CSS va gagner une nouvelle raison de se faire détester : la technologie de feuille de style peut en effet être utilisée pour récupérer des données personnelles à l’insu d’un utilisateur. La technique a été présentée par deux chercheurs, Ruslan Habalov et Dario Weißer. La méthode qu’ils ont mise au point exploite une fonctionnalité de CSS3 : mix-blend-mode. En exploitant cette fonctionnalité et un pixel-espion, des attaquants pouvaient mettre en place un site malveillant qui pouvait être utilisé par des attaquants afin d’accéder à des données auxquelles ils ne devraient pourtant pas avoir accès.

Les chercheurs ont présenté une démonstration visant spécifiquement les utilisateurs de Facebook : à travers un site mis en place pour la démonstration, les chercheurs expliquent être capables de récupérer les noms, les like et les photos de profil d’utilisateur. Pour que la méthode fonctionne, la victime doit se rendre sur le site malveillant tout en ayant une session Facebook ouverte.

Sur un navigateur n’ayant pas corrigé la faille, le site malveillant peut exploiter une iframe liée à Facebook, puis utiliser la fonctionnalité mix-blend-mode pour « deviner » les informations affichées sur la page Facebook de l’utilisateur.

La faille n’est néanmoins pas exclusive à Facebook et réside dans les navigateurs. Elle peut donc être théoriquement utilisée à l’encontre de n’importe quel site web pour reconstituer des données privées.

La technique est plutôt élaborée et complexe à mettre en œuvre. Mais la faille a été jugée suffisamment sérieuse pour que Chrome et Firefox, les deux navigateurs principalement touchés, déploient des patchs correctifs visant à prévenir ce type d’attaque.

Chrome a ainsi corrigé la faille dans sa mise à jour 63, qui a été diffusée en fin d’année dernière, tandis que Firefox l’a corrigé il y’a deux semaines avec sa version 60. Internet Explorer, Edge et Safari ne sont en revanche pas affectés par cette vulnérabilité.