Google Chrome 136 : la fin d’une faille de vie privée vieille de 20 ans
Le 23 avril 2025 marquera une date importante pour la protection de la vie privée sur le web. Avec la sortie de Google Chrome 136, l’équipe de développement du navigateur enterrerà enfin une vulnérabilité vieille de plus de 20 ans, liée à l’utilisation du sélecteur CSS :visited. Ce correctif met fin à une technique permettant de récupérer l’historique de navigation d’un utilisateur à son insu.
Une fuite de données via la couleur des liens
Depuis le début des années 2000, les experts en cybersécurité connaissent bien la faille du sélecteur :visited. Elle permettait à un site web malveillant de vérifier si un lien avait déjà été visité par l’utilisateur, simplement en détectant la couleur de ce lien. Cette technique, appelée « history sniffing », pouvait être utilisée pour profiler un utilisateur sans son consentement, en testant en arrière-plan des milliers d’URLs.
Bien que les navigateurs aient introduit des restrictions progressives, comme le blocage de certaines propriétés CSS sur :visited, la vulnérabilité persistait sous une forme atténuée, et continuait de poser un risque pour la vie privée.
Le triple cloisonnement : une solution définitive
Avec Chrome 136, Google introduit une méthode baptisée « partitionnement à trois clés » (triple-key partitioning). Cette approche permet de cloisonner les informations de visite de liens à partir de trois paramètres distincts :
L’URL du lien concerné
Le site principal (top-level site) dans lequel le lien est intégré
Le contexte d’origine (origin) de l’encadrement (frame) où le lien est rendu
En clair, même si un lien a été visité sur un site A, il apparaîtra comme non visité sur un site B. Cette stratégie empêche définitivement les sites web tiers de deviner l’historique de navigation d’un utilisateur, même en exploitant les subtilités du CSS.
Cette défense repose sur le concept de « cookie partitioning » et « cache partitioning », déjà adoptés par plusieurs navigateurs modernes pour améliorer la sécurité.
Activer la protection avant sa sortie officielle
Bien que la sortie stable de Chrome 136 soit prévue pour fin avril, les utilisateurs des versions 132 à 135 peuvent dès maintenant activer manuellement cette fonctionnalité via les « flags » du navigateur.
Il suffit de se rendre à l’adresse suivante :
chrome://flags/#partition-visited-link-database-with-self-links
Puis d’activer l’option « Partition the Visited Link Database, including ‘self-links' » et de redémarrer le navigateur. Cette manipulation permet d’accélérer l’adoption de la nouvelle protection en amont de sa généralisation.
Un pas de plus vers un Web plus privé
Cette mise à jour de Chrome 136 résout une faille très ancienne, souvent jugée comme inévitable. Elle souligne l’évolution continue des pratiques de développement en matière de sécurité et de respect de la vie privée. Alors que les menaces évoluent sans cesse, les navigateurs doivent anticiper et s’adapter en permanence.
Ce changement devrait être bientôt suivi par d’autres navigateurs basés sur Chromium, comme Microsoft Edge ou Brave, et pourrait inspirer Mozilla Firefox ou Safari à renforcer également leur propre gestion du sélecteur :visited.
