Une faille permet à des sites de voler l'historique des navigateurs
Des chercheurs offrent un outil pour mesurer son impact sur vous

Le , par Katleen Erna, Expert éminent sénior
Une faille sur le Net permet à des sites de voler l'historique des navigateurs, des chercheurs offrent un outil pour mesurer cet impact sur vous

Des chercheurs de l'Université de San Diego viennent de découvrir une faille très largement répandue sur le Web ; leur étude s'appuie déjà sur 485 sites qui se font un plaisir de l'exploiter (majoritairement, des sites réservés aux adultes, dans une sélection des 50.000 sites les plus visités au monde).

Mais de quoi parle-t-on ? D'une vulnérabilité qui permet à un domaine malveillant d'aller fouiner dans votre historique, et ainsi de tout savoir des sites que vous avez précédemment visité.

C'est la manière dont la majorité des navigateurs gère les liens qui ont été visités qui fait défaut. Ils sont en effet beaucoup à modifier la couleur du texte, pour vous signifier "tu l'as déjà cliqué celui-là !".

Un code spécifique exploite ce détail. Placé sur un site, il interroge le navigateur d'un visiteur pour voir quelles réponses il fournit pour une liste de pages données. Et donc, changement de couleur = site déjà consulté.

YouPorn utilise cette technique, pour afficher des publicités ciblées ou voir si la victime consulte régulièrement la concurrence. Mais des pages dans d'autres domaines que la pornographie en font également usage (sites de sport, d'informations, etc.).

Pour les scientifiques, il est urgent de prendre des mesures pour mieux défendre ses historiques. D'autant qu'en dehors de cette faille, d'autres techniques sont exploitées.

Par exemple, YouTube espionne ses visiteurs grâce à un script qui traque les mouvements de la souris d'un utilisateur sur ses pages.

"Les applications composites Web 2.0 populaires et les ciblages publicitaires sophistiqués sont réalisés avec diverses violations de la vie privée", peut-on lire dans leur recherche.

La faille qu'ils ont découverte a déjà été colmatée par plusieurs navigateurs : Chrome, Safari et la dernière version de Firefox. Pour les utilisateurs d'Internet Explorer, il faut passer en mode "private browsing" pour se protéger.

Pour être vraiment certain de ne pas laisser de traces derrière soit, le mieux est encore de visiter la page mise en ligne par les chercheurs, qui tente de récupérer votre historique et vous informe donc des informations que vous pouvez laisser échapper à votre insu.

Pour la suite, des travaux plus en profondeur sont prévus, afin de créer des outils aidant à lutter contre ce bug.

Source : L'étude des chercheurs (PDF)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 04/12/2010 à 10:03
Ben apparemment le site des chercheurs est inaccessible.
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 04/12/2010 à 11:12
Si ces chercheurs viennent de trouver ça, ils sont vraiment en retard et très mal renseignés. Ce problème dans la gestion des liens visités est connu depuis des années, et il y a de nombreux sites qui en font des démonstration très efficace.

Ce n'est pas pour rien qu'il a été corrigé sur Firefox(et la plupart des autre navigateur aussi il me semble)
Avatar de nawrasarum nawrasarum - Futur Membre du Club http://www.developpez.com
le 04/12/2010 à 11:37
Je suis d'accord avec Uther ! J'ai déjà entendu parlé de cette faille, ce n'est pas aussi récent que ça!
Avatar de sizvix sizvix - Membre habitué http://www.developpez.com
le 04/12/2010 à 13:35
Une faille ?
je croyais que c'était une option à désactiver ...
j'avais déjà vu un ou 2 sites qui me semblait lire dans mon historique (au vu de certaine options proposé qui correspondaient à des recherches ou type de sites visités il y avait peu) ...
bon, en fait, il est possible qu'il lisait dans mes cookies. (mais ça ne m'avais pas plus embêté que ça... tant que rien n'y est laissé en clair...
Avatar de Sacha999 Sacha999 - Membre averti http://www.developpez.com
le 04/12/2010 à 15:58
C'est quoi ce titre d'article?

Y'a une différence entre "voler l'historique" et "tenter de deviner la visite de site web parmi une liste prédéfini"

J'ai été sur le site "toto.com", si le site "pirate" n'a pas le site "toto.com" dans sa liste de site, il ne saura jamais que j'étais sur "toto.com"....
Avatar de Julien Bodin Julien Bodin - Membre éclairé http://www.developpez.com
le 04/12/2010 à 17:41
Excellent

L'ingéniosité des gens m'impressionnera toujours !
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 04/12/2010 à 18:48
Citation Envoyé par sizvix  Voir le message
Une faille ?
je croyais que c'était une option à désactiver ...
j'avais déjà vu un ou 2 sites qui me semblait lire dans mon historique (au vu de certaine options proposé qui correspondaient à des recherches ou type de sites visités il y avait peu) ...
bon, en fait, il est possible qu'il lisait dans mes cookies. (mais ça ne m'avais pas plus embêté que ça... tant que rien n'y est laissé en clair...

Non ce n'est pas une option a désactiver.
Normalement un site ne devrait pas avoir un accès direct à l'historique. Mais on peut abuser du ":visited" de CSS pour savoir si un site particulier est présent dans l'historique. Tous les navigateur sont plus ou moins concernés, vu que ce fonctionnement est induit par le support de CSS2.

Ceci dit en "mentant" intelligemment, certains navigateur arrivent a éviter ce problème, sans que l'affichage des lien visités ne soit trop impactés.
Avatar de bhamp0 bhamp0 - Membre actif http://www.developpez.com
le 04/12/2010 à 19:27
Mais c'est hyper connu !
Par exemple, c'est utilisé sur evercookie.
Avatar de 6-MarViN 6-MarViN - Membre confirmé http://www.developpez.com
le 06/12/2010 à 11:36
majoritairement, des sites réservés aux adultes, dans une sélection des 50.000 sites les plus visités au monde

Je suis toujours admiratif de la quantité de place qu'occupe le porno sur internet.
Pour en revenir au sujet, c'est pas nouveau qu'internet soit espionner par toutes sortes de personnes. Après les cartes de fidélité de super marché, ce genre de démarche était relativement attendu. C'est juste une évolution naturelle du système d'enquête auprès des consommateurs. Après est-ce immoral? Aussi immoral que les cartes de fidélité. A part qu'on ne reçoit pas de cadeau en échange de notre historique de navigation.
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 06/12/2010 à 11:47
Le principe est quand même assez différent des cartes de fidélité qui ne traquent le client que sur les opérations dont elle a connaissance. En utilisant cette faille un site peut savoir si tu en as visité d'autres avec lesquels il n'a aucun lien.
Offres d'emploi IT
Intégrateur sécurité des SI (H/F)
Atos - Midi Pyrénées - Toulouse (31000)
Développeur php symfony
Silkhom - Rhône Alpes - Lyon (69000)
Ingénieur Système-réseaux (H-F)
Atos Technology Services - Aquitaine - Bordeaux (33300)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil