Changelog
Toutes les modifications notables de TRACIO sont documentées ici. Les versions suivent le versionnage sémantique (major.minor.patch).
v2.0.0 — Visitor ID hiérarchisé V3, 130+ signaux, prêt pour la production
Publié : mars 2026
Il s'agit d'une version majeure introduisant le système de hachage hiérarchisé V3, étendant la collecte de signaux à 130+ signaux et atteignant le statut « prêt pour la production » après un audit complet.
Nouvelles fonctionnalités
- Visitor ID hiérarchisé V3 : nouveau système de hachage à trois niveaux avec un Tier 1 indépendant (matériel figé, 20 caractères), un Tier 2 (navigateur semi-stable, 10 caractères) et un Tier 3 (contexte volatil, 10 caractères) produisant des identifiants visiteur en base62 de 40 caractères
- 130+ signaux : passage de 70 à 130+ signaux au total (couverture des signaux FingerprintJS Pro v4 plus des extensions personnalisées et des signaux propriétaires)
- Parité de signaux : couverture de correspondance complète atteinte face à FingerprintJS Pro v4 dans des tests de comparaison Playwright automatisés
- Scoring de confiance IA : pondération de la fréquence des signaux (basée sur l'IDF) et correspondance floue par distance de Hamming au niveau du bit pour l'identification des visiteurs de retour
- Tableau de bord d'administration : métriques en temps réel, gestion des clés API et analytique ClickHouse
Améliorations de la collecte de signaux
- Optimisation par iframe partagée (une seule iframe cachée pour emoji, MathML, couleurs système, polices, cadre d'écran)
- Web Worker pour s22 (fonctionnalités WASM) et s30 (doNotTrack)
- s36 bloqueurs DOM étendus à 48 listes de filtres avec vérification
offsetParent
- s117 introspection des getters de propriétés pour la détection d'usurpation basée sur les extensions
- s118/s136 vérification de la chaîne de prototypes pour les plugins et les mimeTypes
- Nouvelle tentative audio pour iOS (3 tentatives en état suspendu avec prise en compte de la visibilité)
- s56 sonde de cache navigateur avec persistance localStorage réelle
Améliorations côté serveur
- Détection VPN avec 4 méthodes (incohérence de fuseau horaire, ASN, relais, TURN) — exposée comme le booléen
network.vpn dans les payloads de webhook
- Détection de proxy avec classification résidentiel/datacenter — exposée comme
network.proxy / network.datacenter
- Détection des nœuds de sortie Tor — exposée comme
network.tor
- Taux glissant sur 7 jours d'incohérence de fuseau horaire par IP comme entrée interne de détection VPN
Détection avancée (Phase 4)
- Flux de threat intelligence (intégration FireHOL + Spamhaus)
- Fingerprinting comportemental (analyse des motifs souris/clavier/défilement)
- Normaliseur de signaux (règles inter-versions Chrome 125-131 et Firefox 126-131)
- Détection de rejeu par déduplication des requêtes et analyse de timing
- Détection du farbling de canvas de Brave (comparaison canvas par session)
- Correspondance de motifs d'ordre des en-têtes face à des profils de navigateurs connus
Corrections de bugs (50+)
- P0 : champ ALPN de JA4, vérification de cohérence TLS-UA, validation des Client Hints, comparaison d'IP de la sonde TURN, confiance de correspondance des cookies
- P1 : hash des extensions s75, vérification de stabilité du canvas, détection de relais, plancher de confiance à la première visite, corrélation multi-signaux en navigation privée
- P2 : correctif de plateforme iPad/iPadOS, vérification typeof du vendor, câblage du signal HDR, Client Hints par clé, détection d'événements tactiles, itération de domaine de cookie, timing TURN, nouvelle tentative de requête, extension d'ASN VPN
v1.5.0 — Smart Signals et Bot Detection
Publié : février 2026
Nouvelles fonctionnalités
- Smart Signals : signaux d'enrichissement côté serveur incluant VPN, proxy, Tor, datacenter, altération du navigateur et suspect score
- Moteur de Bot Detection : 14 détecteurs indépendants couvrant Selenium, Puppeteer, Playwright, PhantomJS, les navigateurs headless et l'analyse comportementale
- Allowlist des bons bots : 22 types de bons bots avec vérification d'IP par DNS inverse
- Serveur TURN : sonde IP WebRTC pour contourner la dissimulation par VPN
- IP intelligence : correspondance d'ASN VPN, détection de proxy résidentiel, vérification des nœuds de sortie Tor
- Suivi de vélocité : suivi d'activité par IP et par visiteur
Côté serveur
- Détection de VM (VMware, VirtualBox, Parallels, QEMU, Hyper-V)
- Détection d'émulateur (scoring pondéré des émulateurs mobiles)
- Détection Frida/instrumentation
- Détection des navigateurs de confidentialité (Tor, Brave, Firefox ETP, Safari ITP)
- Détection d'app clonée et de réinitialisation d'usine
- Calcul du suspect score (par catégorie, échelle 0-100)
- Détection headless v2 avec 11 marqueurs
- Classification des frameworks d'automatisation (Puppeteer, Playwright, Cypress, Selenium)
Côté client
- s157 analyse des frameworks d'automatisation (14 catégories de frameworks)
- s158 vérification webdriver en iframe
- s159 vérification de l'intégrité des fonctions natives
- s155 analyse CRC32 des propriétés de window
- s163 piège DevTools de la console
v1.0.0 — Version initiale
Publié : janvier 2026
Fonctionnalités
- 70 signaux de navigateur : Canvas, WebGL, audio, polices, navigator, écran, stockage, media queries CSS
- Identification des visiteurs : hachage côté serveur MurmurHash3-x64-128
- Transport chiffré : enveloppe de chiffrement XOR avec compression deflate
- Persistance par cookie : cookie first-party contenant un UID de visiteur opaque (expiration 365 jours)
- Intégration GeoIP : MaxMind GeoIP2 pour la géolocalisation au niveau ville
- Fingerprinting TLS JA3/JA4 : analyse du TLS ClientHello pour la vérification du navigateur
- Livraison par webhook : notification d'événement en temps réel avec nouvelle tentative et vérification de signature
- Cloud managé : edge, stockage et tableau de bord entièrement hébergés — aucune infrastructure à exploiter
SDK client
- Initialisation
Tracio.init() avec configuration de clé publique
tracio.getResult() avec options de tag et linkedId
- Gestion typée des erreurs avec classification par code d'erreur
- Bundle minifié léger
- Compatibilité navigateur : Chrome 57+, Firefox 52+, Safari 11.1+, Edge 79+
API
- Livraison de webhook en temps réel avec signatures HMAC et nouvelles tentatives
- API de tableau de bord/gestion à portée d'espace de travail (authentifiée par Clerk, RBAC)
- Ingest edge à débit limité avec support CORS + credentials
Guide de mise à niveau
v1.x vers v2.0
La mise à niveau v2.0 introduit un nouveau format de visitor ID (hash hiérarchisé V3). Les visitor ID existants seront recalculés. Cela signifie :
- Tous les visiteurs apparaissent « nouveaux » dans la base de données après la mise à niveau
- Les scores de confiance seront plus bas pendant 24-48 heures, le temps que la base de données se reconstruise
- La continuité de linkedId est préservée (vos identifiants métier restent inchangés)
La mise à niveau est déployée automatiquement sur le cloud managé — il n'y a rien
à déployer de votre côté. Aucune modification du SDK client n'est requise ; le protocole
client est rétrocompatible.