Vie privée : les favicons peuvent servir à établir un profil publicitaire dans les navigateurs  🆕

Nicolas Furno |

Firefox a abordé le sujet des « super-cookies » qui permettent de reconstruire le périple d'un utilisateur en partant d'une image stockée dans le cache de Firefox et en cherchant si ce visuel était présent sur différents sites. Les favicons comptent parmi ce genre de fichiers graphiques. Firefox 85 partitionne désormais les connexions réseau et les caches par site visité, afin de séparer ces informations.


Article du 25 janvier

Les navigateurs mettent en place des mesures de sécurité toujours plus sophistiquées pour empêcher les sites web de créer des profils destinés à vous présenter des publicités ciblées. Malgré leur efficacité, il est difficile de s’assurer pleinement qu’un utilisateur ne peut pas être suivi à son insu en détournant les fonctions de base du navigateur web. La preuve avec cette nouvelle démonstration de chercheurs en sécurité qui ont montré que les favicons pouvaient être détournés à cette fin.

Safari affiche les favicons des sites sur chaque onglet, ici sur un iPad.

Quatre chercheurs de l’université de Chicago ont réussi à créer un profil unique en utilisant uniquement des favicons, ces icônes associées à un site qui sont affichées dans les interfaces des navigateurs web. Dans tous les navigateurs, on peut les afficher sur chaque onglet, pour mieux identifier le site dans la barre d’onglets et on les retrouve aussi dans les favoris.

Ces favicons sont fournis par les sites web. L’URL de l’image est indiquée sur chaque page et le navigateur se charge de la télécharger pour l’afficher au bon emplacement. Pour éviter de télécharger à chaque fois cette ressource, tous les navigateurs l’ajoutent dans un cache, un dossier local où toutes les images sont stockées pour les futurs usages. Quand vous retournez sur le site, c’est ce fichier local qui est chargé, et non la copie distante.

Le cache de favicons est géré différemment du cache navigateur, celui qui contient les autres ressources des sites web, comme les images ou encore les fichiers JavaScript. Ce dernier peut être vidé à tout moment par l’utilisateur et le navigateur se charge de faire le ménage régulièrement. Ce n’est pas le cas des icônes des sites, qui ne sont pas supprimées en même temps que le cache navigateur. Par ailleurs, c’est le même cache qui est utilisé pour les sessions normales et privées, il n’y a pas de stockage distinct.

Le cache des favicons de Safari, avec l’icône du club iGen.

Dernière brique nécessaire, les navigateurs suivent les redirections. Sur la plupart des pages web, le favicon est renseigné sous la forme d’une image directement accessible, mais il peut aussi arriver que l’URL soit une redirection. Dans ce cas, le serveur renvoie le navigateur vers une autre URL, qui peut être l’image ou une autre redirection. Il n’y a pas de limite sur le nombre de redirections effectuées pour obtenir l’image, ce qui permet de créer un profil en les multipliant.

Les chercheurs en sécurité ont ainsi créé un dispositif qui se base sur de multiples redirections pour stocker dans le cache plusieurs favicons. La séquence d’images établit le profil : chaque utilisateur a des fichiers différents, ce qui permet de l’identifier et, par exemple, d’afficher alors des publicités qui correspondent à ses intérêts connus. D’après eux, Chrome et ses variantes (dont Edge de Microsoft et Brave) sont touchés, ainsi que Safari sur macOS comme sur iOS, mais pas Firefox à cause d’un bug qui empêche le navigateur d’utiliser correctement son cache.

J’ai toutefois noté pendant mes essais que le dossier des favicons était entièrement vidé par Safari quand je vidais le cache du navigateur1. Apple a mis à jour son navigateur à deux reprises depuis la version utilisée par les chercheurs en sécurité, peut-être que la faille a été comblée entre temps. L’article propose d’ailleurs aux créateurs de navigateurs plusieurs solutions pour bloquer cette attaque de leurs sécurités. Il y en a des simples, comme d’utiliser un cache différent pour la navigation privée et d’autres plus complexes, par exemple de lier les favicons aux cookies pour supprimer les deux en même temps.

Ces navigateurs web testés par les chercheurs en sécurité ne sont pas protégés contre leur méthode pour créer un profil publicitaire.

Quoi qu’il en soit, les navigateurs sont actuellement susceptibles d’être visés par une telle attaque et ils devront être mis à jour pour la bloquer. Inutile de paniquer toutefois, la preuve apportée par ces chercheurs en sécurité ne signifie pas qu’un tel suivi est simple à créer, surtout sur mobile où il faut quatre secondes en moyenne pour créer le profil puis pour y accéder par la suite. C’est toutefois un exemple intéressant du détournement d’une fonction en apparence anodine des navigateurs.

Ce n’est pas le premier exemple d’ailleurs. Récemment, c’est Do Not Track, une option qui permettait aux internautes de demander aux sites de ne plus les suivre, qui a été détournée. Non seulement les sites n’étaient pas obligés de respecter ce choix, mais il servait en plus à alimenter les profils à des fins publicitaires, ce qui a précipité sa disparition.


  1. Testé sur la version stable de Safari (14.0.2) sur la version stable de macOS Big Sur (11.1)  ↩︎

avatar SonicMaT | 

Je fais un hors sujet mais qqn à la solution pour avoir une barre de favoris juste avec les Favicons sous MacOS Big Sur ? 🙏🙏

avatar Rom 1 | 

@SonicMaT

Suis intéressé également, c'est ce qui me retient de passer sur Safari. J'aime bien avoir une succession de favicons dans la barre personnelle. Sur Firefox c'est possible en tout cas.

avatar lobofakes | 

@Rom 1

Pour moi c’est une vieille question qui revient régulièrement et qui n’est toujours pas réglée. Je crois que ce n’est toujours pas possible

avatar Baptiste_nv18 | 

@SonicMaT

En glissant les onglets vers la gauche ? Après ils sont épinglés et on ne voit plus que le favicon ? Peut-être que ça peut vous convenir ?

avatar fif | 

Bonjour.
Je peux me tromper. Les Sachants me corrigeront alors. Il me semble que le nombre de hop pour une redirection est limité par le protocole http. (Error 554, too many hops).
Donc les redirection illimitées, non.

avatar Sindanarie | 

@fif

Question intéressante 🤔
Je ne suis pas un sachant, mais t’inquiètes, ça en est kaffi ici habituellement, alors ça ne devrait pas tarder 😬

avatar xDave | 

@fif

Je me posais la même question mais on parle de favicon qui ont peut-être une mécanique différente (trou de sécu du protocole) ou de l’implémentation « light » de la part de tous les navigateurs (ce qui est étonnant).

avatar filaton | 

@fif

L'erreur 554, c'est du SMTP (et c'est "Transaction has failed", pas forcément "too many hops").

Pour HTTP, ce n'est pas limité par le protocole, mais par le navigateur/client (20 pour la majorité des navigateurs), comme spécifié sur le site du W3C (https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html section 10.3):

"A client SHOULD detect infinite redirection loops, since such loops generate network traffic for each redirection"

avatar fif | 

@filaton

"L'erreur 554, c'est du SMTP (et c'est "Transaction has failed", pas forcément "too many hops")."

My bad...

avatar DG33 | 

Vivement la MàJ des navigateurs afin d’éloigner cette menace potentielle.

avatar victoireviclaux | 

@DG33

Firefox, c'est ok pour l'instant 😁

avatar Liena1 | 

Décidément ! Nos données sont si importantes que tout est bon pour nous les subtiliser 😬
Jusque dans les favicons 🙄🙁

avatar mimot15 | 

@ Liena1 :
oui, TOUT est bon... et ce n'est pas uniquement pour le profil publicitaire. Ça vaut la peine de jeter un oeil sur le livre "L'âge du capitalisme de surveillance" par Shoshana Zuboff, un gros pavé mais qui en dit long sur ce qui se prépare pour le futur proche voire immédiat. L'auteure connaît parfaitement son sujet et en fait c'est carrément effrayant. Orwell avait raison, ce n'est pas arrivé en 1984 mais durant la première moitié du 21° siècle.

avatar laurenzobiato | 

Moi je pose aussi une question, avez-vous une solution pour valider automatiquement les cookies sur Safari?

avatar Sindanarie | 

@laurenzobiato

Sur iOS et iPadOS : Réglages / Safari / confidentialité et sécurité / désactiver « Bloquer les cookies »

avatar laurenzobiato | 

@Sindanárië

Merci je vais tester 👍🏻

avatar strix80 | 

@Sindanárië

Bonjour ,
“Sur iOS et iPadOS : Réglages / Safari / confidentialité et sécurité / désactiver « Bloquer les cookies »
Pouvez-vous éduquer l’intérêt de vouloir : “
valider automatiquement les cookies sur Safari” ?

avatar LittleBigFrancois | 

Mettre le favicon en cache c’est vraiment une économie de data microscopique en comparaison du poids des sites aujourd’hui. On pourrait totalement se séparer de cette mise en cache.

avatar xDave | 

@LittleBigFrancois

Le souci serait une requête systématique inutile à chaque page ou connexion au site

avatar jackhal | 

Non, le souci serait des requêtes systématiques dès que tu ouvres ton navigateur (si tu affiches la barre de favoris, par exemple, ou si tu ouvres le menu signets).
Tu as 20 favoris ? 20 requêtes DNS + 20 requêtes aux sites, qui du coup sont informés de l'heure à laquelle tu ouvres ton navigateur sans même les visiter : bravo la confidentialité.

Le message initial peut être renversé : "ne pas mettre les favoris en cache, c'est une économie de stockage microscopique en comparaison des requêtes/implications de sur la confidentialité. On pourrait tout à fait les mettre en cache".

avatar 7X | 

Je viens de regarder : sans l'avoir jamais vidé, j'ai 3 favicons dans le dossier /Bibliothèque/Safari/Favicon Cache
Il doit y avoir des mécanismes de purge.

avatar Fennec72 | 

« Les navigateurs mettent en place des mesures de sécurité toujours plus sophistiquées pour empêcher les sites web de créer des profils destinés à vous présenter des publicités ciblées. »

En lisant la première phrase de cet article, j’ai comme un gros doute concernant Google Chrome étant donné que Google gagne beaucoup d’argent avec les publicités ciblées.

avatar 7X | 

@Fennec72
Si j'ai bien compris, ces favicons piégés profitent aux sites Web visités. Google n'est pas forcément dans la boucle.

avatar marc_os | 

"chaque utilisateur a des fichiers différents"

Ah bon, le navigateur n'affiche pas les mêmes fichiers pour tout le monde ?
Les urls renvoient donc des résultats différents selon l'utilisateur ? 😳

avatar Nicolas Furno | 

@marc_os

Le fichier final sera peut-être le même (et encore, même pas obligé), mais l’idée c’est d’en charger cinq ou dix intermédiaires pour créer un profil unique. Ceux-là sont pas visibles, mais ils sont stockés dans le cache et peuvent servir à vous identifier, en théorie.

avatar Pascal R. | 

@Nicolas F
Décocher l'option dans les Préférences de Safari : "Afficher les icônes des sites web dans les onglets" peut-il avoir une quelconque incidence sur le mécanisme à l'oeuvre dans le cas présent ?

avatar Nicolas Furno | 

@Pascal R.

Non, le favicon est toujours chargé, il est juste masqué de l’interface.

avatar kitetrip | 

Dire que des développeurs acceptent de coder des trucs pareils...

avatar 7X | 

@kitetrip

Nous les plaçons sur un piédestal, mais en fait, ils ne sont que des humains.

avatar marc_os | 

@ kitetrip

Dixit l'inspecteur des travaux fini.
Tu fais quoi dans la vie ?

avatar Sindanarie | 

@marc_os

"Dixit l'inspecteur des travaux fini.
Tu fais quoi dans la vie ?"

Il est Critique !
C’est un métier, faut pas croire 😬

avatar drudru | 

Pour avoir un peu cherché pour trouver une solution pour me protéger d’un tracking ayant pour objectif d’afficher des pubs personnalisées, j’en suis arrivé à la conclusion que c’était extrêmement compliqué et que ça suppose de faire des concessions un peu pénibles. Si quelqu’un a la solution miracle, je prends.

Finalement il est plus facile de bloquer les pubs. Ce qui n’empêche pas de constituer un profil pour un autre usage. Mais au moins je n’ai plus à supporter les pubs. Là encore il faut accepter de ne pas avoir accès à certains sites qui bloquent l’accès. Mais ça me semble un deal tout à fait acceptable. Rien n’est gratuit, donc soit on paie soit on bloque la pub mais on se passe de certains services.

avatar CNNN | 

@drudru

Tu peux facilement contourner le contournement 😅

avatar marc_os | 

@ CNNN

Tu peux facilement affirmer ce que tu veux et dire n'importe quoi.
Il suffit comme tu le fais parfaitement de ne citer aucune source, de n'apporter aucun argument.

avatar Sindanarie | 

@marc_os

"Il suffit comme tu le fais parfaitement de ne citer aucune source, de n'apporter aucun argument."

Justement, ça s’appelle contourner !
Voilà !
Il applique sa technique 😬

CONNEXION UTILISATEUR