Publicité : les favicons des sites web pourraient se montrer un peu trop curieux

10 février 2021 à 13h30
11

Les pictogrammes - ou favicons - identifiant les sites internet pourraient se révéler une nouvelle manière de pister l'utilisateur. Et à l'heure actuelle, il serait impossible de s'en débarrasser.

Les internautes retrouveront-ils un brin de vie privée ? C'est ce qu'on aurait pu penser au regard des efforts de différentes sociétés. Cependant, un chercheur a découvert une vulnérabilité affectant les favicons, ces logos de sites internet affichés généralement à gauche de chaque onglet.

Une nouvelle technique pour le pistage

Google a récemment présenté son initiative Privacy Sandbox visant à renforcer davantage la vie privée des internautes tout en permettant aux annonceurs d'obtenir certaines informations sur leurs centres d'intérêt. Il s'agit donc de mettre en place un compromis. Chez Apple, iOS et iPad OS permettront prochainement aux utilisateurs de bloquer tout pistage, une initiative que les annonceurs et les sociétés reposant sur un modèle publicitaire ne voient clairement pas d'un très bon œil.

Toutefois, il semblerait que d'autres techniques plus pernicieuses puissent être exploitées, telles que celle découverte par le développeur allemand Jonas Strehle et publiée sur GitHub.

L'homme explique en effet que le favicon d'un site Web peut être utilisé pour stocker un identifiant unique. Comme le rapporte Gizmodo, ce dernier peut être lu même « lorsque le navigateur est en mode Incognito, il ne disparaît pas même lorsqu'on vide le cache, lorsqu'on ferme le navigateur, lorsqu'on redémarre le système, lorsqu'on utilise un VPN ou lorsqu'on installe un adblocker ». Autant dire que cette découverte dévoile des techniques qui peuvent être particulièrement redoutables.

Tous les principaux navigateurs sont affectés

Lorsque l'on visite un site internet pour la première fois, le favicon se met automatiquement en cache dans le navigateur. À la seconde visite, le logiciel vérifie si cette icône a précédemment été stockée dans ce conteneur spécifique baptisé F-Cache. Si la donnée n'est pas présente ou si elle est obsolète, le navigateur envoie une requête au serveur du site Web. Si la donnée est correcte, aucune requête n'est effectuée.

Jonas Strehle explique cependant que ce dispositif peut être abusé. Lorsque le site Web est rechargé, le serveur Web peut reconstruire le numéro d'identification avec les requêtes réseau envoyées par le client pour le favicon manquant et de fait identifier le navigateur.

Chrome, Safari, Edge ou Firefox seraient tous affectés par cette potentielle menace. Brave en revanche, s'en sortirait le mieux.

Le favicon pourrait ainsi se transformer en super cookie et des chercheurs de l'Université de l'Illinois ont demandé aux éditeurs de navigateurs de revoir le fonctionnement de ces pictogrammes.

Sources : Gizmodo, GitHub

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
8
Voir tous les messages sur le forum

Actualités récentes

Test MSI Clutch GM41 Lightweight : une souris ultra-légère et confortable
Prises connectées : notre comparatif 2021 pour contrôler à distance sa consommation énergétique
Space Sweepers : une aventure à mille à l'heure chez les ferrailleurs de l'espace
Travail ou jeu vidéo, nos conseils pour passer du temps devant l'écran... sans malmener son corps
Train, car, voiture, avion : que vaut le comparateur de mobilité de la SNCF ?
Comment optimiser la batterie de son Apple Watch ?
ARTE : découvrez le premier numéro de l'émission Twitch dédiée au jeu vidéo
-50 % sur Bitdefender Total Security : une protection antivirus primée pour tous vos achats en ligne
Lupin : découvrez le trailer de la partie 2, attendue cet été sur Netflix
La Nuit des temps : le mythe du traducteur universel automatique
Haut de page