C’est en tout ce qu’affirment Konstantinos Solomos, John Kristoff, Chris Kanich et Jason Polakis de l’université de l’Illinois à Chicago, dans leur publication « Tales of F A V I C O N S and Caches: Persistent Tracking in Modern Browsers », comme le rapporte Ghacks.
Les chercheurs affirment qu’un « site Web peut suivre les utilisateurs à travers les sessions de navigation en stockant un identifiant de suivi sous la forme d'un ensemble d'entrées dans le cache dédié aux favicon du navigateur ».
Lors de ses prochaines visites, « le site peut reconstruire l'identifiant en observant quelles favicons sont demandées par le navigateur ». Et puisque les favicons sont également présentes en mode incognito, le tracking y serait aussi possible ajoutent les chercheurs.
Ces derniers détaillent une attaque dans leur publication et affirment qu’elle « fonctionne dans tous les principaux navigateurs qui utilisent un cache pour les favicons, y compris Chrome et Safari ».
« En raison de la gravité de notre attaque, nous proposons des modifications du comportement de mise en cache des favicons par les navigateurs afin d'empêcher cette forme de suivi. Nous avons présenté nos résultats aux développeurs des navigateurs, qui explorent actuellement des stratégies d'atténuation appropriées », ajoutent-ils.
Les détails techniques se trouvent par ici.
