Confidentialité : Google Chrome 136 enterre un problème de sécurité vieux de 20 ans !
Google Chrome s'apprête à intégrer une amélioration pour corriger une faille portant atteinte à la confidentialité qui permettait à des sites web de connaître l’historique de navigation des internautes.
Depuis des années, les navigateurs web autorisent les sites à styliser les liens visités grâce au sélecteur :visited au niveau du code CSS. Cette simple fonctionnalité, destinée à améliorer l’expérience utilisateur en affichant les liens déjà cliqués dans une couleur différente, est en fait un problème pour la vie privée des utilisateurs. En effet, cette propriété CSS a permis à des sites de déduire l’historique de navigation des visiteurs, même si les liens avaient été cliqués sur d'autres sites.
Ce problème de sécurité peut aussi être exploité pour le tracking et le profilage des utilisateurs. Dans le même temps, des chercheurs en sécurité ont démontré plusieurs vecteurs d’attaque exploitant cette faille : attaques par temporisation, manipulation de pixels, interactions utilisateur, ou encore au niveau des processus du navigateur.
Le sélecteur CSS :visited évoqué dans cet article n'est pas spécifique à Google Chrome : c'est un problème potentiel avec tous les navigateurs. Par exemple, du côté de Firefox et Safari, ce problème existe aussi et il y a eu des tentatives pour limiter l’accès à certaines informations (notamment en limitant le JavaScript). Malgré tout, cela ne semble pas aller aussi loin que la protection mise au point par Google.
Chrome 136 : un partitionnement à trois clés pour compartimenter les liens visités
Au sein de Chrome 136, Google a introduit une solution basée sur une technique nommée "triple-key partitioning" sur les liens visités. Cette technique repose sur l’utilisation conjointe de trois éléments pour déterminer si un lien doit apparaître comme « visité » :
- l’URL du lien,
- le site de premier niveau (domaine visible dans la barre d’adresse),
- l’origine (frame) où le lien est rendu.
Cette nouveauté est illustrée sur le schéma ci-dessous.
Grâce à ce système, Google entend bien résoudre un problème de confidentialité présent depuis 20 ans. Lorsque cette fonctionnalité est activée, un lien n’apparaîtra comme déjà visité que si l’utilisateur a cliqué dessus dans le même contexte. En principe, cela rend impossible l’exploitation de cette information par d'autres sites web, comme c'était le cas jusqu'ici.
Google prévoit tout de même une exception pour les self-links, pour les liens internes à un même site. "En bref, un site peut afficher ses propres sous-pages comme étant :visitées, même si ces liens n'ont pas été cliqués dans ce contexte auparavant.", peut-on lire sur le site de Google.
Google a un temps envisagé la suppression totale du sélecteur :visited, mais cette idée a été abandonnée, car jugée trop pénalisante pour l'expérience utilisateur.
En attendant le déploiement de Google Chrome 136, en version bêta depuis le 3 avril 2025 et dont la sortie est prévue pour la semaine prochaine, les utilisateurs de Chrome 132 à 135 peuvent activer manuellement cette fonction expérimentale. Il suffit d'accéder à cette option via la barre d'adresse du navigateur :
chrome://flags/#partition-visited-link-database-with-self-linksIl convient ensuite d'activer la fonctionnalité "Partition the Visited Link Database, including 'self-links'" en changeant son statut.
