Quand les liens deviennent violets : comment vos clics menacent votre vie privée

En avril, la publication de la version 136 de Google Chrome a enfin permis de résoudre un problème de confidentialité du navigateur largement connu depuis 2002 (problème qui, soit dit en passant, est également présent dans tous les autres grands navigateurs). C’était une très mauvaise nouvelle pour les spécialistes du marketing peu scrupuleux, qui exploitaient ce système à grande échelle depuis 15 ans. Au vu de cette description inquiétante, vous serez peut-être surpris d’apprendre que la menace est en réalité une fonctionnalité courante et à première vue inoffensive : les liens que votre navigateur met en évidence dans une couleur différente une fois que vous les avez visités.

Du bleu au violet : quand les couleurs trahissent

Le changement de la couleur des liens des sites visités (par défaut du bleu au violet) a été introduit pour la première fois il y a 32 ans dans le navigateur Mosaic de la NCSA. Par la suite, cette pratique conviviale a été adoptée par presque tous les navigateurs dans les années 1990. Elle est ensuite devenue la norme pour les feuilles de style en cascade (CSS), un langage permettant d’ajouter des éléments stylistiques aux pages Internet. Ce recoloriage est effectué par défaut dans tous les navigateurs populaires aujourd’hui.

Cependant, dès 2002, des chercheurs ont remarqué que cette fonctionnalité pouvait être utilisée de manière abusive en plaçant des centaines ou des milliers de liens invisibles sur une page et en utilisant JavaScript pour détecter lesquels d’entre eux sont considérés comme visités par le navigateur. De cette manière, un site malveillant pourrait partiellement découvrir l’historique de navigation d’un utilisateur.

En 2010, des chercheurs ont découvert que cette technique était utilisée par certains grands sites pour espionner les visiteurs, notamment YouPorn, TwinCities et 480 autres sites très populaires à l’époque. Il a également été constaté que des plateformes comme Tealium et Beencounter proposaient des services de récupération de l’historique, tandis que la société de publicité Interclick utilisait cette technologie à des fins d’analyse et a même fait l’objet d’une action en justice. Bien qu’elle ait gagné le procès, les principaux navigateurs ont depuis lors modifié leur code de traitement des liens afin qu’il soit impossible de déterminer si un lien a été visité ou non.

Cependant, les progrès des technologies Internet ont permis de trouver de nouveaux moyens d’espionner l’historique de navigation. Une étude de 2018 a présenté quatre nouveaux moyens de vérifier l’état des liens, dont deux concernent tous les navigateurs testés, à l’exception du navigateur Tor Browser. L’une des vulnérabilités, la CVE-2018-6137, permettait de vérifier les sites visités jusqu’à 3 000 liens par seconde. Entre-temps, de nouvelles attaques de plus en plus sophistiquées visant à extraire l’historique de navigation continuent d’apparaître.

Pourquoi le vol d’historique est dangereux

La divulgation de l’historique de navigation, même partielle, présente plusieurs risques pour les utilisateurs.

La vie pas si privée que ça. En connaissant les sites que vous visitez (en particulier s’il s’agit de traitements médicaux, de partis politiques, de sites de rencontres, de jeux ou de pornographie, et d’autres sujets confidentiels similaires), les pirates informatiques peuvent utiliser ces informations contre vous. Ils peuvent alors élaborer une escroquerie ou un appât sur mesure, qu’il s’agisse d’une extorsion, d’une fausse œuvre de bienfaisance, de la promesse d’un nouveau médicament ou de tout autre chose.

Contrôles ciblés. Un site de récupération d’historique pourrait, par exemple, parcourir tous les sites Internet des grandes banques pour déterminer celle que vous utilisez. Ces informations peuvent être utiles tant aux cybercriminels (par exemple, pour créer un faux formulaire de paiement afin de vous tromper) qu’aux entreprises légitimes (par exemple, pour découvrir les concurrents que vous avez recherchés).

Profilage et désanonymisation. Nous avons consacré de nombreux articles à la manière dont les entreprises de publicité et d’analyse utilisent les cookies et les empreintes digitales pour suivre les mouvements et les clics des utilisateurs sur Internet. Votre historique de navigation constitue une empreinte digitale efficace, surtout lorsqu’il est combiné à d’autres technologies de suivi. Si le site d’une société d’analyse peut voir quels autres sites vous avez visités et quand, il fonctionne essentiellement comme un super-cookie.

Protection contre le vol de l’historique de navigation

La protection de base est apparue en 2010 presque simultanément dans les moteurs de navigation Gecko (Firefox) et WebKit (Chrome et Safari). Cela permet d’éviter d’utiliser le code de base pour lire l’état des liens.

À peu près au même moment, Firefox 3.5 a introduit la possibilité de désactiver complètement la recoloration des liens visités. Dans le navigateur Tor basé sur Firefox, cette option est activée par défaut, mais l’option d’enregistrement de l’historique de navigation est désactivée. Cette solution constitue une défense solide contre toute la catégorie d’attaques, mais elle nuit considérablement à la facilité d’utilisation.

À moins de sacrifier une partie de votre confort, les attaques sophistiquées pourront toujours espionner votre historique de navigation.

Google tente actuellement de modifier radicalement le statu quo : à partir de la version 136, Chrome activera par défaut la fonctionnalité de partitionnement des liens déjà visités. En bref, le principe est le suivant : les liens ne sont recolorés que s’ils ont été consultés à partir du site en cours. Et lors d’une vérification, un site peut « voir » uniquement les clics provenant de lui-même.

La base de données des visites du site (et des liens consultés) est gérée séparément pour chaque domaine. Par exemple, supposons que bank.com intègre un widget affichant des informations provenant de banksupport.com et que ce widget contienne un lien vers centralbank.com. Si vous cliquez sur le lien centralbank.com, il sera marqué comme visité, mais uniquement dans le widget banksupport.com affiché sur bank.com. Si le widget banksupport.com apparaît exactement de la même manière sur un autre site, le lien centralbank.com sera marqué comme non visité. Les développeurs de Chrome sont tellement convaincus que le partitionnement est la solution miracle tant attendue qu’ils envisagent de désactiver les mesures d’atténuation prises en 2010.

Qu’en est-il des utilisateurs ?

Si vous n’utilisez pas Chrome, qui présente par ailleurs de nombreux autres problèmes de confidentialité, vous pouvez prendre quelques précautions simples pour écarter la menace des liens violets.

• Mettez régulièrement votre navigateur à jour afin de rester protégé contre les nouvelles vulnérabilités découvertes.
• Utilisez la navigation incognito ou privée si vous ne voulez pas que des tiers découvrent les sites que vous visitez. Néanmoins, lisez d’abord cet article, car les modes privés ne sont pas la panacée.
• Effacez régulièrement les cookies et l’historique de navigation dans votre navigateur.
• Désactivez la modification de la couleur des liens visités dans les paramètres.
• Utilisez des outils pour bloquer les traqueurs et les logiciels espions, comme la navigation privée dans Kaspersky Premium, ou une extension spéciale de navigateur.

Pour découvrir comment d’autres navigateurs peuvent vous espionner, consultez les articles suivants :

• La confidentialité menacée : mauvaises surprises dans Chrome, Edge et Firefox

• Navigateur Tor et anonymat : ce qu’il faut savoir

• La technologie d’attribution respectueuse de la vie privée de Mozilla

• Qu’est-ce que la technologie Google Ad Topics et comment la désactiver

• Le son des traqueurs en ligne