Security & Trust 13/07/2026 à 02h208Ajouter aux favoris

Une régression numérique minuscule ouvre une voie de fingerprinting cross-navigateur. Le hasard, en crypto comme en tracking, n'existe pas.
Depuis Chromium 148, Math.tanh retourne des bits de bas ordre qui varient selon l'OS sous-jacent (macOS, Linux, Windows). Scrapfly a publié le 12 juillet 2026 un writeup montrant qu'on peut reconstituer l'OS avec quelques appels - un vecteur de fingerprinting exploitable sans permission.
Ce n'est pas un bug spectaculaire, c'est la démonstration que toute libc mathématique est un canal side-channel. TC39 a toléré des différences de dernier bit sur les fonctions transcendantales pour laisser jouer les optimisations. Le prix : chaque divergence devient un signal.
Math.tanh(x) s'appuie en dernier ressort sur la libm de l'OS (glibc, Apple's libm, msvcr). Ces implémentations respectent IEEE 754 sur le résultat visible, mais diffèrent sur les bits ULP finaux. Chromium 148 a changé son fallback interne : les valeurs remontées trahissent la libm sous-jacente. Compter ~5-10 appels pour désambiguer les trois OS majeurs avec >95 % de confiance.
Ne patchez pas Math.tanh - patchez votre modèle de menace. Le fingerprinting via divergences numériques va se répandre (Math.log, Math.pow…). Les vraies protections sont côté navigateur : Firefox et Brave normalisent déjà certains résultats. Cumulé avec canvas, WebGL et audio, le signal augmente la précision.
Un patch Chromium normalisant tanh ; la même technique sur d'autres fonctions transcendantales ; l'intégration dans les libs anti-bot commerciales.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
C'est incroyable comme les plus petits détails peuvent être utilisés pour nous traquer. On n'est jamais tranquille.
Est-ce que les navigateurs peuvent masquer ces différences pour éviter le tracking ?
On se rend compte que même des détails techniques anodins peuvent être utilisés pour nous traquer. C'est inquiétant de voir à quel point nos données sont vulnérables.
Comment se protéger de ces méthodes de pistage invisibles ?
C'est fou comme un petit bug peut nuire à notre vie privée. On ne peut plus faire confiance à rien.
Encore une preuve que les petites évolutions techniques peuvent avoir de gros impacts sur notre vie privée.
On ne peut plus faire confiance aux navigateurs. Il faut exiger des comptes !
Ça veut dire qu'un petit bug peut permettre de nous tracer ? C'est un peu flippant.