En avril, la publication de la version\u00a0136 de Google Chrome a enfin permis de r\u00e9soudre un probl\u00e8me de confidentialit\u00e9 du navigateur largement connu depuis 2002 (probl\u00e8me qui, soit dit en passant, est \u00e9galement pr\u00e9sent dans tous les autres grands navigateurs). C\u2019\u00e9tait une tr\u00e8s mauvaise nouvelle pour les sp\u00e9cialistes du marketing peu scrupuleux, qui exploitaient ce syst\u00e8me \u00e0 grande \u00e9chelle depuis 15\u00a0ans. Au vu de cette description inqui\u00e9tante, vous serez peut-\u00eatre surpris d\u2019apprendre que la menace est en r\u00e9alit\u00e9 une fonctionnalit\u00e9 courante et \u00e0 premi\u00e8re vue inoffensive\u00a0: les liens que votre navigateur met en \u00e9vidence dans une couleur diff\u00e9rente une fois que vous les avez visit\u00e9s.<\/p>\n
Le changement de la couleur des liens des sites visit\u00e9s (par d\u00e9faut du bleu au violet) a \u00e9t\u00e9 introduit pour la premi\u00e8re fois il y a 32\u00a0ans dans le navigateur Mosaic de la NCSA. Par la suite, cette pratique conviviale a \u00e9t\u00e9 adopt\u00e9e par presque tous les navigateurs dans les ann\u00e9es\u00a01990. Elle est ensuite devenue la norme pour les feuilles de style en cascade (CSS), un langage permettant d\u2019ajouter des \u00e9l\u00e9ments stylistiques aux pages Internet. Ce recoloriage est effectu\u00e9 par d\u00e9faut dans tous les navigateurs populaires aujourd\u2019hui.<\/p>\n
Cependant, d\u00e8s 2002<\/a>, des chercheurs ont remarqu\u00e9 que cette fonctionnalit\u00e9 pouvait \u00eatre utilis\u00e9e de mani\u00e8re abusive en pla\u00e7ant des centaines ou des milliers de liens invisibles sur une page et en utilisant JavaScript pour d\u00e9tecter lesquels d\u2019entre eux sont consid\u00e9r\u00e9s comme visit\u00e9s par le navigateur. De cette mani\u00e8re, un site malveillant pourrait partiellement d\u00e9couvrir l\u2019historique de navigation d\u2019un utilisateur.<\/p>\n En 2010, des chercheurs ont d\u00e9couvert que cette technique \u00e9tait utilis\u00e9e par certains grands sites pour espionner les visiteurs, notamment YouPorn, TwinCities et 480\u00a0autres sites tr\u00e8s populaires \u00e0 l\u2019\u00e9poque<\/a>. Il a \u00e9galement \u00e9t\u00e9 constat\u00e9 que des plateformes comme Tealium et Beencounter<\/a> proposaient des services de r\u00e9cup\u00e9ration de l\u2019historique, tandis que la soci\u00e9t\u00e9 de publicit\u00e9 Interclick utilisait cette technologie \u00e0 des fins d\u2019analyse et a m\u00eame fait l\u2019objet d\u2019une action en justice. Bien qu\u2019elle ait gagn\u00e9 le proc\u00e8s, les principaux navigateurs ont depuis lors modifi\u00e9 leur code de traitement des liens<\/a> afin qu\u2019il soit impossible de d\u00e9terminer si un lien a \u00e9t\u00e9 visit\u00e9 ou non.<\/p>\n Cependant, les progr\u00e8s des technologies Internet ont permis de trouver de nouveaux moyens d\u2019espionner l\u2019historique de navigation. Une \u00e9tude de 2018<\/a> a pr\u00e9sent\u00e9 quatre nouveaux moyens de v\u00e9rifier l\u2019\u00e9tat des liens, dont deux concernent tous les navigateurs test\u00e9s, \u00e0 l\u2019exception du navigateur Tor Browser. L\u2019une des vuln\u00e9rabilit\u00e9s, la CVE-2018-6137, permettait de v\u00e9rifier les sites visit\u00e9s jusqu\u2019\u00e0 3\u00a0000\u00a0liens par seconde. Entre-temps, de nouvelles attaques de plus en plus sophistiqu\u00e9es visant \u00e0 extraire l\u2019historique de navigation<\/a> continuent d\u2019appara\u00eetre.<\/p>\n La divulgation de l\u2019historique de navigation, m\u00eame partielle, pr\u00e9sente plusieurs risques pour les utilisateurs.<\/p>\n La vie pas si priv\u00e9e que \u00e7a.<\/strong> En connaissant les sites que vous visitez (en particulier s\u2019il s\u2019agit de traitements m\u00e9dicaux, de partis politiques, de sites de rencontres, de jeux ou de pornographie, et d\u2019autres sujets confidentiels similaires), les pirates informatiques peuvent utiliser ces informations contre vous. Ils peuvent alors \u00e9laborer une escroquerie ou un app\u00e2t sur mesure, qu\u2019il s\u2019agisse d\u2019une extorsion, d\u2019une fausse \u0153uvre de bienfaisance, de la promesse d\u2019un nouveau m\u00e9dicament ou de tout autre chose.<\/p>\n Contr\u00f4les cibl\u00e9s.<\/strong> Un site de r\u00e9cup\u00e9ration d\u2019historique pourrait, par exemple, parcourir tous les sites Internet des grandes banques pour d\u00e9terminer celle que vous utilisez. Ces informations peuvent \u00eatre utiles tant aux cybercriminels (par exemple, pour cr\u00e9er un faux formulaire de paiement afin de vous tromper) qu\u2019aux entreprises l\u00e9gitimes (par exemple, pour d\u00e9couvrir les concurrents que vous avez recherch\u00e9s).<\/p>\n Profilage et d\u00e9sanonymisation.<\/strong> Nous avons consacr\u00e9 de nombreux articles \u00e0 la mani\u00e8re dont les entreprises de publicit\u00e9 et d\u2019analyse utilisent les cookies et les empreintes digitales pour suivre les mouvements et les clics des utilisateurs<\/a> sur Internet. Votre historique de navigation constitue une empreinte digitale efficace, surtout lorsqu\u2019il est combin\u00e9 \u00e0 d\u2019autres technologies de suivi. Si le site d\u2019une soci\u00e9t\u00e9 d\u2019analyse peut voir quels autres sites vous avez visit\u00e9s et quand, il fonctionne essentiellement comme un super-cookie.<\/p>\n La protection de base est apparue en 2010 presque simultan\u00e9ment dans les moteurs de navigation Gecko (Firefox<\/a>) et WebKit (Chrome et Safari). Cela permet d\u2019\u00e9viter d\u2019utiliser le code de base pour lire l\u2019\u00e9tat des liens.<\/p>\n \u00c0 peu pr\u00e8s au m\u00eame moment, Firefox\u00a03.5 a introduit la possibilit\u00e9 de d\u00e9sactiver compl\u00e8tement la recoloration des liens visit\u00e9s. Dans le navigateur Tor bas\u00e9 sur Firefox, cette option est activ\u00e9e par d\u00e9faut, mais l\u2019option d\u2019enregistrement de l\u2019historique de navigation est d\u00e9sactiv\u00e9e. Cette solution constitue une d\u00e9fense solide contre toute la cat\u00e9gorie d\u2019attaques, mais elle nuit consid\u00e9rablement \u00e0 la facilit\u00e9 d\u2019utilisation.<\/p>\n \u00c0 moins de sacrifier une partie de votre confort, les attaques sophistiqu\u00e9es<\/a> pourront toujours espionner votre historique de navigation.<\/p>\n Google tente actuellement de modifier radicalement le statu quo\u00a0: \u00e0 partir de la version\u00a0136, Chrome activera par d\u00e9faut la fonctionnalit\u00e9 de partitionnement des liens d\u00e9j\u00e0 visit\u00e9s<\/a>. En bref, le principe est le suivant\u00a0: les liens ne sont recolor\u00e9s que s\u2019ils ont \u00e9t\u00e9 consult\u00e9s \u00e0 partir du site en cours<\/em>. Et lors d\u2019une v\u00e9rification, un site peut \u00ab\u00a0voir\u00a0\u00bb uniquement les clics provenant de lui-m\u00eame.<\/p>\n La base de donn\u00e9es des visites du site (et des liens consult\u00e9s) est g\u00e9r\u00e9e s\u00e9par\u00e9ment pour chaque domaine. Par exemple, supposons que bank.com<\/em> int\u00e8gre un widget affichant des informations provenant de banksupport.com<\/em> et que ce widget contienne un lien vers centralbank.com<\/em>. Si vous cliquez sur le lien centralbank.com<\/em>, il sera marqu\u00e9 comme visit\u00e9, mais uniquement dans le widget banksupport.com<\/em> affich\u00e9 sur bank.com<\/em>. Si le widget banksupport.com<\/em> appara\u00eet exactement de la m\u00eame mani\u00e8re sur un autre site, le lien centralbank.com<\/em> sera marqu\u00e9 comme non visit\u00e9. Les d\u00e9veloppeurs de Chrome sont tellement convaincus que le partitionnement est la solution miracle tant attendue qu\u2019ils envisagent de d\u00e9sactiver les mesures d\u2019att\u00e9nuation prises en 2010<\/a>.<\/p>\n Si vous n\u2019utilisez pas Chrome, qui pr\u00e9sente par ailleurs de nombreux autres probl\u00e8mes de confidentialit\u00e9<\/a>, vous pouvez prendre quelques pr\u00e9cautions simples pour \u00e9carter la menace des liens violets.<\/p>\n Pour d\u00e9couvrir comment d\u2019autres navigateurs peuvent vous espionner, consultez les articles suivants\u00a0:<\/p><\/blockquote>\n La confidentialit\u00e9 menac\u00e9e : mauvaises surprises dans Chrome, Edge et Firefox<\/a><\/p><\/blockquote>\n<\/li>\n Navigateur Tor et anonymat : ce qu\u2019il faut savoir<\/a><\/p><\/blockquote>\n<\/li>\n La technologie d\u2019attribution respectueuse de la vie priv\u00e9e de Mozilla<\/a><\/p><\/blockquote>\n<\/li>\nPourquoi le vol d\u2019historique est dangereux<\/h2>\n
Protection contre le vol de l\u2019historique de navigation<\/h2>\n
Qu\u2019en est-il des utilisateurs\u00a0?<\/h2>\n
\n
\n