The End of Fingerprinting As We Know It: How Browser Privacy Protections Are Reshaping Bot Detection
Pendant des années, l’internet a joué avec votre vie privée. Les fournisseurs de navigateurs ont privilégié les fonctionnalités flashy et la compatibilité multiplateforme plutôt que la protection des données des utilisateurs. De nombreux navigateurs ont permis audio, vidéo, et d’autres API web d’accéder directement aux propriétés matérielles et, par conséquent, de créer des surfaces de fingerprinting que de nombreux fournisseurs de gestion des bots (y compris DataDome) ont utilisées pour détecter les incohérences des navigateurs.
Mais le web a subi de nombreuses attaques au cours des dernières années, encourageant les fournisseurs à émettre de nouveaux types de protections pour l’utilisateur, ainsi que des mods dédiés permettant aux utilisateurs d’activer/désactiver les protections, les fonctionnalités, et de modifier les empreintes digitales.
Apple, Mozilla, et Brave se précipitent maintenant pour verrouiller les API qui ont rendu le fingerprinting possible. Le résultat ? Le jeu du chat et de la souris entre les défenseurs de la vie privée et les fournisseurs de sécurité vient d’entrer dans une toute nouvelle phase.
Safari
Safari “Advanced Fingerprinting Protection”
À partir d’iOS 26, Safari activera par défaut la protection avancée contre le fingerprinting pour toutes les sessions de navigation.
Apple améliore l’expérience iPhone avec iOS 26
Qu’est-ce que la protection avancée contre le fingerprinting modifie ?
- APIs de stockage (LocalStorage, IndexedDB, Cache API, SessionStorage, et Blob URLs): Pour empêcher le suivi intersites, ces APIs sont maintenant partitionnées. Cela signifie que les données stockées par un site web ne peuvent pas être accessibles par un autre.
- Canvas, WebGL, et WebAudio APIs: Pour lutter contre le fingerprinting, Safari injecte du bruit dans les données renvoyées par ces APIs. Par exemple, des propriétés comme
AudioContext.sampleRatereviendraient toutes à des valeurs génériques comme 48,000 au lieu de montrer la vraie valeur. - Propriétés de l’écran: Lors des tests, nous avons remarqué des différences dans les valeurs pour deux tests similaires, l’un étant Safari Tahoe (MacOS 26), et le second étant la version précédente. Des propriétés comme
document.clientHeightetwindow.innerHeightont été modifiées alors que les navigateurs avaient la même hauteur effective.- Lors des tests, nous avons détecté que les propriétés suivantes étaient randomisées:
- window.inner{Width|Height}
- screen.avail{Width|Height}
- window.outer{Width|Height}
- Lors des tests, nous avons détecté que les propriétés suivantes étaient randomisées:
Safari “Lockdown Mode”
Le mode Lockdown est une protection optionnelle et extrême conçue pour les très rares individus qui, en raison de qui ils sont ou de ce qu’ils font, pourraient être personnellement ciblés par certaines des menaces numériques les plus sophistiquées. La plupart des gens ne sont jamais ciblés par des attaques de cette nature.
Lorsque le mode Lockdown est activé, votre appareil ne fonctionnera pas comme il le fait habituellement. Pour réduire la surface d’attaque qui pourrait potentiellement être exploitée par des logiciels espions mercenaires très ciblés, certaines applications, sites web et fonctionnalités sont strictement limitées pour la sécurité et certaines expériences pourraient ne pas être disponibles du tout.
https://support.apple.com/en-us/105120
D’après nos premières recherches, ce mode désactive certaines APIs Web dans Safari:
- Audio
- WASM
- GamePad
- WebRTC
Firefox
Lorsque les paramètres de résistance au fingerprinting sont activés dans les préférences avancées de Firefox (la Configuration Editor about:config page), cela peut aider à empêcher les sites web de vous identifier de manière unique en limitant les informations qu’ils peuvent recueillir sur votre appareil.
https://support.mozilla.org/en-US/kb/resist-fingerprinting
Qu’est-ce que Resist Fingerprinting modifie ?
-
- AudioContext.sampleRate: fixé à 44100
- HardwareConcurrency: fixé
- DateTimezone: fixé à UTC (valeur est 0 )
- InstalledFonts: semble ajouter/supprimer des polices
- Propriétés de l’écran modifiées
window.inner{Width|Height}screen.avail{Width|Height}window.outer{Width|Height}screen.orientationscreen.colorDepth
- APIs Web supprimées: lors de mes tests, j’ai trouvé que les valeurs étaient différentes entre les instances avec et sans resistFingerprinting activé. J’ai vérifié manuellement ce que ces APIs Web pourraient être, et j’ai trouvé:
- APIs Web qui sont supprimées par
resistFingerprinting- ImageDecoder
- VideoDecoder
- AudioEncoder
- VideoColorSpace
- VideoEncoder
- AudioDecoder
- AudioData
- EncodedVideoChunk
- VideoFrame
- EncodedAudioChunk
- ImageTrackList
- ImageTrack
- APIs Web qui sont supprimées par
- Voix de synthèse vocale: toutes semblent supprimées
- WebGL
-
- ext.UNMASKED_RENDERER_WEBGL: fixé à
Mozilla
- ext.UNMASKED_RENDERER_WEBGL: fixé à
- À noter : Autres APIs Web affectées
- Requêtes média CSS
- requête d’écran : semble incohérente avec la taille réelle de l’écran
- @media
- device-aspect-ratio: fixé à non pris en charge
- device-screen: fixé à non pris en charge
- Requêtes média CSS
Brave
Brave applique une défense basée sur la randomisation à ses navigateurs en ajustant légèrement les valeurs de canvas et d’audio pour créer une empreinte unique à chaque fois.
Leur protection a trois niveaux:
- Désactivé: aucune protection contre le fingerprinting
- Standard: qui ajoute de petites quantités de randomisation à diverses APIs Web avec une compatibilité maximale
- Maximum: qui ajoute plusieurs couches de protection mais peut casser le support sur certains sites web
Qu’est-ce que Brave Defense modifie ?
- Canvas, WebGL, et WebAudio APIs: une liste complète peut être trouvée ici https://brave.com/privacy-updates/4-fingerprinting-defenses-2.0/#farbling
Tout le monde ne se bat pas pour la vie privée
Nous avons vu comment certains fournisseurs ont fait de la défense contre le fingerprinting un argument de vente de leur stratégie, mais tous ne vont pas dans cette direction.
Google Chrome, avec ~70% de part de marché des navigateurs—autrefois contre le fingerprinting dans Google Ads comme on peut le voir dans cette archive de mai 2021—a pris le chemin opposé en 2025 en supprimant toute mention du fingerprinting dans la page actuelle, avec leur mise à jour de la politique des plateformes de février 2025 ne mentionnant pas du tout le fingerprinting.
Google, étant le principal contributeur de Chromium, est également en position de façonner les capacités techniques disponibles pour tous les navigateurs basés sur Chromium, ce qui inclut Microsoft Edge, Opera, Brave, et de nombreux autres. Cette influence s’étend au-delà des déclarations de politique aux APIs et fonctionnalités réelles qui rendent le fingerprinting soit plus facile soit plus difficile à mettre en œuvre.
Alors que certains navigateurs basés sur Chromium comme Brave ont ajouté leurs propres protections anti-fingerprinting en plus du code de base de Chromium, l’architecture sous-jacente et les comportements par défaut sont encore largement déterminés par les priorités de développement de Google.
Quel est l’impact de ces mesures de confidentialité sur la détection des bots ?
Les mesures anti-fingerprinting déployées par les principaux fournisseurs de navigateurs confirment une tendance significative de l’industrie : le fingerprinting traditionnel côté client, utilisé pour établir une identité utilisateur distinctive et lutter contre les acteurs malveillants, devient de plus en plus peu fiable et à faible entropie.
La conséquence est la dégradation de la qualité des données dérivées de ces surfaces de navigateur spécifiques. Cela conduit à:
- Les données provenant d’identifiants auparavant distinctifs apparaissent maintenant génériques ou randomisées chez différents utilisateurs, rendant plus difficile la différenciation d’un bot sophistiqué utilisant un navigateur amélioré pour la confidentialité d’un utilisateur humain légitime.
- Tenter de suivre des entités malveillantes automatisées à travers plusieurs sessions en utilisant ces surfaces de fingerprinting altérées est maintenant plus difficile.
Comment DataDome reste efficace
Bien que ces mesures introduisent une nouvelle difficulté, il est important de noter que les données affectées ne dégradent pas la détection des bots de DataDome:
- Les données dérivées de ces APIs manipulées sont reclassifiées d’un identifiant de haute confiance à un signal de faible entropie. Son utilité passe de fournir une certitude d’identité distinctive à identifier des modèles de déviation ou d’anomalie au sein d’une base normalisée.
- Notre concentration continue sur l’analyse comportementale (mouvements de la souris, clics) et la télémétrie côté serveur (réputation IP, analyse des en-têtes) fournit des vecteurs de détection résilients qui sont fonctionnellement immunisés contre les restrictions des APIs côté client.
- Au-delà des caractéristiques de l’appareil et du navigateur plus évidentes qui sont activement renforcées contre le fingerprinting, telles que la résolution de l’écran, les détails du GPU, et les listes de polices, un nombre significatif d’autres APIs Web restent des signaux précieux pour l’identification des appareils. Nous enquêtons continuellement sur de nouvelles et anciennes APIs Web pour trouver de nouvelles surfaces de fingerprinting qui pourraient révéler des bots malveillants et des attaques coordonnées.
Les fournisseurs de détection de bots qui prospéreront dans ce nouveau paysage sont ceux qui n’ont jamais mis tous leurs œufs dans le panier du fingerprinting en premier lieu. À mesure que les protections de la vie privée des navigateurs deviennent plus agressives, notre équipe de recherche continue d’explorer les nouvelles APIs Web émergentes, de raffiner les modèles comportementaux, et d’identifier de nouveaux modèles qui séparent les attaques automatisées des utilisateurs légitimes—tout en respectant les limites de confidentialité que les navigateurs établissent.