Des chercheurs en sécurité ont démontré qu'il est possible de savoir si un internaute a visité certains sites internet, en détectant le temps de réponse du navigateur lorsqu'il interroge ses données mises en cache. Une menace potentielle pour la vie privée des internautes.

Pendant longtemps, certains développeurs web ont utilisé la propriété :visited des feuilles de style CSS pour connaître l’historique de navigation de leurs visiteurs. Cela permettait, par exemple, de connaître les pages produits que l’internaute avait visité sur un site marchand pour lui proposer des produits similaires ou un contenu correspondant à ses centres d’intérêts.

Les éditeurs ont travaillé à supprimer cette « faille » de leurs navigateurs, pour préserver la vie privée de leurs utilisateurs. Mais des chercheurs en sécurité ont trouvé un autre moyen de connaître l’historique d’un visiteur en se basant sur le cache de son navigateur.

La méthode n’est pas nouvelle (PDF) mais son utilisation n’avait pas été concluante, comme le rappelle Slashdot. Elle consiste en l’analyse des informations temporelles du cache du navigateur et permet au développeur de connaître les pages visitées sur une periode donnée. L’exemple mis en ligne pour démontrer son efficacité vérifie, ainsi, si l’on a visité des sites comme Twitter, Facebook, YouTube, Wikileaks, Amazon ou eBay, la veille. Pour cela, le site essaie de charger différentes URL appartenant à ces sites dans des . Si le navigateur se prépare à afficher la version présente dans son cache, dans un délai relativement court, alors le test revient positif. Sinon, l’opération est annulée (pour ne pas créer de requêtes inutiles) et le test est négatif. Ce calcul de temps de chargement, sur lequel se base tout le test, est effectué en JavaScript.

Les internautes qui veulent dès maintenant s’immuniser contre cette pratique peuvent désactiver le cache dans leur navigateur Internet, en fixant l’espace alloué à néant. Dès lors, aucune information qui puisse compromettre l’historique de navigation ne sera stockée. Néanmoins, cela implique que le navigateur devra télécharger pour chaque page l’intégralité du code HTML, des images, des feuilles CSS, des scripts, etc., ce qui ralentit considérablement la navigation et gaspille énormément de bande passante. Il est aussi possible de désactiver simplement le javascript, qui est utilisé par le code d’interrogation du temps de réponse du cache, par exemple en utilisant des plugins comme NoScript.

Partager sur les réseaux sociaux

Articles liés