...
Astuces de vie, conseils utiles, recommandations. Articles pour hommes et femmes. Nous écrivons sur la technologie et sur tout ce qui est intéressant.

Le mode navigation privée n’aidera pas. La nouvelle technologie vous permet de suivre les utilisateurs via le favicon.

5

De nouveaux trackers intégrés au navigateur peuvent suivre vos activités même lorsque vous êtes connecté à un VPN et que le mode incognito est activé

Le fait que les activités d’un utilisateur puissent être suivies par les sites qu’il visite a donné naissance à des navigateurs et à des extensions de confidentialité tels que Privacy Badger. Les utilisateurs activent également le mode incognito lorsqu’ils naviguent sur Internet et suppriment régulièrement les cookies. Cependant, toutes ces précautions sont inutiles face au nouveau genre de trackers.

Ces trackers utilisent des favicons, de minuscules icônes qui apparaissent avec le site dans l’onglet du navigateur et dans la liste des signets. Des chercheurs de l’Université de l’Illinois à Chicago ont déclaré dans un nouvel article que la plupart des navigateurs cachent ces images dans un dossier séparé de l’historique de navigation et des données des cookies. Les sites peuvent abuser de ce fait en téléchargeant une série de favicons sur le navigateur de l’utilisateur qui gardera une trace de son activité sur une longue période.

"Puissant vecteur de suivi"

"Alors que les favicons ont été pendant de nombreuses années considérées comme de simples ajouts décoratifs au nom d’un site, car le navigateur les affiche à l’utilisateur pour mieux se souvenir de la marque d’une entreprise, l’étude prouve qu’elles représentent un ‘ puissant vecteur de suivi ‘. Ce type de suivi cache une menace importante pour la vie privée de l’utilisateur », expliquent des chercheurs de Chicago. De plus, selon eux :

«Avec les favicons, le suivi peut être facilement mis en œuvre par n’importe quel site Web sans nécessiter d’interaction ou de consentement de l’utilisateur. Le tracker collectera des informations sur les activités d’une personne même lors de l’utilisation d’extensions anti-tracking populaires. De plus, la façon dont les navigateurs modernes utilisent la mise en cache rend une telle attaque contre les données des utilisateurs particulièrement dangereuse, car les favicons sont affichés (et mis en cache) même lors de la navigation en mode incognito. Cela est dû à l’application de pratiques de confidentialité incorrectes dans tous les principaux navigateurs.

Vos activités peuvent être facilement suivies si vous utilisez Chrome, Safari et Edge. Il convient de noter que les développeurs de Brave ont déjà créé des contre-mesures efficaces pour ce type de surveillance. Ils n’ont pu le faire qu’après avoir reçu un rapport privé de chercheurs de l’Université de Chicago. Firefox n’est pas sensible à ce type d’attaque car il comporte un certain nombre de bogues de mise en cache des favicons.

Les navigateurs stockent les favicons dans un cache afin qu’ils n’aient pas à les demander à chaque fois à un site Web. Ce cache n’est pas supprimé lorsque les utilisateurs effacent le cache ou les cookies de leur navigateur. Il est activement utilisé, même si vous passez en mode de navigation privée. Un site Web enregistre une certaine combinaison de favicons lorsqu’une personne ouvre les pages d’une ressource pour la première fois. En recherchant ces images dans le cache, un site Web peut identifier le navigateur d’un utilisateur particulier lorsqu’il revisite la ressource. Même si une personne utilise des mesures actives pour empêcher le suivi, elle sera toujours reconnue.

Le suivi dans les navigateurs est un problème depuis l’avènement d’Internet. Comme les utilisateurs ont appris à supprimer facilement les cookies, les sites Web ont mis au point de nouvelles façons d’identifier leurs visiteurs.

L’une de ces méthodes de suivi est connue sous le nom d’ empreintes digitales (ou d’ empreintes digitales ). Il s’agit d’un processus au cours duquel des informations sont collectées sur la résolution de l’écran, la liste des polices disponibles, la version du logiciel et d’autres propriétés de l’ordinateur de l’utilisateur. Ainsi, sur la base des données collectées, un profil est créé qui est attribué à une machine spécifique. Une étude de 2013 a révélé que 1,5 % des sites Web les plus populaires au monde utilisent cette méthode de suivi. L’empreinte digitale de l’appareil est efficace même lorsque les utilisateurs utilisent plusieurs navigateurs. En guise de contre-mesure, certains navigateurs ont tenté de limiter ce suivi, mais souvent sans succès.

Assez et deux secondes

Les sites Web peuvent utiliser cette méthode en redirigeant les utilisateurs vers un certain nombre de sous-domaines (chacun avec leur propre favicon) avant qu’ils n’atterrissent sur la page demandée. Le nombre de redirections requises varie en fonction du nombre de visiteurs uniques du site. Pour pouvoir suivre 4,5 milliards de navigateurs uniques, un site Web devrait rediriger l’utilisateur 32 fois. Chaque redirection prend 1 bit d’entropie. Cela ajoute environ 2 secondes au temps de chargement total de la page souhaitée par l’utilisateur. Les sites Web peuvent réduire ce délai avec des paramètres spéciaux .

L’article l’explique ainsi :

Compte tenu des propriétés des navigateurs modernes, nous voyons un nouveau mécanisme de suivi constant de l’activité des utilisateurs, qui permet aux sites Web d’identifier une personne lors d’une visite répétée à une ressource, même si elle utilise le mode incognito ou a déjà vidé le cache. En particulier, les sites Web peuvent créer et stocker un identifiant de navigateur unique grâce à une combinaison d’entrées favicon mises en cache. De plus, ce suivi peut être effectué par n’importe quel site Web. Il suffit de rediriger l’utilisateur de manière appropriée via une série de sous-domaines. Ces sous-domaines ont des favicons différents et créent ainsi leurs propres entrées de cache de favicon. Un ensemble de n-sous-domaines peut être utilisé pour créer un identifiant de n bits unique pour chaque navigateur. Étant donné que l’attaquant a un contrôle total sur le site Web, il peut rediriger l’utilisateur à travers des centaines de sous-domaines sans aucune interaction avec lui. En effet, la présence d’un favicon dans le cache du sous-domaine correspond à une valeur de 1 dans le bit d’identifiant, et son absence donnera une valeur de 0.

Chercheurs qui se sont penchés sur cette question: Konstantinos Solomos, John Kristoff, Chris Kanich et Jason Polakis. Ils travaillent tous à l’Université de l’Illinois à Chicago.

Un porte-parole de Google a déclaré que la société était déjà au courant de ce type de suivi et travaillait sur des contre-mesures. Pendant ce temps, un porte-parole d’Apple affirme que la société n’étudie que les résultats obtenus dans l’étude. Les chercheurs de Chicago ont également contacté Microsoft et Brave, qui n’ont pas encore commenté.

Comme indiqué précédemment, Brave peut bloquer ce type de suivi.

Selon arsTechnica.
Image de couverture: Ricardo Santos

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More