TLS Fingerprinting
Le TLS fingerprinting est une technique qui identifie le logiciel établissant une connexion HTTPS en inspectant les paramètres de son handshake TLS, en particulier le message ClientHello. Comme les différentes bibliothèques et clients TLS annoncent les suites de chiffrement, les extensions et les versions de façons caractéristiques, le handshake révèle le client sous-jacent même sans aucune donnée applicative.
Comment fonctionne TLS Fingerprinting
Lorsqu'un client ouvre une connexion HTTPS, il envoie un ClientHello qui énumère les versions de TLS qu'il prend en charge, ses suites de chiffrement ordonnées, les extensions prises en charge, les courbes elliptiques et les algorithmes de signature. Ces choix sont déterminés par la bibliothèque TLS et sa configuration, si bien qu'ils forment un motif reconnaissable pour chaque pile cliente.
Un serveur ou un middlebox capture ces champs et les encode en une empreinte compacte, historiquement avec des schémas comme JA3 et plus récemment JA4. L'empreinte résume le handshake de sorte que les connexions du même logiciel client produisent la même valeur, indépendamment de l'adresse IP ou du user agent.
Le TLS fingerprinting opère sous la couche HTTP, ce qui rend difficile pour une application de le falsifier de manière convaincante. Un outil peut fixer n'importe quelle chaîne de user agent, mais son handshake TLS reflète toujours la bibliothèque réelle qu'il utilise, exposant les écarts entre le navigateur déclaré et le client réel.
Comme il capture la pile cliente et non l'appareil, le TLS fingerprinting est plus grossier que l'empreinte du navigateur pour distinguer des individus, mais excellent pour classer le type de client et repérer l'automatisation.
Pourquoi TLS Fingerprinting compte pour la prévention de la fraude
Le TLS fingerprinting est puissant pour la détection des bots et de l'automatisation, car les outils et bibliothèques de scripting ont des signatures TLS qui diffèrent de celles des navigateurs grand public. Lorsqu'une requête prétend être Chrome mais présente le handshake TLS d'une bibliothèque de scripting, cette contradiction est un fort indicateur de fraude. Opérant à la couche réseau, il résiste à la falsification d'en-têtes qui met en échec les vérifications plus simples.
Comment TRACIO le gère
TRACIO utilise des signaux de la couche réseau, dont les caractéristiques du handshake TLS, dans le cadre de ses Smart Signals côté serveur et de sa détection des bots. Cela complète l'identification côté client en attrapant l'automatisation qui imite les en-têtes du navigateur mais ne peut pas reproduire une pile TLS de navigateur authentique. Combiné à IP Intelligence, il aide à séparer les vrais navigateurs des outils, quel que soit le user agent déclaré.
Termes associés
Questions fréquentes
Identifiez chaque appareil en toute confiance
Commencez avec une offre gratuite de 2,500 appels API par mois. Aucune carte bancaire requise.