S’assurer que les clients de laredoute.fr ne vont pas surfer sur le site des 3 Suisses, c’est possible. D’après ZDNet, deux chercheurs de Princeton, spécialisés dans la sécurité des réseaux, ont en effet mis en évidence un moyen pour que des entreprises puissent surveiller les visites de leurs propres cyberclients sur les sites des entreprises concurrentes, sans que ces derniers s’en aperçoivent. Cette méthode est basée sur le temps de téléchargement des pages web. Ce temps se réduit lors d’une deuxième visite sur un site car un certain nombre de fichiers restent stockés dans le cache du navigateur.

Piégé par le temps

Imaginons que les dirigeants de la société A souhaitent s’assurer que leurs clients ne se rendent pas sur le site de la société X. Le Webmaster de A insère une applet (petit programme) Java ou Javascript dans les pages Web de son site. Lorsque des visiteurs accèdent au site A, l’applet télécharge - à leur insu, sans les afficher - des éléments (un logo par exemple) des pages du site de X. En fonction du temps que demande le téléchargement du site X depuis le site A sur l’ordinateur du client, le Webmaster peut savoir si le site X était déjà stocké dans le cache du navigateur ou non, donc s’il est déjà allé ou non sur ce site. D’après les chercheurs de Princeton, la méthode est fiable à 98%. Elle peut même fonctionner lorsque les navigateurs ne supportent pas les applets Java ou Javascripts : ces dernières sont alors remplacées par des appels HTML, et la méthode serait alors fiable à 94%. Ce cyber-espionnage pourrait intéresser bon nombre de responsables marketing soucieux de vérifier les allées et venues de leurs clients internautes. Problème, il présente quelques failles. Il est en effet impossible de vérifier que l’internaute n’a pas pris soin de vider les fichiers contenus dans le dossier cache de son navigateur. Auquel cas, la méthode s’avère totalement inutile.