En 2010 des chercheurs de l’université de Californie du Sud ont mené une analyse sur plus de 40 sites qui espionnaient les habitudes de navigation des utilisateurs. Parmi eux figurait YouPorn.com qui se targue d’être le YouTube de son domaine et utilisait du code JavaScript pour savoir si les visiteurs avaient visité récemment des sites concurrents. En combinant habilement JavaScript et CSS, les sites étaient en mesure de savoir quels sites l’utilisateur avait visités. « Nous avons trouvé que plusieurs sites populaires utilisent des techniques pour extraire des informations sur l’historique de navigation de l’utilisateur et, dans certains cas, le font d’une manière obscure afin d’éviter d’être détecté facilement » expliquait le rapport.Deux ans plus tard, Epic Marketplace, un réseau publicitaire très populaire qui avait ses bannières sur des sites comme cnn.com, orbitz.com et 45 000 autres sites a été condamné à verser une amende après avoir été reconnu coupable de l’exploitation d’une faille vieille de dix ans qui laisse fuir l’historique de navigation dans ses campagnes de publicités ciblées.
Il y a quelques années encore, même s’ils n’étaient pas légion, des utilisateurs prenaient l’habitude d’effacer régulièrement leur historique de navigation ou utiliser des fonctionnalités comme la navigation privée chez Google Chrome et son équivalent sur les autres navigateurs. Avec les changements effectués par les navigateurs, l’intrusion à la vie privée a été peu à peu contenue.
Cependant, Aäron Thijs, un diplômé de l’université Hasselt en Belgique, a confirmé que les utilisateurs Chrome, IE et Firefox sont encore susceptibles d’être victimes de ce type d’attaque qui fouille dans l’historique de navigation. Il s’est inspiré du Livre Blanc du chercheur Paul Stone publié en juillet 2013 qui traitait de différentes attaques sur HTML5 utilisant requestAnimationFram pour écrire un code qui allait forcer les navigateurs à lui révéler le contenu de l’historique de navigation. Il a précisé qu’il est possible que d’autres navigateurs comme Safari ou Opera soient également vulnérables.
« L’attaque peut être utilisée pour voir si la victime a visité certains sites web. Dans mon exemple de vecteurs d’attaque, j’ai simplement fait la recherche ‘https://www.facebook.com’. Cependant, il peut être modifié pour chercher un ensemble plus large de sites web. Si le script est imbriqué dans un site web que n’importe quel navigateur visite, il peut être exécuté silencieusement en arrière-plan et une connexion pourra être établie pour retourner les résultats à l’attaquant» a-t-il expliqué.
Pour rappel, la méthode requestAnimationFrame a été conçue pour fournir une façon plus efficace et fluide de créer des pages Web animées en appelant le cadre d’animation quand le système est prêt à peindre le cadre. L’API peut être utilisée pour gérer le temps de rendu du navigateur. Thijs explique par exemple qu’ IE 11 recherche les historiques de façon asynchrone donc le rendu n’attend pas que la recherche soit terminée. Le lien est d’abord peint avec le style :unvisited. Grâce à l’API requestAnimationFrame, il est possible de mesurer les variations dans le temps qu’il faut pour afficher les liens et les attaquants peuvent en déduire par la suite si un site a été visité. Un algorithme de recherche peut être mis sur pied pour rechercher un grand nombre de sites web à grande vitesse.
Thijs en a parlé sur un forum Microsoft ce weekend mais il est passé de public a privé. Il confirme que les développeurs Chrome se penchent eux aussi sur ce problème
Source : Aäron Thijs (Google Cache), Livre Blanc Paul Stone (au format PDF), étude des chercheurs de l'université de Californie du Sud (au format PDF)
Et vous ?
Qu'en pensez-vous ? 
Envoyé par Stéphane le calme
