Le browser storage fingerprinting est une technique de pistage qui plante des identifiants persistants dans le stockage propre de votre navigateur — localStorage, sessionStorage, IndexedDB et cookies — et les relit à chaque retour. Contrairement au fingerprinting matériel, le storage fingerprinting survit à la suppression des cookies en se répandant sur plusieurs couches de stockage simultanément. Vérifiez ce que votre navigateur expose sur whatsmy.fyi.
En résumé
Le browser storage fingerprinting fonctionne en écrivant un identifiant unique dans localStorage, sessionStorage, IndexedDB et les cookies simultanément. Quand vous en supprimez un, le tracker le reconstruit à partir des autres. Des techniques comme Evercookie étendent cela sur 16+ vecteurs de stockage, rendant l'identifiant presque impossible à effacer sans outils spécialisés. Les navigateurs modernes contrent cela avec le cloisonnement du stockage — isolant chaque compartiment par domaine de premier niveau pour rendre le pistage inter-sites structurellement impossible.
Qu'est-ce que le browser storage fingerprinting ?
Le browser storage fingerprinting est une catégorie de browser fingerprinting qui exploite les API de stockage intégrées du navigateur plutôt que des signaux matériels comme le rendu GPU ou le traitement audio. L'objectif est le même — identifier de façon unique votre appareil entre sessions et sites web — mais le mécanisme est différent : les trackers écrivent des données dans le propre stockage de votre navigateur et les relisent lors des visites suivantes.
Ce qui sépare le storage fingerprinting d'un simple cookie de pistage est la redondance. Un cookie traditionnel est un seul slot de stockage. Le storage fingerprinting écrit le même identifiant dans une douzaine de mécanismes de stockage différents simultanément. Quand vous supprimez les cookies, l'identifiant survit dans localStorage. Quand vous supprimez localStorage, il survit dans IndexedDB. Quand vous supprimez IndexedDB, le tracker lit quel vecteur contient encore des données et réécrit tous les autres. L' outil Cover Your Tracks de l'EFF identifie la résurrection basée sur le stockage comme l'une des techniques de pistage les plus difficiles à neutraliser pour les utilisateurs ordinaires.
Comment fonctionne le browser storage fingerprinting ?
Le storage fingerprinting suit une boucle lecture-écriture sur quatre mécanismes de stockage principaux, chacun avec des caractéristiques de persistance différentes.
Étape 1 — Génération de l'identifiant
À la première visite, un script JavaScript génère un identifiant unique — typiquement un UUID aléatoire ou un hash de signaux matériels collectés au même moment. Cet identifiant est ensuite écrit simultanément dans chaque vecteur de stockage disponible.
Étape 2 — Écriture sur plusieurs couches de stockage
Le même ID est stocké dans localStorage (persistant, isolé par origine), sessionStorage (isolé par onglet, effacé à la fermeture de l'onglet), IndexedDB (base de données structurée, quota plus grand) et les cookies HTTP (envoyés avec chaque requête, accessibles côté serveur). Les implémentations avancées écrivent également dans les ETags, les entrées HSTS, le cache du navigateur et window.name.
// Écriture multi-vecteur simplifiée
const trackingId = crypto.randomUUID();
// Persistant — survit aux redémarrages, à la suppression des cookies
localStorage.setItem('_tid', trackingId);
// Isolé par onglet — survit à la navigation dans l'onglet
sessionStorage.setItem('_tid', trackingId);
// IndexedDB — stockage structuré, quota plus grand
const db = await openDB('tracker', 1, {
upgrade(db) { db.createObjectStore('ids'); }
});
await db.put('ids', trackingId, 'primary');
// Cookie HTTP — lisible côté serveur, inter-requêtes
document.cookie = `_tid=${trackingId}; max-age=31536000; SameSite=Lax`;Étape 3 — Relecture à chaque retour
À la visite suivante, le script lit les quatre couches de stockage. Si l'une d'elles contient encore l'ID, l'utilisateur est reconnu. Si certains vecteurs ont été effacés, ceux-là sont immédiatement réécrits à partir des valeurs survivantes — une technique appelée résurrection de cookies.
Étape 4 — Le canal secondaire de tri IndexedDB
Au-delà du pistage simple lecture-écriture, une vulnérabilité plus subtile a été découverte en 2025 et documentée par des chercheurs de Fingerprint.com. L'API indexedDB.databases() dans Firefox retournait les noms de bases de données dans un ordre non aléatoire déterminé par une table de hachage interne — un canal secondaire portée-processus. Des sites non liés pouvaient appeler cette API indépendamment et observer le même ordre, liant un utilisateur entre différentes origines sans lire ni écrire de données de stockage réelles. La vulnérabilité (CVE-2026-6770) a été corrigée dans Firefox 150 et Tor Browser 15.0.10.
Evercookie : le cas extrême
Evercookie est une bibliothèque de preuve de concept créée par le chercheur en sécurité Samy Kamkar qui démontre l'étendue complète de la résurrection basée sur le stockage. Elle stocke simultanément un identifiant sur 16 vecteurs ou plus : cookies HTTP, localStorage, sessionStorage, IndexedDB, Web SQL Database, Flash Local Shared Objects, Silverlight Isolated Storage, historique CSS, ETags, cache du navigateur, en-têtes HSTS,window.name, encodage pixel PNG et stockage d'applets Java. En 2014, des techniques Evercookie basées sur IndexedDB ont été détectées sur weibo.com en production.
Statistiques du storage fingerprinting
| Résultat | Valeur | Source |
|---|---|---|
| Top 1 000 sites partageant des données via fingerprinting | 60 %+ | Princeton University Web Census |
| Taux d'identification unique sur de grands jeux de données | 94 %+ | EFF Cover Your Tracks |
| Entropie d'information des signaux d'empreinte combinés | 18,1 bits | Eckersley, 2010 — étude fondatrice |
| Précision du fingerprinting bureau | 91,45 % | ACM Internet Measurement Conference, 2025 |
| Précision du fingerprinting mobile | 37,16 % | ACM Internet Measurement Conference, 2025 |
RGPD et storage fingerprinting — que dit la CNIL ?
Selon le RGPD en Europe, toute donnée pouvant être utilisée pour identifier un individu — y compris les identifiants de périphérique stockés dans localStorage ou IndexedDB — constitue des données personnelles. La CNIL (Commission Nationale de l'Informatique et des Libertés) a nommé le stockage de navigateur comme vecteur de pistage soumis aux exigences de consentement préalable — exactement comme les cookies. L'ICO britannique a confirmé en janvier 2025 que localStorage, sessionStorage et IndexedDB tombent sous les mêmes règles PECR que les cookies. Selon le CCPA et le CPRA en Californie, les identifiants d'appareil basés sur le stockage sont traités comme des informations personnelles avec des droits d'opt-out.
Comment se protéger du browser storage fingerprinting
- Activer la Protection Totale des Cookies (Firefox) : La Protection Améliorée contre le Pistage de Firefox en mode Strict active le cloisonnement d'état — chaque site web obtient son propre compartiment de stockage isolé. Une entrée localStorage d'un tracker définie dans foo.com ne peut pas être lue quand le même tracker se charge dans bar.com.
- Utiliser Safari (toute version avec ITP) : La Prévention Intelligente du Pistage de Safari cloisonne localStorage, IndexedDB, l'API Cache et le stockage URL Blob par site de premier niveau, et évicte proactivement les données de stockage des origines sans interaction utilisateur depuis 7 jours.
- Utiliser Brave Browser : Brave bloque le fingerprinting par défaut, applique le cloisonnement du stockage et permet la personnalisation par site.
- Effacer Toutes les Données du Site, Pas Juste les Cookies : La suppression de l'historique du navigateur efface typiquement les cookies mais laisse localStorage et IndexedDB intacts. Utilisez les outils de développement (onglet Application → Stockage → Effacer les données du site) pour effacer tout le stockage.
- Tor Browser (protection maximale) : Tor Browser efface tout le stockage à chaque action "Nouvelle Identité", applique le cloisonnement du stockage et utilise un profil de navigateur uniforme partagé par tous les utilisateurs Tor.
Foire aux questions
Vider les cookies suffit-il à prévenir le storage fingerprinting ?
Non. Vider les cookies est l'étape minimale, pas une solution complète. Le storage fingerprinting répand délibérément l'identifiant entre localStorage, sessionStorage, IndexedDB et les cookies simultanément. Vider seulement les cookies laisse l'identifiant intact dans les trois autres vecteurs. Vous devez effacer toutes les données du site — pas seulement les cookies — pour supprimer un identifiant basé sur le stockage.
Le mode navigation privée protège-t-il contre le storage fingerprinting ?
Partiellement. Le mode privé crée un contexte de stockage frais et isolé qui est entièrement effacé quand la fenêtre privée se ferme. Tout localStorage, IndexedDB ou cookie écrit lors d'une session privée ne persiste pas dans votre profil principal. Cependant, dans une seule session privée, le storage fingerprinting fonctionne normalement. Voir le guide sur le canvas fingerprinting pour comprendre pourquoi les signaux matériels sont plus difficiles à contrer.
Un VPN peut-il empêcher le browser storage fingerprinting ?
Non. Un VPN change votre adresse IP visible mais n'a aucun accès au stockage de votre navigateur. Le JavaScript s'exécutant dans votre navigateur lit et écrit localStorage et IndexedDB entièrement en local — aucun trafic réseau n'est impliqué dans l'étape de lecture. Vérifiez si votre VPN fonctionne correctement sur whatsmy.fyi.
Comment le storage fingerprinting est-il lié au canvas ou WebGL fingerprinting ?
Le storage fingerprinting et le canvas fingerprinting représentent deux extrêmes du spectre de pistage. Le storage fingerprinting est "comme les cookies" — il écrit quelque chose sur votre appareil et le relit. Le canvas et le WebGL fingerprinting sont "sans état" — ils reconstituent votre identité à partir des caractéristiques matérielles sans rien stocker. Les plateformes de pistage commerciales combinent les deux approches.
Articles connexes
- Qu'est-ce que le browser fingerprinting ? — le guide complet de tous les signaux combinés
- Qu'est-ce que le canvas fingerprinting ? — comment l'API Canvas HTML5 produit un hash pixel unique
- Qu'est-ce que le WebGL fingerprinting ? — comment l'API graphique 3D expose votre GPU
- Qu'est-ce que l'audio fingerprinting ? — comment votre pile de traitement audio produit un identifiant matériel
