Wiki LLV

Outils pour utilisateurs

Outils du site

Piste : yandex_metrica
wiki:securite:menaces:yandex_metrica

Yandex Metrica

https://www.clubic.com/actualite-567786-desanonymisation-forcee-comment-meta-et-yandex-ont-exploite-une-faiblesse-android-pour-relier-votre-historique-web-a-votre-vraie-identite.html

Désanonymisation forcée : comment Meta et Yandex ont exploité une faiblesse Android pour relier votre historique web à votre vraie identité.

Vous pensiez avoir limité le tracking en refusant les cookies, en vidant votre historique et en activant la navigation privée ?

Raté. Meta Pixel et Yandex Metrica ont délibérément contourné les règles d’Android pour faire dialoguer leurs scripts web avec leurs applications installées sur votre téléphone, de manière à relier votre historique de navigation à votre identité réelle. Ce manège dure depuis des années.

Depuis 2017, le script de suivi Yandex Metrica, présent sur de nombreux sites, envoie des requêtes HTTP ou HTTPS à des ports Android locaux spécifiques (comme 29009 ou 30102), ouverts en arrière-plan par les applications Yandex. Lorsqu’elles reçoivent ces requêtes, les applications Yandex (Maps, Navigator, Browser, etc.) renvoient des identifiants tels que l’AAID ou d’autres valeurs uniques. Le script intégré au site récupère ensuite ces données et les transmet aux serveurs de Yandex.

Les protections classiques ne fonctionnent plus, et les internautes n’ont aucun moyen d’en être informés ni d’y consentir explicitement. Et comme chez Meta, la désanonymisation est automatique : chaque visite web peut être rattachée à un utilisateur ou une utilisatrice spécifique, avec une précision nettement supérieure à celle des cookies.

Ce type de contournement ne repose ni sur une faille critique ni sur un bug, mais sur un comportement structurel d’Android. Le système permet à n’importe quelle application disposant de l’autorisation « Internet » (ce qui est quasiment toujours le cas) d’écouter du trafic réseau sur l’adresse locale 127.0.0.1 sans restriction, en ouvrant librement des ports réseau internes.

Pendant des mois, les principaux navigateurs Android (Chrome, Edge, Firefox) ont exécuté les scripts concernés sans bloquer ce type de comportement. Seuls Brave et DuckDuckGo filtraient déjà les connexions aux ports locaux sensibles ou les domaines connus pour ce genre d’usage. Ce n’est que fin mai 2025 que Google a intégré un correctif dans Chrome 137 pour bloquer certains ports et limiter les abus liés à la modification des messages SDP dans WebRTC (le fameux « SDP munging »).

(lire l'article complet pour plus de précisions)

wiki/securite/menaces/yandex_metrica.txt · Dernière modification : de palas
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki