What your browser reveals, in plain sight

Des instructions de dessin identiques (texte + formes) produisent des pixels légèrement différents selon le GPU, les pilotes, le moteur de polices de l'OS et l'anti-crénelage. Un readback haché de l'image donne un identifiant à ~8–10 bits, l'un des plus forts contributeurs. Tor renvoie un canvas uniforme (durcissement) ; Brave injecte un bruit déterministe par session+origine — deux lectures dans le même contexte donnent donc le MÊME hash : une lecture cohérente n'exclut pas Brave.

La chaîne non masquée via WEBGL_debug_renderer_info nomme le modèle exact de GPU, le pilote et le backend (ANGLE). ~5–7 bits. Le vendeur doit rester cohérent avec les extensions WebGL, la taille max de texture et l'adaptateur WebGPU — toute non-correspondance expose un spoof.

Le hash d'une scène 3D rendue (dégradés/shaders) capture les particularités de virgule flottante et de rastérisation du GPU/pilote réel. ~5–8 bits, cœur du résultat cross-browser de Cao : même GPU → mêmes imperfections quel que soit le navigateur.

GPUAdapterInfo + l'objet limits (~40 plafonds numériques corrélés) + la liste des features encodent la « tier » exacte du GPU, bien plus finement que la chaîne WebGL. Vecteur récent, important en 2026. Son absence (Firefox/Safari) est elle-même un signal.

En chronométrant de nombreux courts programmes répartis sur les unités d'exécution du GPU, on révèle les micro-variations de fabrication propres à une puce — uniques même entre deux GPU de modèle identique. Seul vecteur atteignant la granularité de l'appareil individuel. Démonstration de la technique : la valeur ci-dessous est instable (les timers grossis par Tor/RFP l'émoussent) et n'est pas un identifiant stable par visite.

La sortie en virgule flottante d'une chaîne oscillateur→compresseur dans un OfflineAudioContext reflète la pile DSP audio, le comportement FP du CPU, les pilotes audio de l'OS et les maths du moteur. ~5–7 bits, vecteur de premier plan (aucune permission, exécution silencieuse). La part matérielle est cross-browser ; les deltas FP du moteur ajoutent une part propre au navigateur.

navigator.hardwareConcurrency révèle le nombre de threads logiques du CPU (~2–3 bits). Fait matériel ; certains navigateurs le plafonnent.

navigator.deviceMemory indique la classe de RAM par paliers {0.25,0.5,1,2,4,8} Go (~1–2 bits). API Chromium uniquement ; son absence sur Firefox/Safari est un signal de famille de moteur.

enumerateDevices() expose, sans permission, le nombre et le type (audioinput/audiooutput/videoinput) de périphériques — les libellés sont vides mais les comptes fuient (~2–4 bits). Une incohérence avec les capacités WebRTC est détectable.

level/charging : la combinaison niveau+décharge formait un quasi-identifiant éphémère. Retirée de Firefox (~2017), jamais implémentée par Safari, encore exposée dans Chromium sur origine sécurisée uniquement. Largement morte en 2026 — sa présence ne signale plus que « Chromium ».

maxTouchPoints, les media features pointer/hover et le support des touch-events distinguent écran tactile vs souris (~1–2 bits). Fait matériel, cross-browser ; doit cadrer avec la plateforme UA (Windows + maxTouchPoints=10 plausible ; iPhone + 0 est un indice).

Les boîtes englobantes au sous-pixel du texte rendu via getBoundingClientRect() capturent police + GPU + lissage et hinting de l'OS. ~7,6 bits mesurés — l'un des vecteurs uniques les plus forts, piloté par le rastériseur OS + GPU donc fortement cross-browser. RFP arrondit les métriques — l'arrondi est lui-même détectable.

L'ensemble des polices installées, sondé via la mesure des différences de largeur de repli, reflète l'OS, les logiciels (Office/Adobe) et la langue. Entropie élevée et très stable. Tor embarque un jeu fixe — une liste trop uniforme = Tor/RFP.

Le hash des DOMRects d'un jeu d'emoji rendus en grande taille trahit l'OS et sa version : les jeux de glyphes diffèrent par fournisseur (Apple vs Noto vs Segoe). Fournie par la police emoji de l'OS donc cross-browser.

Le fuseau (Intl.DateTimeFormat().resolvedOptions().timeZone), getTimezoneOffset() et le formatage nombre/date/devise localisent et différencient. Fait OS, cross-browser. Entrée clé du contrôle fuseau ↔ géoloc-IP — un des principaux indices d'incohérence VPN. Tor force UTC.

navigator.languages + navigator.language : l'ordre de la liste est assez distinctif (~2–3 bits). Doit correspondre à l'en-tête Accept-Language et à la locale Intl — un désaccord est détectable.

La taille d'écran et les marges UI (barre des tâches, chrome du navigateur) sont distinctives (~4–5 bits). Fait physique, cross-browser. Tor letterboxe vers des buckets de taille pour neutraliser cela.

Le ratio pixels physiques:CSS (Retina=2, valeurs fractionnaires sur Windows mis à l’échelle) est distinctif (~1–3 bits). Doit cadrer avec la taille d’écran et les media queries de résolution.

screen.colorDepth ; color-gamut (srgb/p3/rec2020) et dynamic-range détectent les dalles HDR/large-gamut (~2–3 bits). HDR/P3 encore peu courant → forte distinctivité quand présent. Capacité de dalle, cross-browser.

Le sondage de matchMedia énumère affichage + préférences : prefers-color-scheme, prefers-reduced-motion, prefers-contrast, forced-colors, pointer/hover (~3–5 bits agrégés). Préférences OS-level, donc cross-browser. RFP force thème clair / pas de reduced-motion — des valeurs uniformes signalent RFP.

speechSynthesis.getVoices() liste les moteurs/voix TTS installés (OS + packs de langue + applications), trahissant l'OS, les langues et les logiciels. Voix fournies par l'OS donc cross-browser. Une liste vide/uniforme signale un durcissement (Brave/Tor).

navigator.userAgentData.getHighEntropyValues() expose platform + platformVersion, architecture, bitness, model, fullVersionList — version exacte d'OS, architecture et modèle, redonnant ce que l'UA Reduction cachait. API Chromium uniquement ; absence = signal de moteur. Doit concorder avec WebGPU/platform/timezone.

navigator.platform (MacIntel/Win32/Linux x86_64) indique la famille d'OS ; navigator.vendor distingue la famille de moteur ; navigator.oscpu (Firefox uniquement) trahit Firefox. Clés d'une incohérence courante : platform vs UA vs maxTouchPoints.

navigator.storage.estimate() renvoie quota (souvent une fraction du disque libre) et usage, modérément distinctif. Bucketisé dans les Chromium récents ; chaque navigateur le calcule différemment.

Les résultats FP de Math.tan/sin/exp/pow divergent par moteur (V8/SpiderMonkey/JavaScriptCore). Faible entropie isolément mais classificateur fiable de moteur et oracle anti-spoof : un UA « Chrome » avec une signature math SpiderMonkey est un spoof certain — quasi impossible à truquer entièrement depuis JS.

L'ensemble des API/objets présents (window.*), CSS @supports et drapeaux mappe navigateur + version + plateforme. Classificateur fort de version/moteur et recoupement de spoof — quasi impossible à truquer de manière cohérente sur des centaines de checks.

La résolution/gigue du timer, la granularité de performance.now() et performance.memory (Chromium) révèlent le moteur et alimentent les attaques de timing GPU/CPU. Tor/RFP grossissent volontairement les timers — des timers grossiers/quantifiés signalent RFP. Indicateur de durcissement, pas un ID stable.

navigator.connection : effectiveType (4g/3g), downlink, rtt, saveData. Entropie faible et instable. L'absence ne signifie PAS forcément non-Chromium : Firefox/Safari ne l'ont pas, mais un Chromium durci (Brave) le retire aussi — à recouper avec les oracles de moteur (math/features), pas à utiliser seul.

Nous instancions RTCPeerConnection avec iceServers:[] — AUCUN serveur STUN externe. À noter : la CSP ne bloque PAS le STUN (WebRTC contourne connect-src) ; ne pas en mettre est donc un choix d'opérateur, pas une protection imposée par la CSP — d'où l'importance d'auditer son propre JS. Sans STUN, pas de fuite d'IP publique. Le signal réel est le comportement local : depuis 2019 tous les moteurs remplacent l'IP LAN par un hostname mDNS .local randomisé (UUID Chromium vs pseudo-candidats Firefox vs WebRTC désactivé) ; le compte et l'ordre des candidats distinguent le moteur. Le nom mDNS est randomisé par session (pas un ID stable inter-sessions) ; une IP LAN brute n'apparaît que sur des clients mal configurés/entreprise/vieux webviews.