Publicité : les favicons des sites web pourraient se montrer un peu trop curieux

10 février 2021 à 13h30
11

Les pictogrammes - ou favicons - identifiant les sites internet pourraient se révéler une nouvelle manière de pister l'utilisateur. Et à l'heure actuelle, il serait impossible de s'en débarrasser.

Les internautes retrouveront-ils un brin de vie privée ? C'est ce qu'on aurait pu penser au regard des efforts de différentes sociétés. Cependant, un chercheur a découvert une vulnérabilité affectant les favicons, ces logos de sites internet affichés généralement à gauche de chaque onglet.

Une nouvelle technique pour le pistage

Google a récemment présenté son initiative Privacy Sandbox visant à renforcer davantage la vie privée des internautes tout en permettant aux annonceurs d'obtenir certaines informations sur leurs centres d'intérêt. Il s'agit donc de mettre en place un compromis. Chez Apple, iOS et iPad OS permettront prochainement aux utilisateurs de bloquer tout pistage, une initiative que les annonceurs et les sociétés reposant sur un modèle publicitaire ne voient clairement pas d'un très bon œil.

Toutefois, il semblerait que d'autres techniques plus pernicieuses puissent être exploitées, telles que celle découverte par le développeur allemand Jonas Strehle et publiée sur GitHub.

L'homme explique en effet que le favicon d'un site Web peut être utilisé pour stocker un identifiant unique. Comme le rapporte Gizmodo, ce dernier peut être lu même « lorsque le navigateur est en mode Incognito, il ne disparaît pas même lorsqu'on vide le cache, lorsqu'on ferme le navigateur, lorsqu'on redémarre le système, lorsqu'on utilise un VPN ou lorsqu'on installe un adblocker ». Autant dire que cette découverte dévoile des techniques qui peuvent être particulièrement redoutables.

Tous les principaux navigateurs sont affectés

Lorsque l'on visite un site internet pour la première fois, le favicon se met automatiquement en cache dans le navigateur. À la seconde visite, le logiciel vérifie si cette icône a précédemment été stockée dans ce conteneur spécifique baptisé F-Cache. Si la donnée n'est pas présente ou si elle est obsolète, le navigateur envoie une requête au serveur du site Web. Si la donnée est correcte, aucune requête n'est effectuée.

Jonas Strehle explique cependant que ce dispositif peut être abusé. Lorsque le site Web est rechargé, le serveur Web peut reconstruire le numéro d'identification avec les requêtes réseau envoyées par le client pour le favicon manquant et de fait identifier le navigateur.

Chrome , Safari , Edge ou Firefox seraient tous affectés par cette potentielle menace. Brave en revanche, s'en sortirait le mieux.

Le favicon pourrait ainsi se transformer en super cookie et des chercheurs de l'Université de l'Illinois ont demandé aux éditeurs de navigateurs de revoir le fonctionnement de ces pictogrammes.

Sources : Gizmodo , GitHub

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
8
Voir tous les messages sur le forum

Lectures liées

Chrome OS : un caractère manquant dans le code crée un bug frustrant sur les Chromebook
Windows 11 : une nouvelle preview, des nouveautés et des correctifs
Microsoft déploie Edge 92 avec un testeur de mot de passe et une extension pour Outlook.com
L'offre de stockage en ligne Icedrive profite d'une belle promo à 4,17€
DuckDuckGo lance un service gratuit anti-trackers pour protéger vos e-mails
Chrome 92 se déploie pour améliorer la confidentialité et la sécurité
Sur iOS, Chrome va permettre de verrouiller des onglets privés via Face ID
Faites une bonne affaire et obtenez 2 To de stockage en ligne avec pCloud
Zoom met près de 15 milliards (!) sur la table pour acquérir le service de call center Five9
DirectStorage sera disponible sur Windows 10, mais moins efficace que sur Windows 11
Haut de page