Selon des chercheurs, les favicons peuvent être utilisées pour vous pister
Le 25 janvier 2021 à 09h43
2 min
Internet
Internet
C’est en tout ce qu’affirment Konstantinos Solomos, John Kristoff, Chris Kanich et Jason Polakis de l’université de l’Illinois à Chicago, dans leur publication « Tales of F A V I C O N S and Caches: Persistent Tracking in Modern Browsers », comme le rapporte Ghacks.
Les chercheurs affirment qu’un « site Web peut suivre les utilisateurs à travers les sessions de navigation en stockant un identifiant de suivi sous la forme d'un ensemble d'entrées dans le cache dédié aux favicon du navigateur ».
Lors de ses prochaines visites, « le site peut reconstruire l'identifiant en observant quelles favicons sont demandées par le navigateur ». Et puisque les favicons sont également présentes en mode incognito, le tracking y serait aussi possible ajoutent les chercheurs.
Ces derniers détaillent une attaque dans leur publication et affirment qu’elle « fonctionne dans tous les principaux navigateurs qui utilisent un cache pour les favicons, y compris Chrome et Safari ».
« En raison de la gravité de notre attaque, nous proposons des modifications du comportement de mise en cache des favicons par les navigateurs afin d'empêcher cette forme de suivi. Nous avons présenté nos résultats aux développeurs des navigateurs, qui explorent actuellement des stratégies d'atténuation appropriées », ajoutent-ils.
Les détails techniques se trouvent par ici.
Le 25 janvier 2021 à 09h43
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/01/2021 à 10h13
Le retour de l’utilisation détournée de l’ETag ;)
Le 25/01/2021 à 11h01
On appréciera les méthodes des auteurs du papier au passage…
Le 25/01/2021 à 12h55
Cf. leur réponse.
De l’habitude de ne pas considérer comme de la malice ce qui peut généralement s’expliquer par une erreur.
Le 25/01/2021 à 13h01
Cf. La réponse d’après
Le fait qu’ils considèrent toujours ça comme un bug dans firefox semble indiquer de la malice de leur part.
Le 25/01/2021 à 15h48
Celui qui a fait cette réponse a mal compris ce à quoi se référait “security bug”. C’était en fait l’utilisation du cache pour favicon qui était un security bug, pas le bug remonté au début de ce fil sur bugzilla. La preuve, la description initiale du bug ne parlait pas de sécurité.
Le 25/01/2021 à 16h02
Je t’avoue que je trollais à moitié, j’avais juste envie de reprendre le commentaire d’après avec la même forme que lui. Ce n’était sans doute pas intelligent
Le 25/01/2021 à 13h29
Je peux effectivement vous confirmer que cette méthode est utilisée par certaines sociétés pour pister les sites visités et faire de la personnalisation “intelligente”. 🤓
Ça fait plusieurs années déjà.
Le 25/01/2021 à 17h22
Pour bosser dans une équipe qui fait en partie de la sécu avec études de surface d’attaque etc.. il faut être un peu bêbête pour juger ces chercheurs de chercher des failles dans un objectif fantasmé de proposer des nouvelles méthodes de tracking.
On cherche des failles, on analyse les conséquences de ces failles, on remonte aux devs, on dévoile ensuite.
A aucun moment la case départ c’est “on cherche un truc pour mieux pister les gens” => on trouve une faille => on dit que c’est un bug quand certains sont pas sujet à la faille. Un gars avec cette mentalité là, il sera pas chercheur, il fera du service pour des sociétés de marketing (et dévoilera pas la faille aux devs…).
Le 26/01/2021 à 10h53
Solution : supprimer les cache de ces saloperies dans les navigateurs.