Apple a annoncé la suppression de la fonctionnalité « Ne pas suivre » sur son navigateur Safari. Celle-ci serait en fait complètement inefficace, voire dans certains cas, contre-productive.Safari a peut-être été l'un des premiers navigateurs à ajouter un bouton « Demander aux sites Web de ne pas me suivre » à ses paramètres de confidentialité, et il va être l'un des premiers à le supprimer. Selon les notes de version pour Safari 12.1 – qui fait partie des mises à jour iOS 12.2 et macOS 10.1.4 à venir – Apple supprime la fonctionnalité afin de garder les données de l’utilisateur en sécurité à la source.

Comme l'explique le moteur de recherche DuckDuckGo dans un post de blog, la norme « ne pas suivre », qui a été adoptée par tous les principaux navigateurs, ne change en fait pas grand chose. Vous demandez essentiellement aux sites Web de vous laisser tranquille, mais cela ne signifie pas nécessairement qu'ils le feront, et la plupart ne le font pas. Il est si inopérant qu'Apple le supprime pour « empêcher son utilisation potentielle en tant que variable d'empreinte digitale ». En clair, la fonctionnalité « ne pas suivre » pourrait en fait vous rendre plus facile à suivre.

Un système de tracking intelligent

A la place, Apple a opté pour un système de suivi intelligent qui « réduit le tracking intersites en limitant davantage les cookies et les autres données du site Web ». Cela signifie que « les utilisateurs n'ont que des cookies persistants à long terme et que les données provenant des sites avec lesquels ils interagissent réellement sont supprimées de manière proactive lorsqu'ils naviguent sur le Web. ». Ainsi, en partitionnant et en supprimant les cookies après avoir visité un site, Apple limitera l'accès des trackers à ces cookies.

Le système de suivi intelligent est actuellement activé par défaut et fonctionne silencieusement en arrière-plan sans que l'utilisateur n'en soit conscient. Il n'est pas certain qu'Apple y ajoutera des options au fur et à mesure que ce dispositif gagnera en fonctionnalités mais pour l'instant, c’est une solution qui semble plus sûre que le bouton « ne pas suivre ».

Le tracking est souvent perçu comme une plaie du web moderne, et la question du contrôle des données de navigation face aux annonceurs est de plus en plus au cœur des débats. La norme « ne pas suivre » a été un effort admirable, mais en l'absence d'une forte réglementation, elle est fondamentalement sans valeur. La méthode de suivi intelligent de Safari est un bon début, reste à voir si Google marchera dans les mêmes traces avec Chrome.

Une faille zero-day dans la gestion des liens hypertexte peut résulter dans une exécution de code arbitraire. Pourtant, Microsoft qu’il n’y pas le feu au lac et attendra la prochaine version majeure de Windows pour distribuer un correctif.

Si vous êtes un grand utilisateur de vCard, méfiance ! Le chercheur en sécurité John Page vient de révéler une faille dans la gestion de ces cartes de visite numériques sur Windows. Comme on peut le voir dans une vidéo de démonstration, il est possible d’insérer dans le champ « Site web » d’une vCard une référence vers un fichier exécutable local qui, si l’utilisateur clique sur le lien, sera directement exécuté, sans aucune alerte préalable. En effet, la fenêtre pop-up que l’on voit apparaître dans la vidéo (« Continue to install ? ») n’est pas une alerte provenant du système Windows, mais fait déjà partie du fichier exécutable.

Le scénario d’attaque imaginé par le chercheur en sécurité repose donc sur deux fichiers : la vCard vérolée et le malware proprement dit. Pour que le hack fonctionne, il faut que ce dernier soit positionné dans un dossier baptisé « http » qui se trouve lui-même directement à côté de la vCard (i.e. la vCard et le dossier « http » se trouvent dans le même dossier). Ceci permet à l’attaquant de créer un hyperlien qui ressemble de loin à un lien HTML (« http.\\www.hyp3rlinx.altervista.cpl »), mais qui est en réalité un lien Windows.

Toute la difficulté pour l’attaquant est évidemment de faire en sorte que la victime télécharge ces deux fichiers. Pour sa part, Microsoft n’a pas estimé que ce risque était critique. L’éditeur a validé la démonstration de John Page, mais a décidé de ne pas développer de patch dans l'immédiat. Toutefois, la brèche devrait être corrigée pour la prochaine mise à jour majeure de Windows 10, prévue pour mars prochain (build 1903). D'ici là, il vaut mieux bien regarder les liens d’une vCard avant de cliquer dessus.

Surfer sur internet ne se fait pas sans laisser de traces, on le sait. De nombreux sites surveillent tout ce que vous faite pour mieux vous vendre leurs produits et services. Difficile d'y échapper, même si des solutions existent, fort heureusement.
Mais savez-vous quels sont ces sites ? Par qui êtes vous espionné lors de votre navigation ? Si la réponse est non, alors je vous recommande l'installation du plugin pour navigateur Kimetrak. Développé par l'équipe du site d'information en ligne NextInpact et publié sous licence libre GNU GPL v3 (le code est disponible sur Github), cette extension permet de savoir quels sont les services sui surveillent votre navigation. Une extension bien utile donc par les temps qui courts. Elle est notamment disponible pour Firefox.