Mise à jour sur les informations et le problème de sécurité présumés concernant le positionnement de la souris

Au cours de ces derniers jours, nous avons vu des rapports alléguant d'un abus dans le comportement du navigateur concernant le positionnement de la souris. Microsoft travaille étroitement avec d'autres sociétés pour résoudre le problème du positionnement de la souris. D'après ce que nous savons maintenant, le problème sous-jacent concerne davantage la concurrence entre les sociétés analytiques que la sécurité et la confidentialité des utilisateurs.

Nous travaillons activement pour ajuster ce comportement dans IE. Des fonctionnalités similaires sont disponibles dans d'autres navigateurs. Les entreprises analytiques peuvent compter réaliser la détection de points de vue dans IE tout comme elles le font dans d'autres navigateurs. Nous actualiserons ce billet avec des informations complémentaires dès que possible.

Les annonceurs en ligne ont amorcé une évolution (lien) qui va « d'une impression « affichée » vers une impression « visible » ». De nombreuses sociétés analytiques ont intensifié leurs efforts pour être concurrentielles dans ce secteur. Cette concurrence a entraîné de nombreuses répercutions publiques, notamment des procès (lien). Une des sociétés impliquées dans ce secteur se nomme Spider.io. Elle a récemment signalé un problème dans IE concernant les informations du pointeur de la souris. Spider.io est une société analytique publicitaire. Son récent billet de blog « There are two ways to measure ad viewability. There is only one right way » (Il existe deux façons de mesurer la visibilité d'une annonce. Une seule est la bonne) illustre très clairement leur point de vue. Les différentes sociétés analytiques utilisent des méthodes différentes et équivalentes pour rassembler des informations sur les utilisateurs dans différents navigateurs sur différents périphériques.

La seule utilisation active signalée de ce comportement implique les concurrents de Spider.io qui fournissent des analyses. L'usage théorique de ce comportement pour compromettre la sécurité ou la confidentialité des utilisateurs a fait l'objet de discussions entre l'équipe de sécurité de Microsoft et les chercheurs du secteur de l'industrie. Nous prenons ces risques très au sérieux. Réussir à rassembler tous les éléments propices pour profiter de ce comportement (affichage d'une annonce sur un site qui demande une ouverture de session, un utilisateur qui utilise un clavier visuel (ou virtuel) en sachant comment ce clavier visuel fonctionne) est difficile à imaginer. En analysant le comportement spécifique au moment où les données sur la position de la souris sont visibles en dehors de la fenêtre du navigateur, les sites ne peuvent voir que l'état de la souris. Ils ne peuvent pas voir le contenu réel avec lequel l'utilisateur interagit. D'après nos discussions avec les chercheurs en matière de sécurité dans tout le secteur de l'industrie, nous ne voyons actuellement qu'un risque très infime pour les utilisateurs. Comme nous l'avons auparavant indiqué, aucun cas n'a été signalé concernant un utilisateur dont les informations auraient été compromises.  

—Dean Hachamovitch, Vice-président du groupe, Internet Explorer

Mise à jour :
Depuis la publication de notre billet : ces blogs supplémentaires sur la sécurité offrent une vue d'ensemble appréciable et juste sur le sujet : Actionable Intelligence: The Mouse That Squeaked et Spider.io Warns of Massive IE Security Flaw; But is it Legit?