C’est en tout ce qu’affirment Konstantinos Solomos, John Kristoff, Chris Kanich et Jason Polakis de l’université de l’Illinois à Chicago, dans leur publication « Tales of F A V I C O N S and Caches: Persistent Tracking in Modern Browsers », comme le rapporte Ghacks.
Les chercheurs affirment qu’un « site Web peut suivre les utilisateurs à travers les sessions de navigation en stockant un identifiant de suivi sous la forme d'un ensemble d'entrées dans le cache dédié aux favicon du navigateur ».
Lors de ses prochaines visites, « le site peut reconstruire l'identifiant en observant quelles favicons sont demandées par le navigateur ». Et puisque les favicons sont également présentes en mode incognito, le tracking y serait aussi possible ajoutent les chercheurs.
Ces derniers détaillent une attaque dans leur publication et affirment qu’elle « fonctionne dans tous les principaux navigateurs qui utilisent un cache pour les favicons, y compris Chrome et Safari ».
« En raison de la gravité de notre attaque, nous proposons des modifications du comportement de mise en cache des favicons par les navigateurs afin d'empêcher cette forme de suivi. Nous avons présenté nos résultats aux développeurs des navigateurs, qui explorent actuellement des stratégies d'atténuation appropriées », ajoutent-ils.
Les détails techniques se trouvent par ici.
Commentaires (9)
#1
Le retour de l’utilisation détournée de l’ETag ;)
#2
On appréciera les méthodes des auteurs du papier au passage…
#3
Cf. leur réponse.
De l’habitude de ne pas considérer comme de la malice ce qui peut généralement s’expliquer par une erreur.
#3.1
Cf. La réponse d’après
Le fait qu’ils considèrent toujours ça comme un bug dans firefox semble indiquer de la malice de leur part.
#3.2
Celui qui a fait cette réponse a mal compris ce à quoi se référait “security bug”. C’était en fait l’utilisation du cache pour favicon qui était un security bug, pas le bug remonté au début de ce fil sur bugzilla. La preuve, la description initiale du bug ne parlait pas de sécurité.
#3.3
Je t’avoue que je trollais à moitié, j’avais juste envie de reprendre le commentaire d’après avec la même forme que lui. Ce n’était sans doute pas intelligent
#4
Je peux effectivement vous confirmer que cette méthode est utilisée par certaines sociétés pour pister les sites visités et faire de la personnalisation “intelligente”. 🤓
Ça fait plusieurs années déjà.
#5
Pour bosser dans une équipe qui fait en partie de la sécu avec études de surface d’attaque etc.. il faut être un peu bêbête pour juger ces chercheurs de chercher des failles dans un objectif fantasmé de proposer des nouvelles méthodes de tracking.
On cherche des failles, on analyse les conséquences de ces failles, on remonte aux devs, on dévoile ensuite.
A aucun moment la case départ c’est “on cherche un truc pour mieux pister les gens” => on trouve une faille => on dit que c’est un bug quand certains sont pas sujet à la faille. Un gars avec cette mentalité là, il sera pas chercheur, il fera du service pour des sociétés de marketing (et dévoilera pas la faille aux devs…).
#6
Solution : supprimer les cache de ces saloperies dans les navigateurs.