Comment détecter les navigateurs anti-détection (Multilogin, GoLogin, Dolphin Anty)
Plongée technique sur le fonctionnement des navigateurs anti-détection, les raisons de leur usage frauduleux et les techniques de détection qui les démasquent.
Les navigateurs anti-détection sont l'outil d'évasion le plus sophistiqué de l'arsenal d'un fraudeur. Contrairement aux VPN ou aux chaînes de proxy qui ne masquent que les adresses IP, les navigateurs anti-détection créent des identités d'appareil entièrement nouvelles — en falsifiant le canvas, WebGL, les polices, l'audio et des dizaines d'autres signaux d'empreinte numérique du navigateur.
Que sont les navigateurs anti-détection ?
Les navigateurs anti-détection sont des versions modifiées de Chromium (ou de Firefox) conçues pour faire apparaître chaque profil de navigateur comme un appareil totalement différent. Ils servent à gérer plusieurs comptes sur des plateformes qui imposent une politique d'un compte par personne, à commettre de la fraude publicitaire sur plusieurs comptes d'annonceurs, à frauder le marketing d'affiliation et à faire du web scraping à grande échelle.
Les trois acteurs dominants de ce marché sont Multilogin, GoLogin et Dolphin Anty.
Comment fonctionne Multilogin
Multilogin est l'option de qualité entreprise. Il embarque deux moteurs de navigateur maison : Mimic (basé sur Chromium) et Stealthfox (basé sur Firefox). Chaque profil reçoit une combinaison unique de bruit de canvas, de paramètres WebGL, de listes de polices, de résolution d'écran, de fuseau horaire, de langue et de réglages WebRTC.
L'innovation clé de Multilogin est l'injection déterministe de bruit. Plutôt que d'ajouter un bruit aléatoire au rendu du canvas (ce qui est en soi un motif détectable), Multilogin applique une transformation cohérente à chaque profil. Le même profil produit toujours le même hachage de canvas, ce qui le fait ressembler à un vrai appareil pour les systèmes d'empreinte naïfs.
Comment fonctionne GoLogin
GoLogin vise le milieu de gamme avec son navigateur Orbita. Il est plus abordable que Multilogin et offre des capacités de falsification similaires : canvas, WebGL, polices, fuseau horaire, géolocalisation et intégration de proxy.
L'approche de GoLogin en matière de falsification d'empreinte est moins sophistiquée que celle de Multilogin. Le bruit de canvas tend à être plus uniforme d'un profil à l'autre, et certaines combinaisons de paramètres WebGL ne correspondent à aucun matériel réel. Cela crée des opportunités de détection.
Comment fonctionne Dolphin Anty
Dolphin Anty domine l'univers du marketing d'affiliation. Il propose des fonctionnalités de collaboration en équipe — les profils peuvent être partagés entre membres d'une équipe, ce qui est utile pour les agences gérant des centaines de comptes publicitaires.
Techniques de détection
Analyse d'incohérence du canvas
Les navigateurs anti-détection falsifient la sortie du canvas, mais la falsification se trahit par l'analyse statistique. Les vrais GPU produisent une sortie de canvas avec des motifs de rendu sous-pixel cohérents qui corrèlent avec le modèle de GPU déclaré via WebGL. Les navigateurs anti-détection injectent du bruit dans la sortie du canvas, mais le motif de bruit ne correspond pas à ce que produirait un vrai GPU.
Nous calculons l'entropie de Shannon des voisinages de pixels et la comparons à des profils de rendu de GPU connus. Une vraie NVIDIA GeForce RTX 3060 produit une sortie de canvas avec une signature d'entropie spécifique. Le navigateur Mimic de Multilogin produit une sortie de canvas avec une entropie légèrement supérieure due à l'injection de bruit. Cette différence est faible — moins de 0,3 bit par voisinage de pixels — mais elle est constante et mesurable.
Incohérence des paramètres WebGL
WebGL expose des informations détaillées sur le GPU : chaîne du fournisseur, chaîne du moteur de rendu, extensions prises en charge, taille maximale de texture et formats de précision. Les navigateurs anti-détection laissent les utilisateurs sélectionner des profils de GPU, mais les combinaisons n'ont pas toujours de sens. Un profil prétendant être un Intel UHD 630 mais rapportant des valeurs de taille maximale de texture que seuls les GPU AMD prennent en charge est suspect. Nous tenons à jour une base de données de combinaisons de paramètres valides pour chaque GPU majeur sorti au cours de la dernière décennie.
Incohérences des propriétés du navigator
L'objet navigator rapporte des propriétés qui devraient être cohérentes entre elles. hardwareConcurrency (cœurs de CPU), deviceMemory, platform et userAgent devraient tous raconter une histoire cohérente à propos de l'appareil. Les navigateurs anti-détection créent parfois des combinaisons impossibles : un user agent Windows avec une plateforme Linux, ou 32 Go de mémoire avec 2 cœurs de CPU. Nous vérifions 47 règles de cohérence entre propriétés.
Anomalies de rendu des polices
Le rendu des polices est déterminé par le système d'exploitation, le moteur de rendu de polices et les polices disponibles. Les navigateurs anti-détection peuvent injecter des listes de polices personnalisées, mais ils ne peuvent pas reproduire parfaitement la façon dont un autre système d'exploitation restitue ces polices. Nous restituons des glyphes spécifiques et analysons les dimensions des boîtes englobantes, les largeurs d'avancement et les paires de crénage. Une machine Windows qui restitue du texte produit des métriques subtilement différentes d'un Mac, même pour la même police.
Analyse temporelle
La falsification d'empreinte prend du temps. Chaque appel d'API falsifié ajoute une surcharge faible mais mesurable par rapport à l'exécution native. Nous mesurons le temps d'exécution de 12 appels d'API clés et les comparons aux plages attendues pour le matériel déclaré. Sur un vrai appareil, canvas.toDataURL() prend 2-8ms. Avec injection de bruit, il prend 8-20ms.
Artefacts des frameworks d'automatisation
De nombreux navigateurs anti-détection laissent des traces de leur infrastructure d'automatisation. Les versions personnalisées de Chromium peuvent exposer des propriétés non standard sur les objets navigator ou window. Nous recherchons plus de 200 artefacts d'automatisation connus, notamment les traces CDP, les propriétés propres à Puppeteer et les propriétés personnalisées injectées par le navigateur Orbita de GoLogin.
L'avantage du polymorphisme
Une logique de détection en JavaScript statique est vulnérable à la rétro-ingénierie. Le script polymorphe de tracio.ai résout ce problème. Chaque visiteur reçoit un JavaScript unique — les mêmes vérifications, mais avec des noms de variables différents, des ordres d'exécution différents, des structures de code différentes. Un éditeur d'anti-détection devrait rétroconcevoir chaque variation, ce qui est économiquement inviable.
Exemple de réponse d'API
Lorsque tracio.ai détecte un navigateur anti-détection, la réponse de l'API inclut des signaux spécifiques :
Le signal antiDetectBrowser inclut la famille détectée (Multilogin, GoLogin ou Dolphin Anty), la variante de moteur spécifique et les indicateurs ayant déclenché la détection — comme canvas_entropy_anomaly, webgl_param_mismatch et timing_deviation.
Recommandations
Si le multi-comptes ou la fraude à l'affiliation pose problème sur votre plateforme :
- Mettez en place l'empreinte numérique d'appareil lors de l'inscription, de la connexion et des événements de conversion clés
- Activez la détection des navigateurs anti-détection
- Utilisez le Verdict Engine pour automatiser les décisions BLOCK et CHALLENGE
- Surveillez les nouvelles techniques d'évasion — le paysage de l'anti-détection évolue chaque mois
Commencez avec l'offre gratuite de tracio.ai
pour voir à quoi ressemble votre trafic actuel issu de navigateurs anti-détection. La plupart des plateformes sont surprises par le volume.