"en tenant compte de l'existant, un vrai risque supplèmentaire" revient à dire qu'on passe d'une situation problématique à une situation encore plus merdique!
Non, ce que je veux dire, c'est que les systèmes de traçage avancés se basent sur un
ensemble de propriétés pour établir une empreinte de l'utilisateur ; mais qu'en l'occurrence, l'entropie apportée par l'adresse IP locale n'est pas significative par rapport à la masse de données déjà utilisable dans la pratique. Que ça n'apporte pas de plus-value réelle pour la conception de ce genre de mécanisme, en somme.
Aujourd'hui, le comportement typique d'une box est d'offrir aux clients de son NAT une adresse quelque part dans 192.168.1.0/24... En définitive, on se retrouve avec une entrée qui admet, pour le très gros de la masse d'utilisateurs, à peine
quelques centaines de valeurs possibles (bon, les utilisateurs d'entreprise pourront bien avoir quelque chose de plus original en 10.x.x.x, mais cela reste marginal à partir du moment où l'on considère un mécanisme de traçage d'une certaine échelle...), et qui n'est même pas stable ! Donc quand il est question de comparer avec :
- "le test de nombreuses fonctionnalités spécifiques au navigateur" permet de distinguer les versions de navigateurs (c'est pour ça que le User-Agent HTTP n'est pas vraiment LE problème) pas les utilisateurs; ou les plugins installés, ou les fonts disponibles, ou les caractéristiques de ces fonts (taille). C'est inévitable vu qu'on peut mesurer le rendu d'une page HTML et les positions des retours à la ligne. Mais on peut avoir de nombreuses configs identiques.
Déjà, il n'est pas non plus question de distinguer l'utilisateur ici, mais juste une de ses machines, et juste tant qu'elle restera connectée à ce routeur, et juste tant que les aléas de l'attribution DHCP voudront bien lui laisser son adresse... Ensuite, le nombre de configurations possibles en est ici d'autant plus réduit par la plage sur laquelle les routeurs grand public font leurs allocations d'adresses. Au final, je ne suis pas convaincu qu'on dispose d'un outil plus puissant que le canvas fingerprinting (qui ne relève pas du seul navigateur, mais davantage d'une combinaison navigateur+OS+GPU) en matière d'identification...
- Le mode navigation privée marche. Effacer les données de navigation marche. Tout cela doit suffit (merci de préciser si ce n'est pas le cas) pour "les trois tonnes de façons de tracer un utilisateur avec du JavaScript", "la manipulation du cache navigateur", etc.
Ça peut suffire, ou pas... ça dépend surtout du navigateur. Il est vrai que les fonctionnalités de navigation privée se sont significativement améliorées dernièrement, face à des outils comme
Evercookie.
mais pas de contourner le proxy SOCKS : j'ai un proxy SOCKS mais Chrome a décidé de parler UDP en contournant la config de proxy, c'est une violation de sécurité. Le proxy n'est pas là pour faire joli, ce n'est proxy SOCKS sauf pour UDP, c'est proxy SOCKS point.
[...]
N'importe quel système NAT ou proxy HTTP ou proxy SOCKS qui cache l'adresse IP de l'utilisateur est neutralisé. En particulier les VPN "hide my ass".
Si c'est bien l'adresse IP WAN qui est révélée dans le cadre de l'utilisation du proxy SOCKS, clairement, c'est un comportement indésirable, contre-intuitif et enclin à la vulnérabilité.