Des chercheurs en matière de sécurité informatique--des vrais, cette fois...--ont mis à jour une vulnérabilité dans la manière dont nos navigateurs Internet gèrent leur cache et leur historique de recherche.
Votre vie mise à nu
Imaginons, comme l'on fait nos confrères de VNUnet, que vous vous rendiez sur le site Web d'une compagnie d'assurance pour souscrire un contrat quelconque, et que quelques jours plus tard, cette même compagnie vous adresse une fin de non-recevoir peu ou pas motivée. Vous serez déçu, mais que dire lorsque vous apprendrez que ce refus vient peut-être du fait que l'assureur en question a appris par des moyens détournés que vous fumez...' Cela vous semble impossible sans que quelqu'un dans votre entourage fasse acte de délation ' Si vous saviez...
Une équipe de chercheurs en sécurité informatique de Spi Dynamics s'est en effet rendu compte qu'il était possible pour un site Web que vous visitez d'aller piocher dans l'historique de navigation et de recherche de votre butineur Internet pour savoir quels sites vous avez visité auparavant ; il est alors possible pour l'assureur évoqué plus haut de savoir que vous avez fait une recherche pour acheter des cigarettes sur Internet (rappelons au passage que c'est interdit dans notre pays...), et refuser de vous assurer.
Qui, quand, comment '
Il faut à ce stade se souvenir que si Mozilla Firefox, dans ses plus récentes déclinaisons, limite la durée de garde des contenus visités à moins de vingt-quatre heures (ce délai était autrefois de 9 jours), dans le chef d'Internet Explorer, toutes versions confondues, ces informations sont par défaut conservées pendant 20 jours (c'est modifiable), tandis que sous Opera, il n'y a pas de limite dans le temps, juste une taille de cache non-extensible, que l'on peut d'ailleurs contraindre à une valeur zéro si on le souhaite. Idem pour le nombre d'URL visités. Dans tous les cas, cependant, lors d'une même session, les contenus des pages visitées précédemment sont accessibles si l'on sait comment s'y prendre, et c'est cela qui est inquiétant.
On se souvient que l'été dernier, le fournisseur d'accès à Internet AOL a commis une belle boulette en laissant filer dans la nature quelque 20 millions de recherches effectuées par 650.000 de ses abonnés. En théorie, ces recherches étaient non-nominatives, mais le New York Times est tout de même parvenu à rattacher au moins quelques unes d'entre elles à une femme de 62 ans vivant en Géorgie, aux Etats-Unis. Et ce sans faire beaucoup d'effort. Il faut dire que lors de l'envoi d'une recherche sur Internet au moyen d'un des moteurs que nous avons pris l'habitude d'apprécier, l'adresse qui s'affiche alors dans la barre prévue à cet effet contient les mots-clés utilisés par l'internaute. Cet URL est ensuite stocké dans l'historique de navigation de votre butineur, au cas où vous auriez besoin d'y retourner. Cela rend la recherche plus rapide, puisque la ou les pages visitées restent dans le cache de l'application. Entre alors en scène un petit code furtif, écrit en JavaScript, et qui peut être inclus dans n'importe quelle page Web à peu de frais. Grâce à lui, un webmestre un peu fûté--ou curieux--peut rappeler dans l'historique les informations susceptibles de l'intéresser, le tout sans perte notable de performance au niveau de la vitesse de navigation. L'internaute n'y voit que du feu, pendant que son cache est méthodiquement fouillé.
Selon Bill Hoffman, qui a présidé à la conduite de ces recherches pour le compte de Spi Dynamics, personne n'a encore réussi à mettre en évidence l'existence de telle méthodes de piratage, ce qui ne signifie en aucun cas qu'elle n'existent pas. Il s'agit donc pour l'heure d'une simple "preuve de concept" de ce qu'il est convenu d'appeler une particularité de fonctionnement de nos navigateurs Web. Rien n'indique d'ailleurs que ces visites furtives dans nos caches Internet soient d'une quelconque manière illégales. Après tout, il est assez courant pour certains sites Web de vérifier la présence de tel ou tel plug-in sur le navigateur que nous utilisons, et d'en recommander l'installation en cas d'absence.
Pour celles et ceux que cela intéresse, le site de Spi Dynamics apporte quelques précisions techniques rattachées à des recherches effectuées sur Google, Yahoo et Icerocket (ce dernier est inconnu chez nous, mais très apprécié des adolescents, outre-Atlantique).
Votre vie mise à nu
Imaginons, comme l'on fait nos confrères de VNUnet, que vous vous rendiez sur le site Web d'une compagnie d'assurance pour souscrire un contrat quelconque, et que quelques jours plus tard, cette même compagnie vous adresse une fin de non-recevoir peu ou pas motivée. Vous serez déçu, mais que dire lorsque vous apprendrez que ce refus vient peut-être du fait que l'assureur en question a appris par des moyens détournés que vous fumez...' Cela vous semble impossible sans que quelqu'un dans votre entourage fasse acte de délation ' Si vous saviez...
Une équipe de chercheurs en sécurité informatique de Spi Dynamics s'est en effet rendu compte qu'il était possible pour un site Web que vous visitez d'aller piocher dans l'historique de navigation et de recherche de votre butineur Internet pour savoir quels sites vous avez visité auparavant ; il est alors possible pour l'assureur évoqué plus haut de savoir que vous avez fait une recherche pour acheter des cigarettes sur Internet (rappelons au passage que c'est interdit dans notre pays...), et refuser de vous assurer.
Qui, quand, comment '
Il faut à ce stade se souvenir que si Mozilla Firefox, dans ses plus récentes déclinaisons, limite la durée de garde des contenus visités à moins de vingt-quatre heures (ce délai était autrefois de 9 jours), dans le chef d'Internet Explorer, toutes versions confondues, ces informations sont par défaut conservées pendant 20 jours (c'est modifiable), tandis que sous Opera, il n'y a pas de limite dans le temps, juste une taille de cache non-extensible, que l'on peut d'ailleurs contraindre à une valeur zéro si on le souhaite. Idem pour le nombre d'URL visités. Dans tous les cas, cependant, lors d'une même session, les contenus des pages visitées précédemment sont accessibles si l'on sait comment s'y prendre, et c'est cela qui est inquiétant.
On se souvient que l'été dernier, le fournisseur d'accès à Internet AOL a commis une belle boulette en laissant filer dans la nature quelque 20 millions de recherches effectuées par 650.000 de ses abonnés. En théorie, ces recherches étaient non-nominatives, mais le New York Times est tout de même parvenu à rattacher au moins quelques unes d'entre elles à une femme de 62 ans vivant en Géorgie, aux Etats-Unis. Et ce sans faire beaucoup d'effort. Il faut dire que lors de l'envoi d'une recherche sur Internet au moyen d'un des moteurs que nous avons pris l'habitude d'apprécier, l'adresse qui s'affiche alors dans la barre prévue à cet effet contient les mots-clés utilisés par l'internaute. Cet URL est ensuite stocké dans l'historique de navigation de votre butineur, au cas où vous auriez besoin d'y retourner. Cela rend la recherche plus rapide, puisque la ou les pages visitées restent dans le cache de l'application. Entre alors en scène un petit code furtif, écrit en JavaScript, et qui peut être inclus dans n'importe quelle page Web à peu de frais. Grâce à lui, un webmestre un peu fûté--ou curieux--peut rappeler dans l'historique les informations susceptibles de l'intéresser, le tout sans perte notable de performance au niveau de la vitesse de navigation. L'internaute n'y voit que du feu, pendant que son cache est méthodiquement fouillé.
Selon Bill Hoffman, qui a présidé à la conduite de ces recherches pour le compte de Spi Dynamics, personne n'a encore réussi à mettre en évidence l'existence de telle méthodes de piratage, ce qui ne signifie en aucun cas qu'elle n'existent pas. Il s'agit donc pour l'heure d'une simple "preuve de concept" de ce qu'il est convenu d'appeler une particularité de fonctionnement de nos navigateurs Web. Rien n'indique d'ailleurs que ces visites furtives dans nos caches Internet soient d'une quelconque manière illégales. Après tout, il est assez courant pour certains sites Web de vérifier la présence de tel ou tel plug-in sur le navigateur que nous utilisons, et d'en recommander l'installation en cas d'absence.
Pour celles et ceux que cela intéresse, le site de Spi Dynamics apporte quelques précisions techniques rattachées à des recherches effectuées sur Google, Yahoo et Icerocket (ce dernier est inconnu chez nous, mais très apprécié des adolescents, outre-Atlantique).
