Des chercheurs ont effectué le test à partir du mémoire cache pour connaitre les sites ouverts par l’utilisateur d’un ordinateur. Il se base sur un code JavaScript malveillant pour effectuer l’opération.

Un espionnage réussi pour les techniciens

Ce sont des techniciens issus de trois universités différentes qui ont effectué l’espionnage. Il s’agit du département de recherche en Australie, Israël et États-Unis. Il suffisait pour eux de glisser un logiciel espion dans les onglets ouverts par l’utilisateur d’un ordinateur. L’espionnage s’appuie largement sur la mémoire cache du processeur qui est en lien avec JavaScript. Chaque site web un temps d’accès différent qui s’enregistre sur la mémoire cache. Les techniciens ont effectué l’observation sur différente plateforme comme Linux ou encore Windows. Ils ont aussi utilisé la majorité des navigateurs les plus utilisés actuellement: Google Chrome, Mozilla Firefox et même Tor Browser. Le verdict est sévère car le pourcentage de réussite de leur code est très élevé. L’identification des sites est de 90% au maximum sur les navigateurs classiques contre 60% sur Tor Browser qui arrive tant bien que mal à brider le temps d’accès à la mémoire cache.

Optez ou non pour l’utilisation de JavaScript

Le risque est grand même s’il s’agit simplement d’un test car le développement d’un code JavaScript malveillant de ce genre peut conduire à une collecte illégale des données personnelles. L’espionnage peut prendre une grande ampleur si elle collecte les cookies d’authentifications. C’est au niveau de ces dernières que les mots de passe et les identifiants sont enregistrés. Les chercheurs ajoutent que les données personnelles exploitables peuvent concerner «les orientations sexuelles, convictions religieuses, opinions politiques ou encore état de santé». Toutes ces informations sont accessibles via les sites que l’utilisateur visite. Une des éventuelles solutions qui s’offre est de désactiver Javascript mais on se prive automatiquement de nombreux sites qui en dépendent pour l’affichage et la sécurité. C’est le cas pour la connexion à un compte Google qui utilise la technologie reCAPTCHA. Cette dernière s’appuie entièrement sur JavaScript pour son processus de sécurisation. Le langage de programmation se présente donc comme un outil à deux facettes, l’une pour la sécurité et l’autre pour la collecte illégale des informations personnelles.