Un Javascript malveillant permet de savoir tous les sites que vous avez visités

Des chercheurs démontrent que JavaScript peut être exploité pour espionner vos pages web, et récolter de nombreuses données personnelles.

Vos pérégrinations sur le web peuvent tout à fait être espionnées à partir d’un onglet corrompu : telle est la conclusion qui s’impose aux chercheurs ayant vérifié et testé cette possibilité. La chose est en effet possible à partir d’un code JavaScript malveillant et placé dans un de vos onglets.

Vos onglets et les sites que vous visitez peuvent être espionnés par un code JavaScript malveillant

Ayant travaillé sur cette hypothèse durant quelques mois, des techniciens des universités de Adélaïde en Australie, de Ben Gourion en Israël et de Princeton aux États-Unis sont parvenus à réaliser un espionnage des sites web visités sur un ordinateur, le logiciel espion étant camouflé dans un onglet tierce.

Cette attaque, basée sur l’observation de la mémoire cache du processeur en lien avec JavaScript, a permis la collecte de nombreux renseignements sur les centres d’intérêt et le profil de l’utilisateur. Les spécialistes baptisent cette technique d’intrusion « attaque par exploitation de l’empreinte digitale de site Web par le canal d’occupation du cache ».

La temporisation de la mémoire cache, une faille exploitable

Même si ce type d’attaque n’entraîne aucun désagrément matériel, il n’en reste pas moins qu’il s’agit d’une collecte illégale de données personnelles. Le fait est qu’un JavaScript malveillant peut donc collecter vos cookies d’authentification, ce qui potentiellement inclut les mots de passe et les identifiants.

Aussi précisent les chercheurs : « L’attaque que nous avons démontrée compromet les données personnelles des utilisateurs : en découvrant les sites web auxquels l’utilisateur accède, elle peut enseigner à l’attaquant des choses telles que l’orientation sexuelle de l’utilisateur, ses convictions religieuses, ses opinions politiques, son état de santé, etc ».

La faiblesse réside dans la possibilité d’exploiter frauduleusement la temporisation du cache du processeur, ce qui comme le démontrent ces tests est toujours possible malgré les récentes mises à jour réduisant les accès au chronométrage. Bien sûr, désactiver JavaScript interrompt l’attaque, mais implique également de se priver de nombreuses pages web dont l’affichage en dépend.