onsecret.
216.73.217.145Que sait-on de vous ?.onion
FREN

Auto-diagnostic d'empreinte

Ce que votre navigateur révèle, en clair

Le fingerprinting recoupe des dizaines de petits détails — votre GPU, vos polices, votre fuseau horaire — pour vous reconnaître sans cookie. Cette page vous montre, sans détour, ce que nous voyons déjà et ce que votre navigateur expose si JavaScript est actif. Aucun chiffre falsifié, aucune bibliothèque tierce, aucun appel externe.

Testez votre empreinte

En un clic, voyez tout ce qu'un site peut apprendre de vous — et découvrez s'il peut vous reconnaître d'un navigateur à l'autre.

Un seul clic : les tests tournent dans votre navigateur et la corrélation compare une poignée de signaux grossiers, conservés 72 h puis supprimés.

Détails : ce qui est calculé en local et ce qui est envoyé

Calculé dans votre navigateur (ne sort pas)

  • Les 29 tests d’empreinte (canvas, WebGL, audio, polices, emoji…) et leur hachage composite.
  • Les marqueurs supercookie/cache, posés et relus localement (réinitialisables).

Envoyé à la corrélation

  • Des hachages SHA-256 salés (jamais les valeurs brutes) de quelques signaux matériels + l’empreinte composite salée.
  • Un préfixe réseau grossier (IPv4 /24 ou IPv6 /64) — jamais votre IP complète — votre fuseau, vos langues et le JA4/TLS.

Conservé 72 h dans un magasin de démo isolé en mémoire, jamais la base de la boutique, supprimable immédiatement après le résultat.

JavaScript : DÉSACTIVÉ

Aucun test actif n'est exécuté : canvas, WebGL, audio, énumération de polices et timing haute résolution ne sont pas collectés. C'est en soi plus privé — il ne reste que ce que vos en-têtes HTTP révèlent, visible dans la section serveur ci-dessus.

Section A · Sans aucun JavaScript

Ce que votre connexion révèle déjà

Ces valeurs proviennent directement de votre requête HTTP. Elles sont visibles par tout serveur que vous contactez, JavaScript activé ou non.

  • Adresse IP sourcevaleur live

    216.73.217.145

    Identifiant réseau quasi-unique sur la session ; pour beaucoup de foyers l'IPv4 reste stable des jours/semaines et relie toutes vos requêtes entre elles ainsi qu'aux journaux d'autres sites. Sur IPv6, le préfixe /64 identifie souvent la ligne de l'abonné même quand les adresses temporaires (RFC 8981) tournent.

  • ASN / organisation / géolocalisation IPvaleur live

    🇺🇸 US · AS16509 · Amazon.com, Inc.

    L'ASN et le propriétaire du réseau classent l'IP (résidentiel vs Hetzner/OVH/AWS, ou exit VPN/Tor connu). Le pays et la région ne sont pas un identifiant à eux seuls mais rétrécissent l'ensemble d'anonymat et alimentent surtout les détections d'incohérence (fuseau/langue vs pays). Résolu localement contre une base CC0 auto-hébergée — aucun appel tiers.

  • En-tête User-Agentvaleur live

    Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; ClaudeBot/1.0; +claudebot@anthropic.com)

    Chaîne riche en entropie : famille et version de navigateur + famille et version d'OS. Une version exacte sur une plage IP donnée restreint fortement l'ensemble, et un UA non standard (curl, bibliothèque, vieux navigateur) ressort immédiatement. Entropie en baisse à cause de l'UA Reduction de Chrome mais toujours une base.

  • En-tête Accept-Languagevaleur live

    Le tuple langue+région+ordre+q-values est assez distinctif, et c'est l'entrée clé de la détection d'incohérence langue↔pays-IP — qui fonctionne sans JavaScript car la langue vient des en-têtes HTTP. Un Accept-Language absent ou générique (en-US seul) depuis une IP non anglophone est typique d'outils automatisés/VPN.

  • En-têtes Accept / Accept-Encodingvaleur live

    Accept: */* · Accept-Encoding: gzip, br, zstd, deflate

    La valeur exacte d'Accept (ordre, q-values, image/avif, image/webp) et la liste/ordre d'Accept-Encoding (gzip, br, zstd) varient par moteur et version. Faible entropie isolément mais c'est un oracle de cohérence : un « Chrome récent » sans br, ou un Accept ne correspondant pas au UA prétendu, trahit un faux UA.

  • Client Hints UA (Sec-CH-UA*)valeur live

    Chromium envoie par défaut des hints à basse entropie (Sec-CH-UA marque, -Mobile, -Platform). Les hints à haute entropie (-Platform-Version, -Arch, -Model…) n'arrivent qu'après opt-in serveur via Accept-CH — en tant qu'opérateur respectueux nous ne les demandons délibérément PAS. Leur absence sur Firefox/Safari est elle-même un signal de moteur ; une non-correspondance Sec-CH-UA-Platform ↔ UA trahit un spoof.

  • En-têtes DNT / Sec-GPCvaleur live

    Paradoxe : envoyer un signal de confidentialité (DNT: 1, désormais obsolète, ou Sec-GPC: 1 / Global Privacy Control) est rare et ajoute donc un bit distinctif tout en signalant un profil « privacy-conscious ». À traiter comme un signal légal qu'on peut vouloir honorer malgré tout.

Ce que le réseau peut voir (non mesuré ici)

Ces vecteurs existent et sont réels, mais ne sont pas observables à cette origine : Traefik termine le TLS et Next.js normalise les en-têtes. Ils exigeraient un proxy capturant le ClientHello, une capture de paquets ou un terminateur de bord dédié. Présentés à titre pédagogique.

  • Empreinte TLS (JA3 / JA4)non mesuré ici

    La pile TLS d'un navigateur produit un ClientHello caractéristique (version, suites de chiffrement, extensions, courbes, ALPN). JA3 (2023) a été contourné par la randomisation d'extensions de Chrome ; JA4 trie ciphers/extensions et y résiste. C'est le contre-poids décisif au spoofing d'UA : un curl déguisé en Chrome a une empreinte JA4 non-Chrome. Non mesurable ici : Traefik termine le TLS, l'appli ne voit que le chiffre négocié, pas le ClientHello offert.

  • Empreinte HTTP/2 (Akamai)non mesuré ici

    L'établissement HTTP/2 expose des choix d'implémentation : valeurs/ordre des frames SETTINGS, incrément WINDOW_UPDATE, frames PRIORITY, et l'ordre des pseudo-en-têtes (:method :authority :scheme :path). Deuxième couche après JA4. Non mesurable ici : Traefik normalise les frames vers le backend.

  • Ordre des en-têtes HTTPnon mesuré ici

    Chaque moteur (Chrome, Firefox, Safari, curl, httpx) émet ses en-têtes dans un ordre fixe que l'utilisateur ne peut pas changer. Un ordre ne correspondant pas au UA prétendu est un signal fort de spoofing. Non mesurable ici : l'API head() de Next.js range les en-têtes dans une Map en minuscules et perd l'ordre ; le capturer exigerait un serveur Node sur-mesure ou une capture au niveau de Traefik, absents de ce déploiement.

  • Empreinte HTTP/3 / QUICnon mesuré ici

    Le paquet Initial QUIC contient le ClientHello TLS 1.3 (donc toutes les features JA4) plus des paramètres de transport spécifiques (initial_max_data ≈ 15 Mo pour Chrome, fenêtres par flux, longueur du connection-ID), visibles en clair avant chiffrement applicatif. Non mesurable ici : exige une terminaison QUIC dédiée.

  • Empreinte de pile TCP/IP (TTL, fenêtre — p0f)non mesuré ici

    La pile réseau de l'OS produit une signature SYN (TTL initial, taille de fenêtre, MSS, ordre des options TCP) dont p0f déduit l'OS sans aucune sonde. Le TTL résiduel révèle le nombre de sauts et peut trahir un NAT/VPN. Non mesurable au niveau applicatif : exige une capture de paquets/eBPF sur l'hôte de bord.

  • Résolveur DNS / EDNS Client Subnetnon mesuré ici

    Si l'on est autoritaire pour un nom que le client résout, EDNS Client Subnet (RFC 7871) livre un préfixe tronqué du client (souvent /24) aux serveurs autoritaires, plus l'identité du résolveur. Une divergence résolveur↔IP trahit un proxy/VPN. Non visible dans la requête HTTP : cela vit dans les journaux DNS, pas la requête web.

  • DNS inverse (PTR)non mesuré ici

    Le PTR de l'IP révèle souvent l'hébergeur ou un motif d'exit VPN prévisible (ex. *.clients.your-server.de), confirmant datacenter vs résidentiel. Non effectué ici : une requête PTR active à chaque visite ajoute latence et fuite ; la base ASN approxime déjà ce verdict.

  • Reprise de session TLS / réutilisation de connexion HTTP/2non mesuré ici

    Les tickets de session TLS / PSK (reprise, 0-RTT) et la coalescence de connexions HTTP/2-3 permettent à une origine de relier plusieurs requêtes au même client, sans cookie et même sur le chemin sans-JS, parfois à travers un changement d'IP. Non visible ici : Traefik termine le TLS, donc l'appli ne voit pas la reprise — mais le terminateur de bord, lui, le voit.

Section D · Que faire

Recommandations

Un seul principe gouverne tout le reste : se fondre dans une grande foule au lieu d'essayer de se cacher. Falsifier des valeurs de façon incohérente vous rend plus reconnaissable, pas moins.

Le seul principe : se fondre dans une foule, pas se cacher

L'anti-fingerprinting ne consiste pas à masquer vos attributs mais à être identique à une grande foule d'utilisateurs. L'objectif du projet Tor est de « réduire le nombre de buckets distinguables par métrique ». Tout ce qui vous rend différent de l'installation par défaut du même navigateur — fenêtre redimensionnée, extension ajoutée, réglage modifié, valeur falsifiée — vous retire de la foule et vous rend PLUS unique. C'est le point le plus mal compris, et il gouverne toutes les recommandations qui suivent. Corollaire : un profil falsifié mais incohérent (UA Windows + pile TLS curl, ou fuseau Tokyo + IP New York) est plus mémorable que la vérité, car les détecteurs croisent les signaux pour repérer ces contradictions.

Tor Browser — l’étalon-or, et ses réglages exacts

Tor Browser est conçu pour que chaque utilisateur présente la même empreinte : UA et OS forcés en quelques buckets, extraction canvas bloquée/sur demande, WebGL durci, polices limitées à un jeu embarqué, timers grossis, fuseau forcé à UTC. Réglages : (1) Niveau de sécurité sur Safer ou Safest — Safest désactive JavaScript partout, neutralisant tout le fingerprinting actif (canvas, WebGL, AudioContext, énumération de polices, timing). (2) Ne PAS maximiser ni redimensionner la fenêtre — le letterboxing (bandes grises, arrondi à un multiple de 200×100 px) est la protection qui fonctionne. (3) Jamais d'extension — NoScript embarqué fait partie de l'empreinte standard ; n'ajoutez pas uBlock. (4) Ne jamais toucher about:config ni les préférences : les défauts SONT l'ensemble d'anonymat. (5) Garder Tor Browser à jour — la foule est définie par version.

Mullvad Browser — anti-fingerprinting de niveau Tor sans le réseau Tor

Mullvad Browser (codéveloppé par Mullvad VPN et le projet Tor) embarque le même durcissement que Tor Browser (letterboxing, « tous les utilisateurs se ressemblent », polices/canvas/API matérielles masquées, pas de télémétrie) mais NE route PAS sur Tor — il est prévu pour tourner derrière un VPN de confiance. À utiliser quand la latence de Tor est impraticable mais qu'on veut une empreinte uniforme. Même discipline que Tor : taille de fenêtre par défaut, aucune extension, aucun réglage modifié. Limite à énoncer franchement : il donne l'anti-fingerprinting de Tor mais PAS l'anonymat réseau de Tor (votre VPN voit un saut unique, pas trois) — un compromis vitesse contre garantie réseau plus faible.

Acheter le VPN anonymement : Monero depuis Tor

Mullvad émet un numéro de compte aléatoire à 16 chiffres sans email, identifiant, mot de passe ni nom, avec une politique no-KYC explicite, et accepte le Monero. Générez le numéro de compte et réglez la facture XMR depuis Tor Browser. Tor casse le lien réseau à l'achat, Monero casse le lien financier ; la confidentialité on-chain de Monero (montants, expéditeur et destinataire masqués) est bien supérieure au registre transparent de Bitcoin pour cet usage. L'ordre compte : acheter de façon non anonyme (carte, IP domicile) relie le compte à vous quelle que soit la propreté de l'usage ultérieur.

Réduction d’entropie au niveau de l’appareil (matériel onsecret)

GrapheneOS (Pixel) réduit l'entropie côté appareil vs Android stock : suppression des services Google système, permission Sensors par application (couper accéléromètre/gyroscope/baromètre — vecteurs de fingerprinting par mouvement), périmètres Réseau et Stockage par application. Les Pixel sont requis car GrapheneOS dépend de leurs racines de confiance matérielles (verified boot, attestation). À combiner avec les navigateurs anonymisants : l'OS réduit l'entropie de l'appareil, le navigateur celle du web. Tails (amnésique) sur un ThinkPad durci démarre sur USB, route tout via Tor et ne laisse aucune trace — chaque session repart identique à celle de tout autre utilisateur Tails. Qubes + Whonix apporte la compartimentation : isoler les personas dans des qubes distincts empêche de relier une activité à une autre, et une compromission reste contenue.

Mudi + blue-merle : entropie des identifiants réseau

Sur cellulaire, l'IMEI (appareil), l'IMSI (SIM) et le MAC du routeur sont des identifiants matériels persistants qui vous fingerprintent au niveau opérateur/Wi-Fi, indépendamment du navigateur. Le paquet blue-merle randomise l'IMEI et fait une mimique MAC consciente de l'OUI fournisseur plutôt qu'un MAC pleinement aléatoire. Pourquoi l'OUI compte — c'est le même principe que le conseil navigateur : un MAC à préfixe fournisseur aléatoire/invalide est lui-même anormal et ressort ; imiter un OUI plausible vous garde dans la foule des appareils légitimes au lieu de vous signaler comme « appareil qui cherche à se cacher ». Appariez la randomisation IMEI à un changement de SIM : ne pas tourner l'IMEI en gardant le même IMSI sur la même cellule, car cet appariement est lui-même traçable.

Erreurs qui vous rendent PLUS identifiable

(1) Spoofing créant des incohérences internes : UA « Windows » sur platform « Linux », renderer WebGL ne correspondant pas à l'OS, polices incohérentes avec la plateforme sont des aveux. Un profil cohérent se fond ; un profil incohérent crie « spoofeur ». (2) Mensonges stables = traçage stable : toujours spoofer de la même façon transforme cette combinaison en empreinte durable ; randomiser à chaque chargement est le problème miroir (un drapeau rouge détectable). (3) Incohérences langue/fuseau/IP : sortir par un nœud allemand en annonçant en-US et un fuseau New York est un indice classique ; Tor standardise volontairement locale et fuseau (UTC) — n'y touchez pas. (4) Tailles de fenêtre uniques : maximiser ou s'ajuster à un ultrawide vous sort des buckets de letterboxing. (5) Mélanger des identités sur une même session relie les comptes — utilisez « New Identity » ou des personas séparés. (6) Ajouter des extensions « privacy » (uBlock/Canvas-blocker) à Tor/Mullvad Browser vous rend unique vs la foule standard. (7) Acheter l'outil d'anonymat non anonymement relie le compte à vous.

Voir le matérielVoir les ressources