[Connaissances sur la sécurité] Les super cookies peuvent briser le mode confidentialité tout en suivant les informations des utilisateurs

Actuellement, tous les principaux navigateurs proposent un mode de protection de la vie privée. Dans ce mode, les cookies du site web ne peuvent pas suivre l’identité de l’utilisateur. Par exemple, Google Chrome propose une fonctionnalité appelée « Incognito », tandis que Firefox propose une fonction « Fenêtre de confidentialité ».

Cependant, cette vulnérabilité nouvellement découverte provoquera une défaillance du mode confidentialité du navigateur. Par exemple, lorsqu’un utilisateur utilise un navigateur classique, fait ses achats sur Amazon.com ou navigue sur Facebook, il peut ouvrir une fenêtre de confidentialité pour parcourir un blog contenant du contenu controversé. Si le blog utilise le même réseau publicitaire qu’Amazon ou intègre le bouton « J’aime » de Facebook, alors les annonceurs et Facebook peuvent savoir que les utilisateurs visitent le blog controversé en même temps qu’Amazon et Facebook.

Il existe une solution temporaire à cette vulnérabilité, mais elle est encombrante : les utilisateurs peuvent supprimer tous les cookies avant d’activer le mode confidentialité, ou utiliser un navigateur dédié pour naviguer entièrement en mode confidentialité.

Ironiquement, cette vulnérabilité est causée par une fonctionnalité conçue pour renforcer la protection de la vie privée.

Si un utilisateur utilise un préfixe https:// dans la barre d’adresses du navigateur pour chiffrer les communications depuis certains sites web, certains navigateurs s’en souviendront. Le navigateur enregistre un « super cookie » pour s’assurer que la prochaine fois que l’utilisateur se connecte au site, le navigateur entre automatiquement dans le canal https. Cette mémoire persistera même si l’utilisateur a activé le mode confidentialité.

Parallèlement, ces super cookies permettent aussi à des programmes web tiers, tels que les publicités et les boutons de réseaux sociaux, de se souvenir de l’utilisateur.

Sam Greenhelgh, le chercheur indépendant qui a découvert la vulnérabilité, a déclaré dans un article de blog que cette fonctionnalité n’est encore utilisée par aucune entreprise. Cependant, après la publication de cette méthode, il n’y avait aucun moyen d’empêcher les entreprises de le faire.

Eugene Kuznetsov, cofondateur de la société de logiciels de confidentialité en ligne Abine, estime que ce « super cookie » deviendra la prochaine génération d’outils de suivi. Cet outil est né des cookies, mais il est devenu plus sophistiqué. Actuellement, les utilisateurs disposent toujours d’un identifiant unique de l’appareil et d’une empreinte de navigateur uniques lors de la navigation, qui sont difficiles à effacer.

L’anonymat sur Internet est devenu plus difficile en raison de l’existence des « super cookies ». Kuznetsov a déclaré : « Nous avons assisté à une course aux armements sur la protection de la vie privée. Le désir de suivre les internautes est comme un parasite. Tout ce qui se trouve dans votre navigateur est examiné par des sites web et des annonceurs, ce qui permet un suivi accru. ”

Mozilla a déjà corrigé ce problème dans la dernière version de Firefox, tandis que Google a tendance à laisser Chrome tel quel. Google connaît déjà le problème des « super cookies », mais choisit tout de même de continuer à activer la fonction de mémoire https de Chrome. Entre sécurité et protection de la vie privée, Google a choisi la première.

Microsoft Internet Explorer n’a pas ce problème, car ce navigateur ne dispose pas de fonction mémoire https intégrée.

Greenhal a également précisé que sur les appareils iOS, le problème causé par les « super cookies » existe également.