Qu'est-ce que l'empreinte digitale WebGL ?
Identification par empreinte WebGL Il s'agit d'une méthode d'identification du navigateur qui extrait des informations au niveau du GPU à partir de l'API WebGL afin de créer une signature de périphérique quasi unique. Elle combine la chaîne de caractères du fabricant de la carte graphique, la chaîne complète du moteur de rendu du pilote et la sortie en pixels d'une scène 3D rendue. Aucune autorisation de l'utilisateur n'est nécessaire pour collecter ces valeurs.
Comment fonctionne l'empreinte digitale WebGL ?
Lorsqu'une page se charge, JavaScript interroge le contexte WebGL pour obtenir deux paramètres d'extension : UNMASKED_VENDOR_WEBGL et UNMASKED_RENDERER_WEBGL. Ces fonctions renvoient le nom du fabricant du GPU et la chaîne complète du moteur de rendu, y compris le modèle de la carte, la version du pilote et le backend de rendu. Sur un ordinateur Windows équipé d’une carte NVIDIA, cette chaîne pourrait se présenter ainsi : « ANGLE (NVIDIA, NVIDIA GeForce RTX 4070 Direct3D11 vs_5_0 ps_5_0, D3D11) » (BrowserLeaks - Test d'empreinte digitale WebGL, 2025).
Au-delà de la chaîne de caractères du pilote, un script peut générer une scène 3D masquée et lire les pixels ainsi obtenus. Les différences entre les cartes graphiques et les versions de pilotes entraînent des résultats de rastérisation légèrement différents, de sorte que le hachage des pixels ajoute un niveau supplémentaire d'entropie. Ensemble, ces deux signaux permettent d'identifier un appareil d'une session à l'autre, même après la suppression des cookies.
Les systèmes de suivi et de lutte contre la fraude utilisent les données WebGL comme l'une des sources d'une pile d'empreintes plus large. Elles s'associent naturellement aux empreintes « canvas » et audio, car ces trois signaux proviennent de pipelines de rendu dépendants du matériel, ce qui les rend plus difficiles à usurper de manière systématique.
Foire aux questions
Non. Les valeurs WebGL proviennent du matériel GPU et des paramètres du pilote, et non des données stockées par le navigateur. La suppression des cookies n'a aucun effet sur les informations que la carte graphique transmet au navigateur.
La chaîne de rendu suffit souvent à elle seule à identifier un appareil et à déterminer son modèle ainsi que la version de son pilote. La plupart des systèmes de suivi l'associent à des signaux relatifs au canvas, à l'audio et aux polices de caractères afin d'obtenir une plus grande précision sur des populations d'utilisateurs plus importantes.
Les systèmes de détection des bots comparent la chaîne de caractères du moteur de rendu WebGL à des profils de navigateurs sans interface graphique connus. Les environnements sans interface graphique renvoient souvent des chaînes de caractères de GPU génériques ou incohérentes, ce qui déclenche un signal d'alerte et peut entraîner des étapes de vérification supplémentaires.