Publicité : les favicons des sites web pourraient se montrer un peu trop curieux

10 février 2021 à 13h30
11
favicon

Les pictogrammes - ou favicons - identifiant les sites internet pourraient se révéler une nouvelle manière de pister l'utilisateur. Et à l'heure actuelle, il serait impossible de s'en débarrasser.

Les internautes retrouveront-ils un brin de vie privée ? C'est ce qu'on aurait pu penser au regard des efforts de différentes sociétés. Cependant, un chercheur a découvert une vulnérabilité affectant les favicons, ces logos de sites internet affichés généralement à gauche de chaque onglet.

Une nouvelle technique pour le pistage

Google a récemment présenté son initiative Privacy Sandbox visant à renforcer davantage la vie privée des internautes tout en permettant aux annonceurs d'obtenir certaines informations sur leurs centres d'intérêt. Il s'agit donc de mettre en place un compromis. Chez Apple, iOS et iPad OS permettront prochainement aux utilisateurs de bloquer tout pistage, une initiative que les annonceurs et les sociétés reposant sur un modèle publicitaire ne voient clairement pas d'un très bon œil.

Toutefois, il semblerait que d'autres techniques plus pernicieuses puissent être exploitées, telles que celle découverte par le développeur allemand Jonas Strehle et publiée sur GitHub.

L'homme explique en effet que le favicon d'un site Web peut être utilisé pour stocker un identifiant unique. Comme le rapporte Gizmodo, ce dernier peut être lu même « lorsque le navigateur est en mode Incognito, il ne disparaît pas même lorsqu'on vide le cache, lorsqu'on ferme le navigateur, lorsqu'on redémarre le système, lorsqu'on utilise un VPN ou lorsqu'on installe un adblocker ». Autant dire que cette découverte dévoile des techniques qui peuvent être particulièrement redoutables.

Tous les principaux navigateurs sont affectés

Lorsque l'on visite un site internet pour la première fois, le favicon se met automatiquement en cache dans le navigateur. À la seconde visite, le logiciel vérifie si cette icône a précédemment été stockée dans ce conteneur spécifique baptisé F-Cache. Si la donnée n'est pas présente ou si elle est obsolète, le navigateur envoie une requête au serveur du site Web. Si la donnée est correcte, aucune requête n'est effectuée.

Jonas Strehle explique cependant que ce dispositif peut être abusé. Lorsque le site Web est rechargé, le serveur Web peut reconstruire le numéro d'identification avec les requêtes réseau envoyées par le client pour le favicon manquant et de fait identifier le navigateur.

Chrome , Safari , Edge ou Firefox seraient tous affectés par cette potentielle menace. Brave en revanche, s'en sortirait le mieux.

Le favicon pourrait ainsi se transformer en super cookie et des chercheurs de l'Université de l'Illinois ont demandé aux éditeurs de navigateurs de revoir le fonctionnement de ces pictogrammes.

Sources : Gizmodo , GitHub

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
8
Sans_Plot
C’est pas très chic tout ça :’(
vbond007
Ah ben si, il parait que le fric c’est chic ! (et tout ça c’est bien une question de fric au final)
Comcom1
Suffit que le navigateur demande le favicon en systématique et c’est réglé
DMartin
@vbond007 : c’est bien surtout une question de rentabilisation des coûts de développement, d’édition, d’hébergement de sites internet. Pour vous qui paie les salaires de toutes ces personnes chez Clubic ou autre ? Travaillez-vous vous même gratuitement ou le faite vous pour du « fric » ?
Sans_Plot
Je pense que le vrai problème qui est souvent critiqué, c’est surtout la vente et la récupération de nos données sans réelle transparence et sans nous laisser le choix de « refuser ».
Duben
Mais qui est très souvent lié au fait qu’on ne lit jamais les CGU
Sans_Plot
Elles sont faite justement pour qu’on ne les lisent pas (C’est pour ça que je parle de transparence, car c’est seulement un semblant de transparence (Voir l’affaire de SFR par exemple actuellement qui est un bel exemple de ce que j’ai en tête))
Feunoir
La version 85 de firefox est annoncée pour lutter contre ce genre de manip (même s’ils ne parlent pas de favicon mais de supercookies), donc est-ce vraiment encore d’actualité pour ce navigateur?<br /> Mozilla<br /> Firefox 85.0, See All New Features, Updates and Fixes<br />
Duben
Mouais là dessus je suis que moyennement d’accord. C’est un peu facile de dire ça alors qu’elles sont très accessibles. Ca manque sûrement d’une formation à l’utilisation d’internet (je parle pas pour toi mais de manière générale), et probablement que tout n’y est pas toujours mis mais quand les infos sont mises dans le contrat, je trouve qu’on peut pas trop se défendre sur le fait de ne pas les lire
Sans_Plot
Tu es allé voir l’exemple dont je te parle ? Et tu vois tous les cookies des sites ou tu dois refuser à chaque fois en passant par 3000 onglets / page (quand tu trouves comment refuser).<br /> Ce n’est clairement pas un problème des utilisateurs à ce niveau la mais carrément de l’escroquerie
Philmarc94
Je viens d’essayer Brave … C encore Pire … il faut cliquer sur toutes les Pubs (bitcoin et autres) pour acceder au moteur de recherche … Merci Clubic !
Voir tous les messages sur le forum

Derniers actualités

Les constructeurs américains mobilisés pour assurer le futur du cargo spatial Cygnus
WhatsApp vous proposera d'effacer un message 2 jours après son envoi
WhatsApp ajoute de nouvelles fonctionnalités de protection de votre vie privée, les voici
Ne manquez pas cette offre incroyable sur le Samsung S20 +
Avis aux gamers ! Cet écran PC signé Asus voit son prix chuter !
La montre connectée Samsung Galaxy Watch4 4G est à -100€ chez Fnac !
Dernières heures pour profiter du forfait Free 90 Go à prix fou
La dernière version de Microsoft Edge simplifie la migration depuis Google Chrome
Voila un tapis de souris XXL à moins de 15€ !
Economisez 150€ sur ce PC gaming de chez Asus en ce moment chez Darty
Haut de page