WebCull

Le Problème de la Sécurité des Favoris des Navigateurs

Publié le 11 mars 2025 par Andrew Dear
Segment : Sécurité

Les navigateurs web modernes stockent vos favoris (ou marque-pages) dans des fichiers ou des bases de données situés dans le répertoire de profil utilisateur de votre navigateur sur votre ordinateur, même si la synchronisation est activée. Contrairement aux mots de passe, ces fichiers de favoris ne sont pas chiffrés : ils sont enregistrés en texte brut ou dans des formats de base de données simples pour un accès rapide. Par exemple, Mozilla Firefox conserve tous les favoris dans une base de données SQLite. Google Chrome, Microsoft Edge (basé sur Chromium) et d'autres navigateurs Chromium utilisent un fichier au format JSON (souvent nommé “Bookmarks”) pour stocker les données des favoris. Safari d'Apple enregistre également les favoris dans un fichier de liste de propriétés (Bookmarks.plist) situé dans le dossier Bibliothèque de l'utilisateur. De plus, comme ces favoris sont stockés en texte brut, ils sont également vulnérables à la manipulation. Dans tous les cas, les données des favoris (titres, URL, balises et notes) sont lisibles et ne sont protégées ni par un chiffrement ni par un mot de passe.

Le stockage des favoris sous forme non chiffrée est avant tout un choix de conception pour plus de commodité, notamment lors du passage d'un navigateur à un autre. Cependant, cette commodité a un coût : tout programme ou logiciel malveillant exécuté sous votre compte système peut potentiellement accéder à ces fichiers et lire vos favoris sans nécessiter d’autorisation spécifique ni de clé de déchiffrement. À l’inverse, les navigateurs chiffrent souvent les éléments sensibles comme les mots de passe enregistrés ou les cookies avec une clé fournie par le système d’exploitation, mais les favoris ne bénéficient pas du même traitement.

Risques de Sécurité Liés à l’Exposition des Données de Favoris

Étant donné que les favoris ne sont pas chiffrés, ils sont vulnérables à un accès non autorisé par des logiciels espions, des logiciels malveillants ou même des applications légitimes qui analysent les données de votre navigateur. Un malware infectant votre système peut simplement lire le fichier ou la base de données contenant les favoris et en voler le contenu. En fait, les logiciels malveillants et les kits d’outils de hackers ciblent explicitement les favoris des navigateurs dans le cadre des données qu’ils collectent auprès de leurs victimes. La base de données MITRE ATT&CK note que “les données enregistrées par les navigateurs (comme les favoris) peuvent révéler une variété d’informations personnelles sur les utilisateurs”, y compris “des sites bancaires, des relations/intérêts, des réseaux sociaux, etc.”, ainsi que des détails sur les ressources internes du réseau telles que des serveurs, des outils/tableaux de bord ou d’autres infrastructures connexes. En outre, elle répertorie de nombreuses menaces exploitant les données des favoris.

Exemples de procédures :

  • APT38 (Groupe Lazarus - Corée du Nord) : Récupère les informations des favoris du navigateur pour recueillir des renseignements sur les hôtes compromis, obtenir des détails personnels des utilisateurs et identifier des ressources réseau internes.
  • Calisto : Cheval de Troie ciblant macOS qui vole les favoris de Google Chrome pour découvrir des portails web sensibles ou des applications d’entreprise.
  • Chimera : Groupe APT lié à la Chine qui récupère les favoris des répertoires utilisateur Windows, en particulier ceux d’Internet Explorer et des environnements Citrix, à des fins d’espionnage industriel.
  • Cuckoo Stealer : Malware basé sur macOS qui collecte les favoris, les cookies et l’historique de Safari pour des attaques de phishing et de reconnaissance.
  • Empire : Framework open-source de post-exploitation qui vole les favoris des navigateurs et les sites visités pour des mouvements latéraux et une escalade de privilèges.
  • Fox Kitten APT : Groupe APT iranien qui vole les favoris de Google Chrome pour cartographier les ressources internes des entreprises et les points d’accès privilégiés.
  • Lizar : Logiciel malveillant développé en Russie qui récupère l’historique du navigateur et les favoris pour profiler ses cibles.
  • Machete : Malware d’espionnage qui récupère les données de profil utilisateur, y compris les favoris, de Google Chrome et Mozilla Firefox.
  • Moonstone Sleet (APT russe) : Acteur de menace lié à la Russie qui déploie des logiciels malveillants capables de capturer les informations du navigateur.
  • SUGARDUMP : Logiciel malveillant conçu pour collecter les favoris et l’historique du navigateur dans le cadre d’opérations de reconnaissance.
  • Volt Typhoon (APT chinois) : Groupe APT lié à la Chine qui cible les données de navigation des administrateurs réseau pour identifier des systèmes d’infrastructure critiques.

Source : https://attack.mitre.org/techniques/T1217/

Ces exemples concrets montrent que les favoris sont activement exploités dans les cyberattaques. Dans certains cas, des favoris volés ont été utilisés pour faciliter des attaques de phishing ciblées ou des intrusions. Une fois obtenus, un attaquant peut analyser vos favoris pour connaître vos habitudes ou planifier de nouvelles attaques. Par exemple, un attaquant ayant accès à vos favoris pourrait voir que vous fréquentez un site bancaire spécifique et créer un e-mail de phishing lié à cette banque. Dans un contexte d’entreprise, si un attaquant trouve des favoris menant à des sites internes ou à des portails VPN, il obtient des indices sur la manière de s’infiltrer plus profondément dans le réseau.

De plus, l’intégrité de vos favoris peut être altérée par des logiciels malveillants. Comme il n’existe aucune protection contre les modifications, un malware infectant un système peut insérer des favoris malveillants ou modifier ceux déjà existants. Une méthode d’attaque documentée consiste à ajouter un favori qui semble inoffensif mais qui mène en réalité à un site malveillant, incitant ainsi l’utilisateur à cliquer dessus plus tard. Il existe des cas où un malware invisible a inséré un favori dans le navigateur ; lorsque l’utilisateur a fini par cliquer dessus, il a été redirigé vers une page infectée qui a installé d’autres logiciels malveillants. Des chercheurs en sécurité ont montré que les attaquants peuvent utiliser les fonctionnalités de synchronisation des favoris comme un canal furtif – par exemple, en insérant des favoris invisibles contenant des données codées qui sont exfiltrées via la synchronisation cloud du navigateur. Une fois qu’un malware a accès aux fichiers, il peut également modifier l’URL d’un favori pour rediriger vers une page de phishing ressemblante (tout en conservant le titre familier), trompant ainsi les utilisateurs dans une attaque de phishing en deux étapes.

En résumé, les favoris non protégés présentent à la fois un risque de confidentialité (ils peuvent être lus par des acteurs non autorisés) et un risque d’intégrité (ils peuvent être modifiés à des fins malveillantes).

Les Favoris comme Risque pour la Vie Privée (Profilage et Suivi)

En dehors des cyberattaques, votre collection de favoris peut représenter un risque pour la confidentialité si elle tombe entre de mauvaises mains. Les favoris incluent souvent une sélection intentionnelle de sites web que vous jugez importants, ce qui signifie qu’ils peuvent dresser un portrait détaillé de votre vie, de vos centres d’intérêt et de vos activités. Une discussion sur la cybersécurité sur Stack Exchange a souligné que la divulgation de vos favoris "permettrait à quelqu’un de dresser un portrait assez précis de qui vous êtes et de vos intérêts", y compris des détails personnels déduits de vos favoris enregistrés pour les sites bancaires, les boutiques en ligne ou les services de messagerie. Par exemple, un simple coup d'œil aux favoris de quelqu'un pourrait également révéler son appartenance syndicale, ses sites de voyage favoris, ses forums de santé, ses sources d'information préférées ou ses loisirs – des informations pouvant être exploitées pour du profilage ou de l’ingénierie sociale.

Du point de vue du suivi et de l’analyse, une application ou une extension de navigateur pouvant lire discrètement vos favoris pourrait les utiliser pour vous profiler en vue de la publicité ciblée ou de l’exploitation des données. Contrairement à l’historique de navigation (qui est un journal brut de tout ce que vous avez visité), les favoris représentent des intérêts intentionnels – des sites que vous prévoyez de revisiter. Cela est particulièrement précieux pour le profilage. Un attaquant ou une application intrusive pourrait combiner les données des favoris avec d’autres informations afin de créer un dossier détaillé sur la vie en ligne d’un utilisateur. En entreprise, les favoris pourraient même contenir des liens vers des outils internes ou des pages de projets, révélant ainsi des affiliations professionnelles ou des informations sensibles sur des projets en cours. Lors d’un incident APT signalé, des favoris de navigateur volés ont été utilisés pour identifier des serveurs internes et des ressources du réseau ciblé – exploitant ainsi les "favoris" de la victime pour cartographier les points d’attaque.

Il existe aussi un risque lié aux informations sensibles contenues dans les URL des favoris. Certaines URL enregistrées peuvent inclure des chaînes de requête avec des identifiants ou des clés privées. Par exemple, si vous ajoutez en favori une application web alors que vous êtes connecté ou que vous consultez un enregistrement spécifique, l’URL peut contenir des jetons de session ou des identifiants de base de données. Si un attaquant obtient ces favoris, il pourrait extraire des informations de l’URL elle-même ou même réutiliser un jeton encore valide. Comme l’a noté une réponse sur un forum de sécurité, un favori pourrait involontairement stocker un identifiant de compte ou un numéro de transaction dans son URL – des données que vous ne voudriez pas voir exposées publiquement. Tous ces éléments montrent clairement que les favoris doivent être considérés comme des données personnelles.

Commodité vs. Sécurité

L’accès facile comporte un risque. Les éditeurs de navigateurs ont donné la priorité à la facilité d’accès aux favoris pour des fonctionnalités comme l’importation/exportation et la synchronisation. Le problème est que tout programme exécuté sous votre compte peut également accéder à ces données. Un exemple frappant de ce compromis entre commodité et sécurité est la façon dont les navigateurs importent les favoris les uns des autres. Étant donné que les fichiers de favoris sont facilement lisibles, un navigateur peut récupérer ceux d’un autre pour vous aider à passer d’un navigateur à l’autre sans difficulté. En fait, il a été observé que Microsoft Edge importait automatiquement les favoris, l’historique, les cookies et d’autres données des utilisateurs de Chrome lors du premier lancement, et ce, sans autorisation explicite dans certains cas. Cette fonction visait à simplifier la configuration, mais elle a suscité des inquiétudes en matière de confidentialité : Edge a essentiellement lu les données non chiffrées de Chrome en arrière-plan. Microsoft a même synchronisé ces données avec le compte Microsoft de l’utilisateur s’il était connecté, ce qui aurait potentiellement invalidé tout chiffrement de bout en bout que l’utilisateur de Chrome aurait pu mettre en place. Bien que les utilisateurs puissent désactiver ces fonctionnalités, cet incident souligne qu’une application peut librement lire les favoris d’une autre sans consentement ni connaissance de l’utilisateur.

Un débat est en cours sur l’acceptabilité de cette situation. Certains chercheurs en sécurité estiment que les navigateurs pourraient en faire davantage, par exemple en empêchant les programmes externes de lire le fichier de favoris ou au moins en chiffrant les données. Pour l’instant, cependant, il n’existe aucun standard industriel exigeant le chiffrement des favoris en repos. Les régulateurs n’ont pas spécifiquement abordé la question des favoris dans les lois sur la confidentialité, probablement parce qu’ils sont mal perçus comme étant moins sensibles que, par exemple, les mots de passe ou les numéros de carte bancaire. Cependant, en vertu de réglementations générales sur la protection des données (comme le RGPD ou le CCPA), si une organisation collectait les favoris d’un utilisateur, ils pourraient être considérés comme des données personnelles. Certaines plateformes de gestion de favoris basées sur le cloud adoptent une approche différente en ne conservant aucune copie locale, garantissant ainsi leur sécurité face aux menaces locales. Contrairement au stockage traditionnel des navigateurs, ces services ne stockent jamais les favoris sous une forme non chiffrée. Par exemple, WebCull chiffre les favoris au repos, sur l’appareil, et ne les stocke jamais localement, réduisant ainsi considérablement les vecteurs d’attaque.

Se Déconnecter ne Cache Pas Vos Favoris

Une croyance courante mais erronée est que la déconnexion de votre profil de navigateur supprime ou masque vos favoris sur cet appareil. En réalité, les favoris restent stockés localement, totalement visibles et facilement accessibles même après votre déconnexion. Ce problème devient particulièrement préoccupant lorsque vous vous connectez à votre profil de navigateur sur des appareils qui ne vous appartiennent pas exclusivement, comme l’ordinateur d’un membre de votre famille ou un poste de travail. Vos favoris, qui peuvent potentiellement révéler des intérêts sensibles ou privés, restent en texte brut, et les navigateurs offrent très peu d’options pour contrôler ou supprimer ces favoris locaux après la déconnexion. Cette lacune signifie que se déconnecter ne suffit pas à garantir la confidentialité. Toute personne utilisant ensuite cet appareil peut voir vos favoris, ce qui présente des risques en matière de confidentialité et de sécurité.

Idées Reçues sur le Chiffrement de la Synchronisation du Navigateur

Une idée fausse répandue est que l’activation du chiffrement de bout en bout (E2EE) dans le système de synchronisation d’un navigateur signifie que ses favoris sont entièrement protégés. Bien qu’il soit vrai que certains navigateurs, comme Firefox et Chrome avec une phrase secrète personnalisée, chiffrent les données des favoris avant de les synchroniser avec le cloud, cette protection ne s’applique qu’à la transmission et au stockage sur les serveurs du fournisseur. En réalité, même avec l’E2EE activé, les favoris restent non chiffrés en repos sur l’ordinateur local. Cela signifie que tout programme, logiciel malveillant ou utilisateur non autorisé ayant accès à l’appareil peut toujours lire et extraire les favoris du dossier de profil du navigateur. Cette confusion peut créer un faux sentiment de sécurité ; en réalité, ils restent entièrement accessibles sur l’appareil, exposés aux logiciels espions, aux attaques locales ou à l’extraction de données à des fins d’analyse légale.

Risques Réglementaires de Stocker des Favoris Non Chiffrés Contenant des Données Personnelles

D’un point de vue institutionnel, stocker des favoris non chiffrés en repos pourrait entraîner de graves violations du RGPD ou du CCPA si ces favoris contiennent des informations personnelles identifiables (PII). De nombreuses URL enregistrées en favoris, en particulier dans les environnements professionnels, incluent des métadonnées ou des chaînes de requête contenant des données sensibles de l’utilisateur, comme des identifiants de session, des noms d’utilisateur, des numéros de compte ou même des liens directs vers des documents confidentiels. Si une organisation conserve ces favoris sans chiffrement, tout accès non autorisé, toute fuite de données ou toute récupération forensique du fichier pourrait exposer des données personnelles, constituant potentiellement un incident de confidentialité à signaler en vertu du RGPD. Selon ces réglementations, les entreprises sont tenues de protéger les données des utilisateurs par des mesures de sécurité appropriées, et ne pas chiffrer ou restreindre l’accès aux favoris stockés pourrait être interprété comme une négligence dans la protection des PII. En cas de violation de données, les organisations pourraient être soumises à de lourdes amendes – jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial selon le RGPD, et à des sanctions tout aussi significatives en vertu du CCPA. Cela souligne les risques juridiques et financiers de considérer les favoris comme des données anodines, alors qu’en réalité, ils peuvent contenir des informations hautement sensibles sur les utilisateurs.

Face à ces constats, il est clair que la sécurité des favoris mérite une plus grande attention, tant de la part des utilisateurs individuels que des organisations. L’idée reçue selon laquelle le chiffrement de bout en bout des navigateurs protège entièrement les favoris met en évidence l'importance de distinguer la protection dans le cloud des vulnérabilités locales. Les institutions, en particulier, doivent reconnaître les risques juridiques et réglementaires significatifs liés au stockage de favoris contenant des informations personnelles identifiables (PII) sans chiffrement. Tant que les navigateurs n’adopteront pas des mesures de sécurité plus strictes, les utilisateurs et les organisations devraient envisager des alternatives plus sûres, comme les gestionnaires de favoris basés sur le cloud, qui garantissent que les favoris restent chiffrés et isolés des menaces potentielles, afin de protéger les données personnelles et de se conformer aux lois sur la confidentialité telles que le RGPD et le CCPA.

Abonnez-vous au blog WebCull

Recevez des mises à jour sur les nouveaux articles et autres nouvelles.

Blogue WebCull An alternate WebCull logo Explorons le monde et le web ensemble.

Le gestionnaire de favoris populaire Pocket fermera en juillet 2025. Les utilisateurs doivent exporter leurs données avant octobre. Exportez vos données Pocket maintenant et passez à WebCull.

Explorez ma pile technologique personnelle axée sur la confidentialité, avec des outils dotés de chiffrement de bout en bout et d’une architecture à connaissance nulle.

Apprenez comment l'organisation réduit le stress, améliore la cognition et augmente l'efficacité dans les espaces physiques et numériques.

Les navigateurs web stockent les favoris en texte brut, les rendant vulnérables aux logiciels malveillants, aux accès non autorisés, au profilage et aux risques réglementaires potentiels.

Activez le chiffrement de bout en bout avant la synchronisation pour éviter les sauvegardes non chiffrées. Le chiffrement n'est pas rétroactif — protégez vos données dès le départ.

Une analyse de la synchronisation inter-navigateurs, couvrant les besoins des utilisateurs, les solutions actuelles, les défis et les développements futurs potentiels.

Explorez comment les outils de recherche en IA comme Deep Research d’OpenAI, Grok de xAI et Gemini de Google accélèrent considérablement la recherche d’informations et les flux de travail professionnels.

Organisez et synchronisez vos favoris sur plusieurs appareils pour un accès fluide et une productivité accrue.

Les gestionnaires de favoris privés facilitent la collaboration en fournissant des référentiels de liens sécurisés et organisés. Découvrez les besoins du marché, les fonctionnalités essentielles et les subtils avantages de WebCull.

Une interface encombrée submerge les utilisateurs, tandis qu'un design épuré améliore l'ergonomie, réduit la frustration et augmente la productivité en éliminant les distractions inutiles.

Découvrez comment les nouvelles capacités de recherche de ChatGPT pourraient remodeler l'avenir de la recherche d'informations, défier les moteurs de recherche traditionnels et redéfinir les stratégies SEO dans un monde orienté vers l'IA.

Explorez l'évolution des hyperliens et du bookmarking, des premiers navigateurs web aux outils modernes comme WebCull, en mettant l'accent sur les avancées en matière de synchronisation, de confidentialité et de fonctionnalités de productivité qui améliorent l'expérience utilisateur sur toutes les plateformes.

Pourquoi une tarification basse se retourne souvent contre les entreprises, en particulier en B2B. L’article souligne l'importance d'aligner les prix sur la valeur, la fiabilité et la croissance, et propose des alternatives comme la tarification par paliers et basée sur la valeur pour un succès durable.

This overview examines browsers with and without end-to-end encryption (E2EE) for syncing bookmarks, highlighting the importance of E2EE in ensuring that bookmarks are encrypted on the user’s device and can only be decrypted by the user, protecting them from unauthorized access.

Ce blog explore les subtilités techniques de la synchronisation des favoris entre appareils, en se concentrant sur l'impact de différents modèles de synchronisation — Miroir, Vérification des différences et Ledger — sur la fiabilité et la sécurité du système.

Les réglementations sur la protection des données comme le RGPD imposent des exigences strictes sur l'intégrité de tous les outils logiciels au sein de l'écosystème d'une organisation. Le chiffrement de bout en bout (E2EE) dans les outils de gestion web, tels que les gestionnaires de favoris, est essentiel pour garantir que même les données annexes sont protégées.

Les outils de marque-pages web avec des capacités de synchronisation multiplateforme comme WebCull peuvent révolutionner la gestion du flux de travail dans divers environnements professionnels.

Gérer des documents sur Google Drive devient souvent chaotique à mesure que le volume de contenu augmente. Le gestionnaire de signets de WebCull introduit une méthode sophistiquée pour organiser les liens vers les ressources essentielles de Google Docs, Sheets et Gmail, créant un espace de travail rationalisé et efficace.

Une gestion efficace des ressources améliore la productivité de l'équipe. Les dossiers cloud partagés centralisent l'accès, et WebCull améliore cela avec des mises à jour synchronisées, une recherche avancée et une gestion des rôles des utilisateurs, garantissant une collaboration fluide.

Les gestionnaires de favoris devraient être appelés organisateurs de liens. Ils offrent des fonctionnalités plus avancées que les gestionnaires de favoris des navigateurs, comme la synchronisation entre navigateurs, des outils d'organisation avancés comme la sélection multiple et des outils de collaboration.

Comprendre E2EE (chiffrement de bout en bout) et son rôle dans la protection de vos données, ses applications, ses défis et son impact sur la vie privée et les entreprises.

WebCull offre une gestion des favoris avec un chiffrement de bout en bout. Chiffrez vos favoris avec AES-256-GCM pour une sécurité robuste. Les favoris sont chiffrés sur votre appareil avant d'atteindre les serveurs.

L'article souligne l'importance d'une documentation détaillée pour prévenir les retards de projet, plaidant pour des pratiques collaboratives et des outils modernes comme WebCull pour une gestion efficace des documents. Il met en évidence que la documentation appropriée aligne les équipes sur les objectifs du projet, améliorant l'efficacité et le succès.

Cet article présente cinq outils de palette de couleurs indispensables pour la conception et le développement web, mettant en évidence des fonctionnalités qui améliorent l'attrait visuel, l'expérience utilisateur et l'accessibilité, servant de ressource pour les concepteurs.

Exploration de stratégies pour surmonter les blocages de créativité en design, équilibrant l'innovation avec les tendances, et organisant l'inspiration pour améliorer les efforts créatifs.