Qu'est-ce que l'empreinte digitale sur toile ?
Identification par empreinte de toile est une technique de suivi par navigateur qui consiste à insérer des éléments graphiques invisibles dans un code HTML5 <canvas> élément, lit les données de pixels obtenues et les transforme en un identifiant de périphérique stable à l'aide d'une fonction de hachage. Étant donné que les GPU, les pilotes, les systèmes d'exploitation et les moteurs de rendu de polices produisent chacun des pixels légèrement différents à partir d'instructions de dessin identiques, ce hachage est pratiquement unique pour chaque périphérique. Aucun cookie n’est utilisé et rien n’est stocké sur l’ordinateur de l’utilisateur, ce qui rend cette technique difficile à détecter ou à supprimer.
Comment fonctionne l'empreinte digitale sur toile
Un script dessine du texte et des formes sur un élément HTML5 masqué <canvas>, puis appelle les méthodes de l'API Canvas toDataURL() pour relire les données de pixels sous forme d'image Base64 et en calculer le hachage. Les différences subtiles d'un appareil à l'autre au niveau du GPU, des pilotes, du système d'exploitation, du rendu des polices et de l'anticrénelage font du hachage obtenu un identifiant stable (Wikipédia - Empreinte digitale Canvas, 2025). L'ensemble du processus s'exécute en arrière-plan dans le navigateur, sans nécessiter aucune intervention de l'utilisateur.
Les pixels affichés varient car chaque couche de la pile graphique, du micrologiciel de la carte graphique au moteur de composition du système d'exploitation, applique ses propres règles d'arrondi et de fusion. Deux appareils dotés d’un matériel identique peuvent néanmoins produire des résultats différents si les versions de leurs pilotes diffèrent. Cela rend l’empreinte « canvas » plus persistante que les cookies : la suppression du stockage du navigateur n’a aucun effet sur les caractéristiques matérielles sous-jacentes qui déterminent le résultat.
Cas d'usage
Détection des bots et prévention de la fraude. Les plateformes anti-bots intègrent l'empreinte « canvas » dans leurs ensembles de signaux afin de distinguer les navigateurs authentiques des outils d'automatisation « headless » et des environnements émulés. Un navigateur « headless » génère souvent un hachage « canvas » incompatible avec la chaîne « user-agent » déclarée, ce qui signale la requête comme suspecte.
Détection de la fraude publicitaire et du trafic non valide. Les prestataires de vérification publicitaire utilisent les empreintes « canvas » pour identifier un même appareil parmi plusieurs impressions frauduleuses, même lorsque les adresses IP changent. Cela permet aux annonceurs de détecter le trafic non valide au niveau de l'appareil plutôt qu'au seul niveau du réseau.
Environnements de navigation réalistes pour la collecte de données sur le Web. Les développeurs qui collectent des données sur des sites protégés contre les bots ont besoin que leur environnement de navigation génère un hachage « canvas » correspondant à celui d'un véritable appareil grand public. Le fait d'acheminer les requêtes via un réseau de proxys résidentiels, où le trafic transite par du matériel grand public authentique doté de véritables GPU et de piles de pilotes, permet d'obtenir des empreintes numériques authentiques, plutôt que les résultats uniformes caractéristiques des instances « headless » côté serveur.
Foire aux questions
L'empreinte « canvas » est principalement utilisée pour le suivi des utilisateurs d'un site à l'autre sans recourir aux cookies, pour la détection des bots et des navigateurs émulés, ainsi que pour la prévention de la fraude au niveau de l'appareil. Les systèmes anti-bots l'associent généralement à des dizaines d'autres signaux afin d'établir un score de confiance.
Certains navigateurs et extensions axés sur la confidentialité bloquent ou randomisent les données affichées dans le canvas afin d'empêcher l'identification par empreinte numérique. Cependant, une randomisation trop poussée peut elle-même paraître anormale aux yeux des systèmes de détection de bots, car les navigateurs authentiques produisent des hachages cohérents lors de visites multiples sur un même appareil.
Les cookies sont des fichiers stockés que l'utilisateur peut supprimer. La technique de « canvas fingerprinting » génère un identifiant à partir des caractéristiques matérielles et logicielles ; par conséquent, la suppression des cookies, le passage en mode privé ou l'utilisation d'un autre profil de navigateur ne modifient pas le hachage sous-jacent généré par le GPU et les pilotes.
Les deux techniques utilisent le pipeline graphique du navigateur, mais le « fingerprinting » WebGL affiche les scènes 3D en s'appuyant directement sur le GPU, tandis que le « fingerprinting » Canvas fonctionne à l'aide d'instructions de dessin 2D. Il s'agit de signaux complémentaires que les systèmes anti-bots et d'analyse combinent souvent pour renforcer l'identification des appareils.