Google met à jour le navigateur Chrome, avec au menu de cette version, entre autres, le colmatage d'une énorme faille de sécurité qui menace depuis vingt ans votre vie privée. N'importe quel site pouvait jusqu'ici aspirer l'historique de vos visites sur le web.

Google lance régulièrement des mises à jour pour améliorer la sécurité du navigateur Chrome, avec quelques fois des failles critiques. Il est toutefois rarement question d'une faille persistante depuis les origines du navigateur… laissée béante depuis tout ce temps. Et pourtant, c'est justement une faille de ce type que la firme corrige dans sa prochaine mise à jour, entre autres améliorations.

La faille elle-même met en péril la confidentialité de votre historique de pages web visitées. Ce qui peut vite déboucher sur une atteinte majeure à votre vie privée – tout en facilitant des arnaques en ligne. Pour l'heure, des pirates ou autres acteurs peuvent encore détourner le système pour espionner votre parcours de navigation.

Une balise CSS et un simple script suffisent à déterminer votre historique

En effet, lorsque vous cliquez sur un lien dans Chrome, ce dernier change de couleur par design. Il reste par la suite d'une couleur différente sur tous les sites qui l'affichent. Et ce, jusqu'à ce que vous effaciez le cache. Le système est pensé à l'origine pour améliorer l'expérience utilisateur. Grâce à lui, vous pouvez visuellement identifier des pages auxquelles vous avez déjà accédé ce qui vous évite donc ainsi des visites inutiles.

Dans Chrome, ce comportement est rattaché au sélecteur CSS :visited. Mais en restant global, ce dernier devient une surface sur laquelle un code malveillant peut s'appuyer. Très concrètement, explique la firme, un site malicieux peut planquer une liste assez longue et variée de liens vers d'autres sites dans le code source d'une page web.

De là, il suffit d'observer la balise :visited avec un script. Ce qui lui permet de trouver, pour chaque visiteur, les liens qui changent de couleur lors du chargement. En croisant cela avec d'autres données on peut ainsi aspirer au moins une partie de l'historique d'un internaute et relier ce parcours de navigation à son identité.

La faille permet aux pirates de cibler leurs campagnes malveillantes

La méthode est activement exploitée dans la nature. Elle peut par exemple permettre à des pirates de déterminer facilement des infos cruciales pour cibler plus efficacement des tentatives d'arnaque. Comme le nom de la banque d'une victime ou ses habitudes d'achats en ligne, entre autres exemples. Google a visiblement trainé les pieds autour de ce problème qui persiste depuis 20 ans. Mais sécuriser le système restait complexe, car il fallait complètement revoir le fonctionnement de cette facette du navigateur.

À compter de la version 136, Chrome érige donc enfin une barrière plus étanche entre les sites que vous visitez. Le patch introduit une nouvelle approche, que la firme baptise Triple Key Partitionning. Avant de marquer un lien via la balise CSS :visited, le navigateur vérifiera désormais l'URL du lien, le nom de domaine du site sur lequel se trouve le lien, et l'origine du frame sur laquelle le lien apparaît. Ainsi chaque site aura son propre historique de liens visités.

Google Chrome 136 arrive dans les prochains jours. Il n'est donc pas nécessaire, pour l'instant, de mettre à jour votre navigateur. Toutefois, il est conseillé de ne pas tarder dès que ce dernier affiche une notification qui vous demande de redémarrer le logiciel pour installer une mise à jour.