Les pictogrammes - ou favicons - identifiant les sites internet pourraient se révéler une nouvelle manière de pister l'utilisateur. Et à l'heure actuelle, il serait impossible de s'en débarrasser.
Les internautes retrouveront-ils un brin de vie privée ? C'est ce qu'on aurait pu penser au regard des efforts de différentes sociétés. Cependant, un chercheur a découvert une vulnérabilité affectant les favicons, ces logos de sites internet affichés généralement à gauche de chaque onglet.
Une nouvelle technique pour le pistage
Google a récemment présenté son initiative Privacy Sandbox visant à renforcer davantage la vie privée des internautes tout en permettant aux annonceurs d'obtenir certaines informations sur leurs centres d'intérêt. Il s'agit donc de mettre en place un compromis. Chez Apple, iOS et iPad OS permettront prochainement aux utilisateurs de bloquer tout pistage, une initiative que les annonceurs et les sociétés reposant sur un modèle publicitaire ne voient clairement pas d'un très bon œil.
Toutefois, il semblerait que d'autres techniques plus pernicieuses puissent être exploitées, telles que celle découverte par le développeur allemand Jonas Strehle et publiée sur GitHub.
L'homme explique en effet que le favicon d'un site Web peut être utilisé pour stocker un identifiant unique. Comme le rapporte Gizmodo, ce dernier peut être lu même « lorsque le navigateur est en mode Incognito, il ne disparaît pas même lorsqu'on vide le cache, lorsqu'on ferme le navigateur, lorsqu'on redémarre le système, lorsqu'on utilise un VPN ou lorsqu'on installe un adblocker ». Autant dire que cette découverte dévoile des techniques qui peuvent être particulièrement redoutables.
Tous les principaux navigateurs sont affectés
Lorsque l'on visite un site internet pour la première fois, le favicon se met automatiquement en cache dans le navigateur. À la seconde visite, le logiciel vérifie si cette icône a précédemment été stockée dans ce conteneur spécifique baptisé F-Cache. Si la donnée n'est pas présente ou si elle est obsolète, le navigateur envoie une requête au serveur du site Web. Si la donnée est correcte, aucune requête n'est effectuée.
Jonas Strehle explique cependant que ce dispositif peut être abusé. Lorsque le site Web est rechargé, le serveur Web peut reconstruire le numéro d'identification avec les requêtes réseau envoyées par le client pour le favicon manquant et de fait identifier le navigateur.
Chrome, Safari, Edge ou Firefox seraient tous affectés par cette potentielle menace. Brave en revanche, s'en sortirait le mieux.
Le favicon pourrait ainsi se transformer en super cookie et des chercheurs de l'Université de l'Illinois ont demandé aux éditeurs de navigateurs de revoir le fonctionnement de ces pictogrammes.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Lire d'autres articles
