CreepJS : Comment le test d’empreinte digitale du navigateur vous perçoit
Ouvrez une simple page web et, avant même de cliquer, elle repère votre navigateur parmi des millions d'autres. Pas de connexion, pas de cookie, pas de demande d'autorisation. Effacez votre historique, passez en navigation privée, utilisez un VPN : la page vous reconnaît souvent quand même. Elle exploite non pas votre adresse IP, mais les milliers de petites particularités que votre navigateur transmet gratuitement. CreepJS est l'outil qui démontre votre vulnérabilité, et après avoir vu son fonctionnement, l'anonymat sur Internet semble bien moindre. Ce guide explique ce qu'est CreepJS, comment il vous identifie, comment lutter contre l'érosion de la confidentialité de votre navigateur et pourquoi toute personne gérant plusieurs comptes crypto devrait s'en préoccuper.
Qu'est-ce que l'empreinte numérique du navigateur ?
L'empreinte numérique du navigateur est une identification sans étiquette. Au lieu de déposer un cookie sur votre appareil et de le lire ultérieurement, un script collecte discrètement les dizaines de détails que votre navigateur révèle simplement en chargeant une page, puis les combine en une seule valeur, souvent unique à votre navigateur. La résolution de votre écran, vos polices installées, votre fuseau horaire, votre chaîne d'agent utilisateur , la façon précise dont votre carte graphique affiche une image : chacune de ces informations est anodine prise individuellement, mais leur combinaison permet de décrire un navigateur et presque aucun autre.
À quel point cette combinaison est-elle unique ? Dans une étude de référence de l’EFF , Peter Eckersley a constaté que 83,6 % des navigateurs étaient uniques parmi les visiteurs ayant effectué le test, ce pourcentage atteignant 94,2 % une fois les détails des plugins inclus. L’empreinte numérique contient environ 18,1 bits d’informations d’identification. Une étude ultérieure, menée en 2018 auprès de deux millions de visiteurs d’un site web grand public, a estimé le taux d’unicité réel à un niveau inférieur, autour de 33,6 %, car les utilisateurs ordinaires ont tendance à privilégier des configurations similaires. La réalité se situe entre ces deux chiffres, et dans tous les cas, plus votre navigateur est inhabituel, plus votre empreinte numérique unique vous trahit.
Cette technique est bien plus répandue qu'on ne le pense. Une étude menée par Princeton sur le million de sites web les plus populaires a révélé que l'empreinte numérique était présente sur environ 1,6 % d'entre eux, dépassant les 5 % des sites les plus fréquentés. Des mesures ultérieures l'ont estimée à près de 10 % des 100 000 premiers sites en 2021. Son impact est également inégal : une étude d'AmIUnique a montré qu'environ 90 % des navigateurs de bureau étaient uniques, contre environ 81 % sur mobile, où le matériel est généralement plus homogène. D'une manière ou d'une autre, l'empreinte numérique s'insinue discrètement sur une grande partie des pages que vous consultez déjà.
Qu'est-ce que CreepJS et qui l'a créé ?
CreepJS n'est pas un traqueur cherchant à vendre vos données ; c'est une bibliothèque et un miroir d'empreinte numérique open source, créé par le développeur Abraham Juliot pour démontrer la fragilité de la plupart des systèmes de protection de la vie privée et le fonctionnement concret de l'empreinte numérique. Il vous suffit de pointer votre navigateur vers la démo en direct ; elle exécute ses tests et vous fournit un rapport indiquant à quel point votre navigateur est identifiable et fiable.
Ce projet, hébergé sur GitHub sous une licence MIT permissive et comptant environ 2 400 étoiles, regroupe plus de vingt catégories de tests sur une seule page. Il s'apparente davantage à un outil de recherche qu'à un véritable bloqueur de bots, contrairement aux solutions anti-détection utilisées par les chercheurs en protection de la vie privée et les fournisseurs de solutions de détection pour évaluer leurs propres travaux. Si votre configuration furtive ne résiste pas à CreepJS, elle ne résistera pas non plus à un service d'empreinte numérique commercial sérieux ; c'est précisément pourquoi cet outil est devenu l'examen officieux que tous les professionnels préparent.
Le rapport généré par cet outil gratuit est exceptionnellement détaillé. Outre le score de confiance principal, il répertorie chaque signal mesuré, signale ceux qui semblent avoir été manipulés et indique la stabilité de votre empreinte numérique lors du rechargement de la page. C'est pourquoi les développeurs le consultent en priorité lorsqu'ils veulent vérifier si une modification de la confidentialité a réellement eu un impact ou si ce n'était qu'une illusion.
Comment CreepJS fonctionne en interne
La plupart des analyses d'empreintes numériques se contentent de lire vos paramètres. CreepJS va plus loin : il fait exécuter des actions à votre navigateur (dessin d'une image, rendu 3D, analyse d'empreintes audio sur un son généré, déclenchement de minuteurs), puis étudie le comportement de votre machine pour chaque tâche. Le « comment » est bien plus difficile à falsifier que le « quoi », et c'est ce qui fait la réputation de CreepJS.
Les signaux que CreepJS collecte
Cet outil exploite de nombreuses sources, et chacun de ces attributs de navigateur révèle des informations légèrement différentes sur votre appareil. Le tableau ci-dessous présente les principaux attributs et les données qu'ils fournissent.
| Signal | Ce que cela révèle |
|---|---|
| Toile | De minuscules différences de pixels lors du rendu de texte et de formes par votre appareil. |
| WebGL / GPU | Votre matériel et pilote graphique, exposés par rendu 3D |
| Audio Web | Comment votre système audio traite une onde sonore générée |
| Polices installées | La liste exacte des polices de caractères de votre système |
| Résolution d'écran | Taille de l'écran, profondeur des couleurs et rapport de pixels |
| Agent utilisateur | Déclarations concernant le navigateur, la version et le système d'exploitation |
| WebRTC | Informations du réseau local susceptibles de fuiter malgré un VPN |
Un script lit la plupart de ces informations via JavaScript et les API du navigateur, y compris les plugins signalés par ce dernier. CreepJS exécute ensuite les mêmes requêtes dans des web workers et des frames cachées afin de recouper les réponses, car un navigateur modifié peut donner une réponse dans la fenêtre principale et une autre ailleurs.
Score de confiance, entropie et mensonges
CreepJS condense chaque signal en un hachage, une valeur compacte qui représente votre profil complet. À partir de ce hachage, il calcule un score de confiance, qui reflète moins votre originalité que la cohérence et la conformité de votre navigateur aux attentes. Une configuration simple et cohérente obtient un bon score, même si elle est courante.
Le plus ingénieux, c'est la détection des mensonges. CreepJS repère les « mensonges », ces petites contradictions qui apparaissent lorsqu'une personne modifie son navigateur, comme par exemple un agent utilisateur indiquant macOS alors que les polices et la pile graphique installées indiquent clairement Windows. Falsifier une seule valeur crée une incohérence ailleurs, et cette incohérence est souvent plus flagrante que le signal initial que l'on tentait de dissimuler.
CreepJS va plus loin que la simple vérification des étiquettes. Il mesure également la durée de certaines opérations et examine la façon dont votre moteur JavaScript arrondit les résultats mathématiques, car les différentes versions de moteur arrondissent les calculs trigonométriques de manières subtilement différentes, et un numéro de version falsifié ne peut pas modifier le comportement réel du moteur. En accumulant suffisamment de ces vérifications discrètes, un déguisement pourtant bien ficelé finit par ressembler à un costume.
Ce que CreepJS révèle sur les navigateurs sans interface graphique
C'est ce qui inquiète les scrapers et les créateurs de bots. Les outils d'automatisation de navigateur classiques s'activent presque instantanément, car une session Selenium ou Playwright par défaut présente des indices évidents : l'indicateur `navigator.webdriver` défini sur `true`, un agent utilisateur `HeadlessChrome` et des signaux qui ne correspondent pas à ceux d'un navigateur humain. Les correctifs furtifs atténuent ces indices, mais les suppriment rarement complètement.
Des tests indépendants menés avec CreepJS révèlent l'écart important entre un bot basique et un bot sophistiqué. Les chiffres ci-dessous proviennent de rapports sur la détection de bots qui ont soumis chaque outil au même test d'empreinte digitale.
| Configuration de l'automatisation | Détection CreepJS |
|---|---|
| Vanilla Selenium / Dramaturge | ~100% détecté |
| Dramaturge avec plugin furtif | ~40% détectés |
| ChromeDriver indétectable | ~31% détectés |
| Camoufox (Firefox renforcé) | score sans tête proche de 0 % |
La leçon à retenir pour quiconque développe un scraper web est claire : désactiver une seule option ne suffit pas, car CreepJS vérifie la cohérence de l'ensemble du profil. Un outil d'automatisation à moitié dissimulé obtient souvent un score inférieur à celui d'un outil honnête sur CreepJS. L'objectif n'est pas de vider un navigateur de ses fonctionnalités jusqu'à ce qu'il n'ait plus rien à signaler, car un profil vide est en soi suspect, mais de faire en sorte qu'une session sans interface graphique s'affiche, se comporte et s'exécute exactement comme un véritable navigateur sur un véritable écran. C'est une tâche bien plus complexe que de simplement désactiver une option.
Déjouer la détection CreepJS pour les comptes crypto
Voici un angle rarement abordé dans les présentations de CreepJS : les plateformes d’échange et de largage aérien identifient leurs visiteurs pour la même raison que les casinos surveillent les joueurs : repérer une personne gérant discrètement plusieurs comptes. Une seule empreinte digitale partagée peut relier tout un parc de portefeuilles « distincts » à une seule machine.
Pourquoi les plateformes d'échange et les airdrops vous identifient-ils ?
L'enjeu est de taille. Lors de sa campagne de démantèlement des systèmes Sybil pour les airdrops en mai 2024, le protocole LayerZero a identifié 803 093 adresses suspectées de manipulation de comptes multiples, et environ 59 % des demandeurs ont finalement été exclus. L'identification des appareils et des navigateurs est l'un des outils les plus efficaces utilisés par les plateformes pour relier ces comptes. Créer de nouveaux portefeuilles est instantané, mais obtenir une empreinte numérique véritablement nouvelle est bien plus complexe.
Que font réellement les navigateurs anti-détection ?
C'est là qu'interviennent les navigateurs anti-détection , une catégorie qui inclut Multilogin, GoLogin, AdsPower et Dolphin Anti . Plutôt que de masquer votre empreinte numérique, ils attribuent à chaque profil un profil complet et cohérent, de sorte que chaque compte ressemble à une personne différente et non à la même personne déguisée. La demande a explosé, et AdsPower, à lui seul, annonce une croissance de son nombre d'utilisateurs, passant d'environ 100 000 en 2020 à près de 9 millions en 2025. Leur point fort ? La cohérence. Un profil parfaitement cohérent est préférable à un profil astucieusement modifié à trois endroits et contradictoire à un quatrième. En coulisses, chaque profil transmet un ensemble de valeurs identiques. Un agent utilisateur crédible, une liste de polices, une chaîne de caractères GPU, une taille d'écran et un fuseau horaire correspondent tous au même appareil virtuel. Les meilleurs outils les associent comme un tout, au lieu de modifier un seul champ en espérant que le reste convienne. Une mise en garde s'impose toutefois. Une empreinte digitale propre protège la confidentialité de votre connexion, mais elle ne remplace pas l'autosurveillance et une sécurité opérationnelle rigoureuse, et la gestion de plusieurs comptes peut enfreindre les conditions d'utilisation d'une plateforme.
Comment réduire votre score de confiance CreepJS
Une visite guidée concrète est plus rare qu'on ne le pense, et la règle contre-intuitive qui la sous-tend est qu'un aspect ordinaire et cohérent vaut mieux qu'un aspect parodique. Voici une méthode logique à suivre :
1. Commencez par un profil d'appareil réel et courant et résistez à la tentation de falsifier partiellement des valeurs individuelles, car chaque incohérence que vous créez est quelque chose que CreepJS peut signaler comme un mensonge.
2. Pour un anonymat total, utilisez le navigateur Tor , qui divise votre écran en sections fixes grâce au letterboxing et fait en sorte que chaque machine Windows signale le même Windows et chaque Mac le même macOS, vous permettant ainsi de vous fondre dans la masse.
3. Prenons l'exemple de Brave, dont le farbling ajoute une petite touche aléatoire par session aux lectures du canevas et de l'audio, de sorte que les valeurs changent d'un site à l'autre au lieu de former un identifiant stable.
4. Évitez les extensions exotiques et les paramètres inhabituels, car chaque choix étrange augmente votre entropie et vous rend plus unique, et non moins.
5. Pour le travail sur plusieurs comptes, privilégiez un navigateur anti-détection approprié avec un profil cohérent plutôt qu'une multitude d'extensions de confidentialité, puis effectuez un nouveau test sur la démo CreepJS en direct et observez le nombre de mensonges, et pas seulement le score affiché.
Commencez par les comptes qui comptent vraiment, effectuez le test honnêtement et considérez le résultat comme un retour d'information plutôt que comme une note que vous devez obtenir parfaitement du premier coup.
Les limites du contournement du fingerprinting du navigateur
On ne peut jamais vraiment lutter contre le fingerprinting ; on ne fait que se fondre dans la masse, et CreepJS illustre à quel point cette fusion peut être ténue. Les outils anti-findingprinting se sont améliorés, tout comme les méthodes de détection. La tendance générale n'est guère encourageante pour la protection de la vie privée. Google a maintenu les cookies tiers en vigueur en avril 2025 après avoir promis pendant des années de les supprimer, et plus tôt dans l'année, l'entreprise a discrètement levé son interdiction du fingerprinting pour les annonceurs – une décision que l'autorité britannique de protection des données a qualifiée d'irresponsable. Le fingerprinting se développe, il ne recule pas ; l'objectif réaliste est donc un profil cohérent à faible entropie qui se fond dans la masse, et non une invisibilité totale.
Votre empreinte digitale, CreepJS et la confidentialité
Lancez CreepJS sur votre profil une fois, et laissez le score de confiance vous servir d'avertissement. L'objectif n'est pas de paraître invisible, ce qui ne ferait que vous rendre plus étrange, mais d'avoir une apparence ordinaire et cohérente, et d'adapter l'outil à la situation : Tor pour l'anonymat, un profil anti-détection cohérent pour la gestion de plusieurs comptes. L'empreinte numérique est un jeu de duplicité où l'on se fond dans la masse. La vraie question est donc simple : quand avez-vous vérifié pour la dernière fois ce que votre navigateur envoie au web ?
