande Svea Eckert et le data-scientist Andreas Dewes montre qu’il n’est pas si compliqué de connaître l’historique de navigation web d’un individu. Les deux chercheurs sont par exemple parvenus à identifier les habitudes d’un juge sur des sites pornographiques et la marque de médicaments achetés par une politicienne allemande.
Pour identifier des internautes se cachant derrière des données de navigation soi-disant «anonymisées», les chercheurs ont récolté 3 milliards d’URL visitées par 3 millions d’utilisateurs en Allemagne. Pour se procurer ces données, il leur a suffi de créer le site web d’une fausse agence de webmarketing, avant de demander à des data-brokers un échantillon de données de navigation (des listes d’adresses URL couplées aux informations de dates et heures obtenues par divers moyens, notamment via certaines extensions pour navigateur web). Même les visites de sites en mode de navigation privée étaient fournies.
Des historiques extraites d’identifiants sur Twitter et Xing
Les chercheurs ont ensuite pu identifier les internautes en s’appuyant sur différentes méthodes qu’ils jugent peu complexes. Par exemple à partir des URL de pages d’administration de profils de réseaux sociaux comme Twitter et Xing, qui intègrent un identifiant dans l’URL. En croisant ces informations avec quelques liens partagés par l’utilisateur via ces réseaux sociaux, les chercheurs affirment être parvenus à extraire l'historique de navigation d'un individu sur une période d’un mois. La recherche démontre que seuls 10 sites web suffisent à recréer ensuite l’empreinte digitale d’une personne.
Sur son blog, Svea Eckert confie avoir été profondément surprise à quel point les données de navigation étaient faciles à «désanonymiser». Elle souligne: «Les historiques de navigation sont une partie très sensible et partiellement compromettante de vos données personnelles. Elles ne devraient ni être collectées, ni être vendues.»