VIDEO

Ne loupez pas la prochaine mise à jour de Chrome, un énorme problème de sécurité menace votre historique

Google met à jour le navigateur Chrome, avec au menu de cette version, entre autres, le colmatage d'une énorme faille de sécurité qui menace depuis vingt ans votre vie privée. N'importe quel site pouvait jusqu'ici aspirer l'historique de vos visites sur le web.

Bug Windows 11 Chrome et Edge
Crédits : 123RF

Google lance régulièrement des mises à jour pour améliorer la sécurité du navigateur Chrome, avec quelques fois des failles critiques. Il est toutefois rarement question d'une faille persistante depuis les origines du navigateur… laissée béante depuis tout ce temps. Et pourtant, c'est justement une faille de ce type que la firme corrige dans sa prochaine mise à jour, entre autres améliorations.

La faille elle-même met en péril la confidentialité de votre historique de pages web visitées. Ce qui peut vite déboucher sur une atteinte majeure à votre vie privée – tout en facilitant des arnaques en ligne. Pour l'heure, des pirates ou autres acteurs peuvent encore détourner le système pour espionner votre parcours de navigation.

Une balise CSS et un simple script suffisent à déterminer votre historique

En effet, lorsque vous cliquez sur un lien dans Chrome, ce dernier change de couleur par design. Il reste par la suite d'une couleur différente sur tous les sites qui l'affichent. Et ce, jusqu'à ce que vous effaciez le cache. Le système est pensé à l'origine pour améliorer l'expérience utilisateur. Grâce à lui, vous pouvez visuellement identifier des pages auxquelles vous avez déjà accédé ce qui vous évite donc ainsi des visites inutiles.

Dans Chrome, ce comportement est rattaché au sélecteur CSS :visited. Mais en restant global, ce dernier devient une surface sur laquelle un code malveillant peut s'appuyer. Très concrètement, explique la firme, un site malicieux peut planquer une liste assez longue et variée de liens vers d'autres sites dans le code source d'une page web.

De là, il suffit d'observer la balise :visited avec un script. Ce qui lui permet de trouver, pour chaque visiteur, les liens qui changent de couleur lors du chargement. En croisant cela avec d'autres données on peut ainsi aspirer au moins une partie de l'historique d'un internaute et relier ce parcours de navigation à son identité.

La faille permet aux pirates de cibler leurs campagnes malveillantes

La méthode est activement exploitée dans la nature. Elle peut par exemple permettre à des pirates de déterminer facilement des infos cruciales pour cibler plus efficacement des tentatives d'arnaque. Comme le nom de la banque d'une victime ou ses habitudes d'achats en ligne, entre autres exemples. Google a visiblement trainé les pieds autour de ce problème qui persiste depuis 20 ans. Mais sécuriser le système restait complexe, car il fallait complètement revoir le fonctionnement de cette facette du navigateur.

À compter de la version 136, Chrome érige donc enfin une barrière plus étanche entre les sites que vous visitez. Le patch introduit une nouvelle approche, que la firme baptise Triple Key Partitionning. Avant de marquer un lien via la balise CSS :visited, le navigateur vérifiera désormais l'URL du lien, le nom de domaine du site sur lequel se trouve le lien, et l'origine du frame sur laquelle le lien apparaît. Ainsi chaque site aura son propre historique de liens visités.

Google Chrome 136 arrive dans les prochains jours. Il n'est donc pas nécessaire, pour l'instant, de mettre à jour votre navigateur. Toutefois, il est conseillé de ne pas tarder dès que ce dernier affiche une notification qui vous demande de redémarrer le logiciel pour installer une mise à jour.

Via developer.chrome.com/blog/visited-links

La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Jusqu’à -520 € sur le Pixel 10 Pro XL : Boulanger brade le smartphone Google pour les French Days

Le Pixel 10 Pro XL, smartphone le plus avancé de Google, perd 320 € sur son prix, avec 200 € de bonus reprise en plus. De quoi économiser pas moins…

Réparer un smartphone Samsung coûte plus cher que réparer un iPhone

Selon une analyse d’experts en assurance, faire réparer un smartphone Samsung revient plus cher que de faire réparer un iPhone via les programmes Samsung Care+ et AppleCare+. Quand on achète…

Facebook, WhatsApp et Instagram ont perdu 20 millions d’utilisateurs en seulement 3 mois

Dans son dernier bilan financier, Meta annonce avoir perdu pas moins de 20 millions d’utilisateurs sur le dernier trimestre sur l’ensemble de ses applications. La bourse n’a pas tardé à…

On peut désormais jouer à Super Smash Bros. sur PC sans émulateur, mais…

Super Smash Bros. en natif sur PC ? C’est ce que propose le jeu BattleShip, généré à 100 % par IA. Le créateur du projet décrit le processus qu’il a…

IA

French Days Dyson V8 Advanced : l’aspirateur balai passe à petit prix, c’est le bon moment pour craquer !

Les aspirateurs Dyson sont réputés pour être puissants, mais également hors de prix. Heureusement, durant les French Days, vous pouvez vous équiper en faisant de belles économies. Normalement en vente…

Google donne à Gemini un pouvoir que ChatGPT n’offre pas sur vos documents

Fini le copier-coller entre Gemini et vos applications. Google vient d’annoncer une mise à jour qui permet de générer des fichiers prêts à l’emploi directement depuis l’IA. La firme place…

Bon plan Lenovo Yoga Slim 7 : avec cette belle chute de prix, le puissant ultrabook devient abordable !

Les French Days continuent et les belles offres se bousculent. Si vous êtes à la recherche d’un PC portable ultra performant et très facile à transporter, nous avons trouvé pour…

Samsung va lancer des PC portables sous Android, avec la même surcouche One UI que pour ses smartphones

Samsung va changer son approche sur le marché des PC portables. Ses futurs produits adopteront une interface similaire à celle de ses smartphones, sous Android et One UI. Samsung veut…

PC

Android Auto : après 10 ans, Google s’apprête enfin à corriger l’un des plus gros manques de l’application

Les acteurs de la tech semblent avoir un lien ambivalent à l’amélioration de leurs services. Il n’est pas rare qu’ils intègrent au sein de leurs applications des fonctions que personne…

DJI Neo 2 Fly More Combo : le mini drone 4K parfait pour les débutants passe à prix cassé avec ce code !

La gamme de drone Neo de DJI est la plus simple d’utilisation. Vous n’avez même pas besoin de télécommande pour le piloter ! Vous pouvez le contrôler avec des gestes…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.