Les favicons : une menace possible pour la vie privée des utilisateurs

Posté le 16 mars 2021 par

Des chercheurs de l’Université de l’Illinois à Chicago ont récemment présenté leur étude sur la découverte d’un tout nouveau système de tracking qui fonctionne même si vous videz votre cache ou passez en mode incognito sur votre navigateur web. Ce serait même au moins quatre des principaux navigateurs web qui seraient touchés par ce système de tracking. Cette technique s’appuie sur l’utilisation des favicons, ces petites icônes que les sites Web affichent dans les onglets du navigateur et les listes de signets des utilisateurs.

Les favicons, petites images pas vraiment anodines pour la vie privée

favicons-imgDepuis quelques années, beaucoup de sujets ont fait surface sur la vie privée des utilisateurs sur le Web, et un nombre croissant de solutions open source ont vu le jour pour que chaque utilisateur puisse se protéger contre le tracking et les autres menaces du Web. Il existe notamment de nombreuses extensions anti-pistage de navigateurs comme uBlock ou Privacy Badger par exemple. Chaque utilisateur peut également activer une session de navigation privée ou effacer ses cookies.

Pourtant, il existe aujourd’hui une méthode des plus originales pour que les sites web déjouent ces mesures. En apparence tout à fait anodine, l’étude indique que la plupart des navigateurs mettent les images en cache dans un emplacement distinct de ceux utilisés pour stocker les données du site, l’historique de navigation et les cookies. Les sites web peuvent abuser de cet arrangement en chargeant une série de favicons sur les navigateurs des visiteurs qui les identifient de manière unique sur une longue période.

« Dans l’ensemble, alors que les favicons ont longtemps été considérés comme une simple ressource décorative prise en charge par les navigateurs pour faciliter l’image de marque des sites Web, notre recherche démontre qu’ils introduisent un puissant vecteur de suivi qui représente une menace importante pour la vie privée des utilisateurs », écrivent les chercheurs.

« Le flux d’attaque peut être facilement mis en œuvre par n’importe quel site Web, sans qu’il soit nécessaire d’obtenir l’interaction ou le consentement de l’utilisateur, et fonctionne même lorsque des extensions anti-pistage populaires sont déployées. Pour aggraver les choses, le comportement de mise en cache idiosyncrasique des navigateurs modernes, prête une propriété particulièrement flagrante à notre attaque car les ressources dans le cache du favicon sont utilisées même lors de la navigation en mode incognito en raison de pratiques d’isolation incorrectes dans tous les principaux navigateurs. »

Les sites web cherchent à identifier les navigateurs des visiteurs et plus encore

Ce tracking via les favicons fonctionnerait sous Chrome, Safari, Edge. Le navigateur Brave aurait développé une contre-mesure efficace après avoir reçu un rapport privé des chercheurs. Firefox serait également sensible à cette technique, mais un bug empêche l’attaque de fonctionner pour le moment.

Pour aller plus en détail, les favicons fournissent aux utilisateurs une petite icône qui peut être unique pour chaque domaine ou sous-domaine sur Internet. Les sites web les utilisent pour aider les utilisateurs à identifier plus facilement les pages qui sont actuellement ouvertes dans les onglets du navigateur ou qui sont stockées dans des listes de signets.

Les navigateurs enregistrent les icônes dans un cache afin de ne pas avoir à les demander sans cesse. Ce cache n’est pas vidé lorsque les utilisateurs effacent le cache ou les cookies de leur navigateur, ou lorsqu’ils passent en mode de navigation privée. Un site web peut exploiter ce comportement en stockant une combinaison spécifique de favicons lorsque les utilisateurs le visitent pour la première fois, puis en vérifiant ces images lorsque les utilisateurs revisitent le site, ce qui permet au site web d’identifier le navigateur même lorsque les utilisateurs ont pris des mesures actives pour empêcher le suivi.

Le suivi des navigateurs est une préoccupation depuis l’avènement d’internet dans les années 1990. Dès qu’il est devenu facile pour les utilisateurs d’effacer les cookies de leur navigateur, les sites web ont imaginé d’autres moyens d’identifier les navigateurs des visiteurs.

L’une de ces méthodes est connue sous le nom de « device fingerprinting », un processus qui collecte la taille de l’écran, la liste des polices disponibles, les versions des logiciels et d’autres propriétés de l’ordinateur du visiteur pour créer un profil souvent unique à cette machine. Une étude de 2013 a révélé que 1,5 % des sites les plus populaires au monde utilisaient cette technique.

Les favicons font passer discrètement les visiteurs par une série de sous-domaine

Les sites Web peuvent exploiter ce nouveau canal des favicons en faisant passer les visiteurs par une série de sous-domaines, chacun ayant sa propre favicon, avant de les amener à la page demandée. Le nombre de redirections nécessaires varie en fonction du nombre de visiteurs uniques d’un site. Pour pouvoir suivre 4,5 milliards de navigateurs uniques, un site Web aurait besoin de 32 redirections. Cela ajouterait environ 2 secondes au temps nécessaire au chargement de la page finale. Avec des ajustements, les sites Web peuvent réduire ce délai.

L’article l’explique de la manière suivante :

« En exploitant toutes ces propriétés, nous démontrons un nouveau mécanisme de suivi persistant qui permet aux sites Web de réidentifier les utilisateurs au fil des visites, même s’ils sont en mode incognito ou ont effacé les données du navigateur côté client.

Plus précisément, les sites web peuvent créer et stocker un identifiant de navigateur unique par le biais d’une combinaison unique d’entrées dans le cache du favicon. Pour être plus précis, ce suivi peut être facilement effectué par tout site web en redirigeant l’utilisateur en conséquence à travers une série de sous-domaines. Ces sous-domaines servent des favicons différents et, par conséquent, créent leurs propres entrées dans le Favicon-Cache.

Par conséquent, un ensemble de N-sous-domaines peut être utilisé pour créer un identifiant de N bits, qui est unique pour chaque navigateur. Comme l’attaquant contrôle le site web, il peut forcer le navigateur à visiter des sous-domaines sans aucune interaction avec l’utilisateur. »

Les chercheurs à l’origine de ces résultats sont : Konstantinos Solomos, John Kristoff, Chris Kanich et Jason Polakis, tous de l’Université de l’Illinois à Chicago. Ils ont présenté leurs recherches le 22 février 2021 au symposium du SNSD sous le titre « Tales of Favicons and Caches: Persistent Tracking in Modern Browsers« 

Un porte-parole de Google a déclaré que la société était au courant de ces recherches et qu’elle travaillait sur un correctif. Un représentant d’Apple, quant à lui, a déclaré que l’entreprise examinait les résultats. Jusqu’à ce que des correctifs soient disponibles, les personnes qui souhaitent se protéger doivent chercher comment désactiver l’utilisation des favicons sur leur navigateur préféré.

Source (traduction) : Arstechnica.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *