Le navigateur Google Chrome, utilisé quotidiennement par des millions de personnes, a récemment suscité des préoccupations en raison de problèmes de sécurité. Le géant de la recherche a travaillé pour remédier aux vulnérabilités critiques pouvant compromettre des données sensibles.
Cependant, une faille spécifique, liée à la gestion des liens déjà visités, nécessitait une attention particulière. Étonnamment, ce problème de confidentialité existe depuis le lancement du navigateur et pourrait permettre de suivre l’activité en ligne des utilisateurs. La transformation des liens en violet après leur sélection, bien que banale, cachait en réalité un problème de sécurité majeur.
Ce qui semblait être une simple fonctionnalité de confort dissimulait une vulnérabilité de confidentialité datant de vingt ans, exposant potentiellement des éléments de l’historique personnel d’un utilisateur sur Internet sans qu’il en ait conscience. Ce mécanisme reposait sur une fonctionnalité web standard, le sélecteur :visited, utilisé dans les feuilles de style CSS.
En pratique, comme l’indique Google dans un article, les sites web pouvaient tirer parti de ce sélecteur pour appliquer des styles distincts aux liens, affichant des couleurs variées selon que l’utilisateur les avait déjà visités ou non, indépendamment du site d’origine.
D’autres sites pouvaient alors exécuter des scripts pour déterminer quels liens de leur page apparaissaient en couleur “visité” (généralement en violet) et lesquels ne l’étaient pas. Ce procédé leur permettait de reconstituer les visites antérieures de l’utilisateur sur d’autres sites, constituant ainsi un moyen indirect, mais efficace, d’espionner l’historique de navigation de l’utilisateur.
Le problème va au-delà d’une simple curiosité et concerne des enjeux concrets liés à la sécurité informatique. Google a décrit cette situation comme un défaut de conception fondamental hérité des technologies web sous-jacentes.
Cette vulnérabilité présentait des risques significatifs pour la sécurité, notamment la possibilité pour des tiers de suivre les activités en ligne, de créer des profils d’utilisateurs détaillés basés sur les intérêts manifestés sur les pages visitées, et, dans des cas plus complexes, de faciliter des attaques ciblées par hameçonnage. Bien que le correctif ait mis du temps à être élaboré de manière sécurisée et efficace, il a finalement été développé.
Avec la prochaine mise à jour du navigateur, Google met en place une solution technique dénommée partitionnement à trois clés. Ce changement transforme fondamentalement la façon dont Google Chrome identifie si un lien a été visité. Le navigateur ne conservera plus une trace unique et globale des liens visités, accessible depuis n’importe quel site.
Au lieu de cela, avant de considérer un lien comme “visité”, Chrome analysera une combinaison de trois éléments spécifiques : l’URL du lien, le site de premier niveau où l’utilisateur se trouve actuellement (l’adresse visible dans la barre d’adresse) et l’origine du cadre particulier dans la page où le lien est situé.
Désormais, pour qu’un lien soit marqué comme “visité”, l’utilisateur doit d’abord cliquer sur ce lien dans le même site et dans le même cadre. En conséquence, le site A ne peut plus savoir si un utilisateur a cliqué sur un lien du site B simplement en vérifiant la couleur de ce lien. Cela empêche le suivi intersite basé sur l’historique des liens visités, comblant ainsi une lacune.
La mise à jour de Chrome, qui introduira ce changement significatif, est attendue avec la version 136, dont le lancement est prévu pour la fin avril, mettant ainsi un terme à un problème de protection de la vie privée qui a perduré pendant près de deux décennies.
Commentaires 0
Soyez le premier à commenter !