Firefox a abordé le sujet des « super-cookies » qui permettent de reconstruire le périple d'un utilisateur en partant d'une image stockée dans le cache de Firefox et en cherchant si ce visuel était présent sur différents sites. Les favicons comptent parmi ce genre de fichiers graphiques. Firefox 85 partitionne désormais les connexions réseau et les caches par site visité, afin de séparer ces informations.

Article du 25 janvier

Les navigateurs mettent en place des mesures de sécurité toujours plus sophistiquées pour empêcher les sites web de créer des profils destinés à vous présenter des publicités ciblées. Malgré leur efficacité, il est difficile de s’assurer pleinement qu’un utilisateur ne peut pas être suivi à son insu en détournant les fonctions de base du navigateur web. La preuve avec cette nouvelle démonstration de chercheurs en sécurité qui ont montré que les favicons pouvaient être détournés à cette fin.

Quatre chercheurs de l’université de Chicago ont réussi à créer un profil unique en utilisant uniquement des favicons, ces icônes associées à un site qui sont affichées dans les interfaces des navigateurs web. Dans tous les navigateurs, on peut les afficher sur chaque onglet, pour mieux identifier le site dans la barre d’onglets et on les retrouve aussi dans les favoris.

Ces favicons sont fournis par les sites web. L’URL de l’image est indiquée sur chaque page et le navigateur se charge de la télécharger pour l’afficher au bon emplacement. Pour éviter de télécharger à chaque fois cette ressource, tous les navigateurs l’ajoutent dans un cache, un dossier local où toutes les images sont stockées pour les futurs usages. Quand vous retournez sur le site, c’est ce fichier local qui est chargé, et non la copie distante.

Le cache de favicons est géré différemment du cache navigateur, celui qui contient les autres ressources des sites web, comme les images ou encore les fichiers JavaScript. Ce dernier peut être vidé à tout moment par l’utilisateur et le navigateur se charge de faire le ménage régulièrement. Ce n’est pas le cas des icônes des sites, qui ne sont pas supprimées en même temps que le cache navigateur. Par ailleurs, c’est le même cache qui est utilisé pour les sessions normales et privées, il n’y a pas de stockage distinct.

Dernière brique nécessaire, les navigateurs suivent les redirections. Sur la plupart des pages web, le favicon est renseigné sous la forme d’une image directement accessible, mais il peut aussi arriver que l’URL soit une redirection. Dans ce cas, le serveur renvoie le navigateur vers une autre URL, qui peut être l’image ou une autre redirection. Il n’y a pas de limite sur le nombre de redirections effectuées pour obtenir l’image, ce qui permet de créer un profil en les multipliant.

Les chercheurs en sécurité ont ainsi créé un dispositif qui se base sur de multiples redirections pour stocker dans le cache plusieurs favicons. La séquence d’images établit le profil : chaque utilisateur a des fichiers différents, ce qui permet de l’identifier et, par exemple, d’afficher alors des publicités qui correspondent à ses intérêts connus. D’après eux, Chrome et ses variantes (dont Edge de Microsoft et Brave) sont touchés, ainsi que Safari sur macOS comme sur iOS, mais pas Firefox à cause d’un bug qui empêche le navigateur d’utiliser correctement son cache.

J’ai toutefois noté pendant mes essais que le dossier des favicons était entièrement vidé par Safari quand je vidais le cache du navigateur¹. Apple a mis à jour son navigateur à deux reprises depuis la version utilisée par les chercheurs en sécurité, peut-être que la faille a été comblée entre temps. L’article propose d’ailleurs aux créateurs de navigateurs plusieurs solutions pour bloquer cette attaque de leurs sécurités. Il y en a des simples, comme d’utiliser un cache différent pour la navigation privée et d’autres plus complexes, par exemple de lier les favicons aux cookies pour supprimer les deux en même temps.

Quoi qu’il en soit, les navigateurs sont actuellement susceptibles d’être visés par une telle attaque et ils devront être mis à jour pour la bloquer. Inutile de paniquer toutefois, la preuve apportée par ces chercheurs en sécurité ne signifie pas qu’un tel suivi est simple à créer, surtout sur mobile où il faut quatre secondes en moyenne pour créer le profil puis pour y accéder par la suite. C’est toutefois un exemple intéressant du détournement d’une fonction en apparence anodine des navigateurs.

Ce n’est pas le premier exemple d’ailleurs. Récemment, c’est Do Not Track, une option qui permettait aux internautes de demander aux sites de ne plus les suivre, qui a été détournée. Non seulement les sites n’étaient pas obligés de respecter ce choix, mais il servait en plus à alimenter les profils à des fins publicitaires, ce qui a précipité sa disparition.