Categories
Google vient de corriger une vulnérabilité de sécurité majeure dans son navigateur Chrome, qui existait depuis près de deux décennies. Cette faille, en lien avec l’affichage des liens visités dans les résultats de recherche, pourrait potentiellement exposer l’historique de navigation des utilisateurs à des acteurs malveillants.
Si vous avez déjà utilisé Google, vous avez sûrement remarqué que les liens bleus dans les résultats de recherche deviennent violets après avoir été cliqués. Ce petit détail visuel, très pratique, permet de savoir rapidement quels sites vous avez déjà consultés. Mais ce mécanisme, aussi utile soit-il, s’est révélé être un point faible en matière de sécurité.
Des chercheurs en cybersécurité ont découvert que cette fonctionnalité exploitait des cookies dits « non partitionnés », utilisés pour mémoriser les liens visités afin de les afficher ensuite en violet. Le problème ? Ces cookies peuvent être manipulés pour révéler l’ensemble des liens sur lesquels un utilisateur a cliqué auparavant.
Google a qualifié cette vulnérabilité de « défaut fondamental de conception » et a déployé un correctif au cours des derniers jours. Cette faille permettait aux cybercriminels d’exploiter la couleur des liens pour reconstituer l’historique de navigation d’un internaute, même sans accès direct à son appareil.
Ce type d’attaque n’est pas spécifique à Google Chrome, puisqu’il touche également d’autres navigateurs web populaires. Toutefois, certains d’entre eux avaient mis en place des solutions temporaires pour limiter les risques. Malgré cela, ces mesures restaient insuffisantes pour éliminer totalement le danger.
Dans un billet de blog, Kyra Seevers, ingénieure logicielle chez Google, explique : « Ces attaques permettent de savoir quels liens un utilisateur a consultés et de révéler des informations sur son activité en ligne. Ce problème de sécurité affecte le Web depuis plus de 20 ans. Les navigateurs ont tenté de ralentir ces attaques en implémentant des solutions provisoires, mais elles n’ont jamais permis de les stopper complètement. »
Il est important de souligner que cette faille ne concernait que les liens consultés via un moteur de recherche. Les liens saisis manuellement dans la barre d’adresse n’étaient pas exposés à ce risque.
Avec cette nouvelle mise à jour, Chrome devient le premier navigateur grand public à rendre ce type d’attaque obsolète. Google affirme désormais séparer les données liées aux liens cliqués pour chaque site, empêchant ainsi tout partage non autorisé entre différents domaines web.
Les utilisateurs sont donc fortement encouragés à mettre à jour leur navigateur Google Chrome vers la dernière version disponible. C’est la première fois en 20 ans qu’une protection complète contre ce genre de vulnérabilité est mise en place. Une mesure essentielle pour sécuriser davantage votre navigation au quotidien.
