Publicité : les favicons des sites web pourraient se montrer un peu trop curieux

Par Guillaume Belfiore, Rédacteur en chef adjoint.

Publié le 10 février 2021 à 13h30

Les pictogrammes - ou favicons - identifiant les sites internet pourraient se révéler une nouvelle manière de pister l'utilisateur. Et à l'heure actuelle, il serait impossible de s'en débarrasser.

Les internautes retrouveront-ils un brin de vie privée ? C'est ce qu'on aurait pu penser au regard des efforts de différentes sociétés. Cependant, un chercheur a découvert une vulnérabilité affectant les favicons, ces logos de sites internet affichés généralement à gauche de chaque onglet.

Une nouvelle technique pour le pistage

Google a récemment présenté son initiative Privacy Sandbox visant à renforcer davantage la vie privée des internautes tout en permettant aux annonceurs d'obtenir certaines informations sur leurs centres d'intérêt. Il s'agit donc de mettre en place un compromis. Chez Apple, iOS et iPad OS permettront prochainement aux utilisateurs de bloquer tout pistage, une initiative que les annonceurs et les sociétés reposant sur un modèle publicitaire ne voient clairement pas d'un très bon œil.

Toutefois, il semblerait que d'autres techniques plus pernicieuses puissent être exploitées, telles que celle découverte par le développeur allemand Jonas Strehle et publiée sur GitHub.

L'homme explique en effet que le favicon d'un site Web peut être utilisé pour stocker un identifiant unique. Comme le rapporte Gizmodo, ce dernier peut être lu même « lorsque le navigateur est en mode Incognito, il ne disparaît pas même lorsqu'on vide le cache, lorsqu'on ferme le navigateur, lorsqu'on redémarre le système, lorsqu'on utilise un VPN ou lorsqu'on installe un adblocker ». Autant dire que cette découverte dévoile des techniques qui peuvent être particulièrement redoutables.

Tous les principaux navigateurs sont affectés

Lorsque l'on visite un site internet pour la première fois, le favicon se met automatiquement en cache dans le navigateur. À la seconde visite, le logiciel vérifie si cette icône a précédemment été stockée dans ce conteneur spécifique baptisé F-Cache. Si la donnée n'est pas présente ou si elle est obsolète, le navigateur envoie une requête au serveur du site Web. Si la donnée est correcte, aucune requête n'est effectuée.

Jonas Strehle explique cependant que ce dispositif peut être abusé. Lorsque le site Web est rechargé, le serveur Web peut reconstruire le numéro d'identification avec les requêtes réseau envoyées par le client pour le favicon manquant et de fait identifier le navigateur.

Chrome, Safari, Edge ou Firefox seraient tous affectés par cette potentielle menace. Brave en revanche, s'en sortirait le mieux.

Le favicon pourrait ainsi se transformer en super cookie et des chercheurs de l'Université de l'Illinois ont demandé aux éditeurs de navigateurs de revoir le fonctionnement de ces pictogrammes.

Sources : Gizmodo, GitHub

Par Guillaume Belfiore

Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Articles de Guillaume Belfiore

Actualités Navigateur web

Cybersécurité

Internet & communication

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Sans_Plot

C’est pas très chic tout ça :’(

vbond007

Ah ben si, il parait que le fric c’est chic ! (et tout ça c’est bien une question de fric au final)

Comcom1

Suffit que le navigateur demande le favicon en systématique et c’est réglé

DMartin

@vbond007 : c’est bien surtout une question de rentabilisation des coûts de développement, d’édition, d’hébergement de sites internet. Pour vous qui paie les salaires de toutes ces personnes chez Clubic ou autre ? Travaillez-vous vous même gratuitement ou le faite vous pour du « fric » ?

Sans_Plot

Je pense que le vrai problème qui est souvent critiqué, c’est surtout la vente et la récupération de nos données sans réelle transparence et sans nous laisser le choix de « refuser ».

Duben

Mais qui est très souvent lié au fait qu’on ne lit jamais les CGU

Sans_Plot

Elles sont faite justement pour qu’on ne les lisent pas (C’est pour ça que je parle de transparence, car c’est seulement un semblant de transparence (Voir l’affaire de SFR par exemple actuellement qui est un bel exemple de ce que j’ai en tête))

Feunoir

La version 85 de firefox est annoncée pour lutter contre ce genre de manip (même s’ils ne parlent pas de favicon mais de supercookies), donc est-ce vraiment encore d’actualité pour ce navigateur?

Duben

Mouais là dessus je suis que moyennement d’accord. C’est un peu facile de dire ça alors qu’elles sont très accessibles. Ca manque sûrement d’une formation à l’utilisation d’internet (je parle pas pour toi mais de manière générale), et probablement que tout n’y est pas toujours mis mais quand les infos sont mises dans le contrat, je trouve qu’on peut pas trop se défendre sur le fait de ne pas les lire

Sans_Plot

Tu es allé voir l’exemple dont je te parle ? Et tu vois tous les cookies des sites ou tu dois refuser à chaque fois en passant par 3000 onglets / page (quand tu trouves comment refuser).

Ce n’est clairement pas un problème des utilisateurs à ce niveau la mais carrément de l’escroquerie