Une vulnérabilité découverte dans un API d’HTML5 pourrait permettre à un attaquant de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de “Pixel Perfect Timing Attacks with HTML5″ . Le problème se situe dans l’API requestAnimationFrame.
Cet API sert à la base à consulter l’historique stocké au sein de votre navigateur dans le but de différencier un site Web que vous avez déjà visité de celui que vous allez visiter. Seulement, il a été découvert qu’il était aussi possible, via un site malveillant créé pour l’occasion, de mettre la main sur l’historique de navigation de chaque visiteur. De quoi attirer les intérêts des pirates informatiques, car il serait alors facile de tracer une victime ciblée : interception de son adresse IP, récupération et analyse de son historique journalier, ce sont alors de bonnes bases pour la connaître et ainsi lui dérober des informations confidentielles.
La seule protection face à cette menace ? Utiliser le mode « Navigation privée » de votre navigateur.
A noter que Facebook, Twitter, Google, Linkedin, Bing, Amazon, Mozilla et Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérée très efficace, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du Web.
Par ailleurs, en 2010, David Baron avait publié une proposition pour prévenir de telles attaques, notamment en limitant les fichiers de style CSS qui peuvent être appliqués aux liens visités et veiller à ce que l’API JavaScript appelle uniquement les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Vous pouvez consulter le White paper de CIS via ce lien direct.