Ouvrir le menu principal

MacGeneration

Recherche

Vie privée : les favicons peuvent servir à établir un profil publicitaire dans les navigateurs  🆕

Nicolas Furno

lundi 25 janvier 2021 à 14:24 • 35

Logiciels

Firefox a abordé le sujet des « super-cookies » qui permettent de reconstruire le périple d'un utilisateur en partant d'une image stockée dans le cache de Firefox et en cherchant si ce visuel était présent sur différents sites. Les favicons comptent parmi ce genre de fichiers graphiques. Firefox 85 partitionne désormais les connexions réseau et les caches par site visité, afin de séparer ces informations.


Article du 25 janvier

Les navigateurs mettent en place des mesures de sécurité toujours plus sophistiquées pour empêcher les sites web de créer des profils destinés à vous présenter des publicités ciblées. Malgré leur efficacité, il est difficile de s’assurer pleinement qu’un utilisateur ne peut pas être suivi à son insu en détournant les fonctions de base du navigateur web. La preuve avec cette nouvelle démonstration de chercheurs en sécurité qui ont montré que les favicons pouvaient être détournés à cette fin.

Safari affiche les favicons des sites sur chaque onglet, ici sur un iPad.

Quatre chercheurs de l’université de Chicago ont réussi à créer un profil unique en utilisant uniquement des favicons, ces icônes associées à un site qui sont affichées dans les interfaces des navigateurs web. Dans tous les navigateurs, on peut les afficher sur chaque onglet, pour mieux identifier le site dans la barre d’onglets et on les retrouve aussi dans les favoris.

Ces favicons sont fournis par les sites web. L’URL de l’image est indiquée sur chaque page et le navigateur se charge de la télécharger pour l’afficher au bon emplacement. Pour éviter de télécharger à chaque fois cette ressource, tous les navigateurs l’ajoutent dans un cache, un dossier local où toutes les images sont stockées pour les futurs usages. Quand vous retournez sur le site, c’est ce fichier local qui est chargé, et non la copie distante.

Le cache de favicons est géré différemment du cache navigateur, celui qui contient les autres ressources des sites web, comme les images ou encore les fichiers JavaScript. Ce dernier peut être vidé à tout moment par l’utilisateur et le navigateur se charge de faire le ménage régulièrement. Ce n’est pas le cas des icônes des sites, qui ne sont pas supprimées en même temps que le cache navigateur. Par ailleurs, c’est le même cache qui est utilisé pour les sessions normales et privées, il n’y a pas de stockage distinct.

Le cache des favicons de Safari, avec l’icône du club iGen.

Dernière brique nécessaire, les navigateurs suivent les redirections. Sur la plupart des pages web, le favicon est renseigné sous la forme d’une image directement accessible, mais il peut aussi arriver que l’URL soit une redirection. Dans ce cas, le serveur renvoie le navigateur vers une autre URL, qui peut être l’image ou une autre redirection. Il n’y a pas de limite sur le nombre de redirections effectuées pour obtenir l’image, ce qui permet de créer un profil en les multipliant.

Les chercheurs en sécurité ont ainsi créé un dispositif qui se base sur de multiples redirections pour stocker dans le cache plusieurs favicons. La séquence d’images établit le profil : chaque utilisateur a des fichiers différents, ce qui permet de l’identifier et, par exemple, d’afficher alors des publicités qui correspondent à ses intérêts connus. D’après eux, Chrome et ses variantes (dont Edge de Microsoft et Brave) sont touchés, ainsi que Safari sur macOS comme sur iOS, mais pas Firefox à cause d’un bug qui empêche le navigateur d’utiliser correctement son cache.

J’ai toutefois noté pendant mes essais que le dossier des favicons était entièrement vidé par Safari quand je vidais le cache du navigateur1. Apple a mis à jour son navigateur à deux reprises depuis la version utilisée par les chercheurs en sécurité, peut-être que la faille a été comblée entre temps. L’article propose d’ailleurs aux créateurs de navigateurs plusieurs solutions pour bloquer cette attaque de leurs sécurités. Il y en a des simples, comme d’utiliser un cache différent pour la navigation privée et d’autres plus complexes, par exemple de lier les favicons aux cookies pour supprimer les deux en même temps.

Ces navigateurs web testés par les chercheurs en sécurité ne sont pas protégés contre leur méthode pour créer un profil publicitaire.

Quoi qu’il en soit, les navigateurs sont actuellement susceptibles d’être visés par une telle attaque et ils devront être mis à jour pour la bloquer. Inutile de paniquer toutefois, la preuve apportée par ces chercheurs en sécurité ne signifie pas qu’un tel suivi est simple à créer, surtout sur mobile où il faut quatre secondes en moyenne pour créer le profil puis pour y accéder par la suite. C’est toutefois un exemple intéressant du détournement d’une fonction en apparence anodine des navigateurs.

Ce n’est pas le premier exemple d’ailleurs. Récemment, c’est Do Not Track, une option qui permettait aux internautes de demander aux sites de ne plus les suivre, qui a été détournée. Non seulement les sites n’étaient pas obligés de respecter ce choix, mais il servait en plus à alimenter les profils à des fins publicitaires, ce qui a précipité sa disparition.


  1. Testé sur la version stable de Safari (14.0.2) sur la version stable de macOS Big Sur (11.1)  ↩︎

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Des aspirateurs robots qui s’intègrent à Apple Maison en promo pour le Prime Day

09/07/2025 à 21:48

• 7


Un cabinet d’analystes souhaite pousser Tim Cook vers la sortie

09/07/2025 à 21:45

• 84


Les offres du Prime Day à ne pas rater : AirPods Pro 2, serrures connectées, iPhone 16e…

09/07/2025 à 21:19

• 20


Prime Day : nouveaux prix record sur les MacBook Air et Mac mini M4

09/07/2025 à 21:10

• 1


Test de la BeeStation Plus : le NAS pour ceux qui ne veulent pas de NAS

09/07/2025 à 20:30

• 2


Prime Day : Microsoft 365 à prix cassé, le bon moment pour renouveler son abonnement

09/07/2025 à 19:28

• 14


Presto pourrait aussi mettre à jour les Mac sans ouvrir la boîte

09/07/2025 à 19:01

• 35


Prime Day : des promos sur les boitiers USB4, une alternative aux SSD externes clés en main

09/07/2025 à 16:17

• 3


Prime Day : l’excellent SSD externe Corsair USB4 de 1 To à 99 €, son prix le plus bas

09/07/2025 à 15:38

• 5


GlobalFoundries, un fondeur, achète MIPS (star déchue des processeurs) pour ses puces RISC-V

09/07/2025 à 15:15

• 9


Photoshop et le Creative Cloud deviennent plus accessibles pendant le Prime Day

09/07/2025 à 14:53

• 5


FileMaker Pro 2025 : une licence unifiée et toujours plus d'IA

09/07/2025 à 14:22

• 5


Un ingénieur d'Apple a failli se faire virer à cause d'un Easter Egg

09/07/2025 à 13:08

• 17


Starlink propose une alimentation AC/DC pour ses antennes

09/07/2025 à 12:30

• 21


Prime Day : l’Apple Watch Series 10 à son prix le plus bas et avec beaucoup de choix

09/07/2025 à 12:19

• 16


Prime Day : le bon tapis de bureau Logitech à 5,32 € seulement

09/07/2025 à 09:51

• 16