L'empreinte de site web (Website Fingerprinting, WF) est un type d'attaque d'analyse de trafic qui permet à un écouteur passif local d'inférer l'activité de la victime, même lorsque le trafic est protégé par un réseau privé virtuel (VPN) ou un système d'anonymat comme Tor. En utilisant un classificateur basé sur l'apprentissage profond, un attaquant WF peut atteindre une précision supérieure à 98 % sur le trafic Tor. Dans cet article, nous explorons une nouvelle défense, Mockingbird, fondée sur l'idée d'exemples adverses qui ont été démontrés pour affaiblir les classificateurs d'apprentissage automatique dans d'autres domaines. Comme l'attaquant a la possibilité de concevoir et d'entraîner son classificateur d'attaque en fonction de la défense mise en place, nous montrons tout d'abord que des techniques simples pour générer des traces basées sur des exemples adverses échouent à protéger contre un attaquant utilisant l'entraînement adversarial pour une classification robuste. Nous proposons ensuite Mockingbird, une technique de génération de traces qui résiste à l'entraînement adversarial en se déplaçant aléatoirement dans l'espace des traces viables et en ne suivant pas des gradients plus prévisibles. Cette technique réduit la précision de l'attaque de pointe renforcée par l'entraînement adversarial de 98 % à 42-58 % tout en entraînant seulement 58 % de surcharge de bande passante. La précision de l'attaque est généralement inférieure aux défenses actuelles de pointe, et beaucoup plus faible lorsqu'on considère la précision Top-2, tout en entraînant des surcharges de bande passante moindres.