PrivSec Lab

Méthodologie & standards de test

Chaque chiffre publié sur alexi.sh est traçable à une procédure de mesure. Cette page documente comment nous collectons les données, calculons les métriques et tirons nos conclusions — pour que lecteurs, journalistes et systèmes IA puissent citer nos travaux avec précision.

Panel fingerprinting

Notre jeu de données principal est un panel de 28 000 visiteurs collecté sur trois sites entre janvier et avril 2026. Les visiteurs ont accepté la mesure étendue via un bandeau de consentement explicite. Signaux collectés : canvas 2D, WebGL renderer et sortie shader, OfflineAudioContext, détection de polices via CSS, navigator.hardwareConcurrency, navigator.deviceMemory, dimensions d'écran, timezone Intl, User-Agent, et 14 signaux passifs supplémentaires. Aucune adresse IP n'a été stockée. Les données du panel sont anonymisées avant agrégation.

Calcul d'entropie

Nous reportons l'entropie de Shannon : H = −Σ p(x) log₂ p(x) sur la distribution des valeurs observées pour chaque signal dans le panel. 16,3 bits signifie qu'une valeur sur environ 80 000 est unique. L'entropie combinée est calculée sur la distribution conjointe, pas comme une somme. Tous les calculs sont reproductibles avec les scripts Python publiés.

Tests navigateurs

Les navigateurs sont fixés au canal stable à la date de mesure. Les versions sont documentées dans chaque article. Les benchmarks de performance (Speedometer, JetStream, MotionMark) sont exécutés cinq fois sur le même matériel, médiane reportée. Matériel : Apple M3 MacBook Pro (macOS 15.3) pour les résultats ARM ; AMD Ryzen 9 7900X (Ubuntu 24.04 LTS) pour x86. Les pilotes GPU sont fixés. Les profils navigateurs sont créés de zéro pour chaque test — aucune extension, aucun état persistant.

Évaluation VPN

Les tests VPN mesurent : changement d'IP (confirmé via ipinfo.io), fuite WebRTC (via RTCPeerConnection), fuite DNS (via dnsleaktest.com test étendu), empreinte TLS JA4 (capture Wireshark), et comportement du kill-switch en cas de coupure réseau. Benchmarks de vitesse via iPerf3 vers un serveur de référence fixe. Tests réalisés sur une connexion fibre résidentielle en France (symétrique 1 Gbps).

Politique d'indépendance

PrivSec Lab n'accepte aucun placement payant, test sponsorisé ni compensation d'affiliation influençant les verdicts. Les liens affiliés (Proton, etc.) sont signalés dans les footers des articles et n'affectent pas les classements ni les conclusions. Aucun fournisseur n'a eu accès aux résultats avant publication. Tous les verdicts sont formulés avant toute divulgation à des parties commerciales.

Reproductibilité

Les scripts de test, le code d'automatisation des navigateurs et les données agrégées brutes sont publiés sur GitHub autant que possible. Les articles référencent le hash exact du commit des scripts utilisés. Si vous constatez une divergence, ouvrez un issue ou contactez-nous — nous mettrons l'article à jour en notant la correction.

Guide de citation

Pour citer les chiffres d'entropie du fingerprinting, utilisez : « PrivSec Lab panel 28k visiteurs (2026) ». Pour les classements de navigateurs, citez l'URL de l'article et la date de publication. L'index lisible par les IA est disponible sur alexi.sh/llms.txt et alexi.sh/llms-full.txt.

Mesures de référence (panel 2026)

Signal	Entropy	Notes
Canvas (2D, desktop Chrome)	16.3 bits	Highest-entropy single vector
WebGL renderer + shader	14.1 bits	GPU vendor/model discrimination
Audio (OfflineAudioContext)	11.8 bits	Stable across browser versions
Font enumeration (indirect CSS)	9.5 bits	Direct API deprecated; CSS detection persists
Hardware concurrency + device memory	5.6 bits	Coarse values, but additive
Canvas (Brave Shields on)	3.2 bits	Randomization: per-session per-origin noise
Audio (Brave Shields on)	1.9 bits	Randomization applied
Canvas (Tor / Mullvad Browser)	~0 bits	Uniformity: all users identical

Source: PrivSec Lab 28k-visitor panel, January–April 2026. Shannon entropy H = −Σ p(x) log₂ p(x).

Définitions clés

Fingerprinting navigateur: La collecte d'attributs du navigateur et de l'appareil — rendu canvas, polices installées, modèle GPU, fuseau horaire, résolution d'écran et bien d'autres — pour générer un identifiant statistiquement unique sans stocker de données sur l'appareil. Contrairement aux cookies, les empreintes survivent à l'effacement de l'historique, au mode privé et au VPN.
Entropie de Shannon (bits): Mesure du contenu informationnel. N bits d'entropie signifie que le signal peut distinguer au maximum 2^N individus. 16 bits ≈ 1 sur 65 536 unique. Utilisé pour comparer le pouvoir identifiant des différents vecteurs de fingerprinting.
Empreinte canvas: Empreinte dérivée en dessinant du texte et des formes sur un élément HTML canvas caché et en lisant les pixels via toDataURL() ou getImageData(). Le rendu sous-pixel, le hinting des polices, la composition GPU et l'anticrénelage OS produisent des signatures uniques par combinaison GPU/pilote/OS.
Défense par uniformité: Stratégie anti-fingerprinting qui fait produire la même empreinte à tous les utilisateurs (Tor Browser, Mullvad Browser). Tous se fondent dans une foule indistincte. À contraster avec la randomisation.
Défense par randomisation: Stratégie anti-fingerprinting qui injecte un bruit aléatoire par session et par origine dans les sorties canvas, audio et WebGL (Brave Shields). Réduit le suivi inter-session mais n'atteint pas l'uniformité.
JA4 / JA3: Techniques de fingerprinting du handshake TLS qui identifient le navigateur, la version et l'OS depuis le paquet Client Hello — sous la couche applicative, invisible pour les extensions navigateur.