Firefox 85 détruit les supercookies qui abusent du cache avec de puissants pouvoirs de partitionnement

La Fondation Mozilla a brûlé une paire de monstruosités dans la nouvelle version 85 de son navigateur Firefox.

La grande cible est les supercookies qui, comme l’explique l’ingénieur de confidentialité de Mozilla Steven Englehardt et le chef de produit senior pour la confidentialité et la sécurité de Firefox, Arthur Edelstein, sont en effet des trackers très méchants car ils exploitent le comportement des navigateurs pour offrir un suivi qui va au-delà de ce Cookies «officiels» et lois sur la confidentialité.

«Comme tous les navigateurs Web, Firefox partage certaines ressources internes entre les sites Web pour réduire les frais généraux», expliquent le couple, avant de proposer le cache Firefox comme exemple de cette approche au travail. «Si la même image est intégrée sur plusieurs sites Web, Firefox chargera l’image à partir du réseau lors d’une visite sur le premier site Web et sur les sites Web suivants chargera traditionnellement l’image à partir du cache d’images local du navigateur (plutôt que de la recharger à partir du réseau). “

Les trackers ont trouvé des moyens d’abuser de ces ressources partagées pour suivre les utilisateurs sur le Web

Jusqu’ici, si sensible. Mais aussi, si exploitable par les cyniques.

«Malheureusement, certains trackers ont trouvé des moyens d’abuser de ces ressources partagées pour suivre les utilisateurs sur le Web. Dans le cas du cache d’images de Firefox, un tracker peut créer un supercookie en “ encodant ” un identifiant pour l’utilisateur dans une image mise en cache sur un site Web, puis en “ récupérant ” cet identifiant sur un autre site Web en intégrant la même image », le paire d’écrire.

Firefox 85 riposte en utilisant «un cache d’images différent pour chaque site Web visité par un utilisateur».

Cette approche préserve l’avantage de la mise en cache car les fichiers sont toujours stockés localement. Mais, de manière critique, Firefox ne partage plus les caches entre les sites.

Englehard et Edelstein identifient onze caches – cache HTTP, cache d’image, cache favicon, cache HSTS, cache OCSP, cache de feuille de style, cache de polices, cache DNS, cache d’authentification HTTP, cache Alt-Svc et cache de certificat TLS – dont ils avaient besoin adresse.

Mais ce n’est pas tout ce dont ils avaient besoin pour changer. “Firefox réutiliserait une seule connexion réseau lors du chargement de ressources de la même partie intégrées sur plusieurs sites Web”, a écrit la paire. Bien que cette approche évite le besoin de poignées de main TCP supplémentaires lorsque les navigateurs atteignent différentes ressources, le maintien d’une seule session réseau a permis le suivi des utilisateurs.

Firefox 85 «partitionne donc les connexions en pool, les connexions de prélecture, les connexions de préconnexion, les connexions spéculatives et les identifiants de session TLS».

Les deux Mozilliens admettent que cette nouvelle approche a un impact sur le temps de chargement de la page mais qualifient le hit de «très modeste» car il offre «entre une augmentation de 0,09% et 0,75% au 80e centile et en dessous, et une augmentation maximale de 1,32% 85e centile. » La paire dit que c’est à peu près la même chose que des protections similaires bientôt disponibles sur Chrome.

En effet, les deux auteurs approuvent en remerciant «les collègues des équipes Brave, Chrome, Safari et Tor Browser» pour leurs propres efforts de destruction des supercookies.

Le deuxième méchant tué dans Firefox 85 est Adobe Flash, dont l’état des notes de publication a été si complètement dissipé que “Il n’y a pas de paramètre disponible pour réactiver la prise en charge de Flash.”

Ce qui est une bonne idée, car en plus de Flash étant un cauchemar de sécurité, c’était un outil de plus que les supercookie-boulangers utilisaient pour créer leurs trackers diaboliques. ®