IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des attaquants pourraient savoir quels sites vous avez visité sur IE, Chrome et Firefox


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 377
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 377
    Points : 154 922
    Points
    154 922
    Par défaut Des attaquants pourraient savoir quels sites vous avez visité sur IE, Chrome et Firefox
    Des attaquants pourraient savoir quels sites vous avez visité sur IE, Chrome et Firefox
    d'après les recherches d'un ingénieur Belge

    En 2010 des chercheurs de l’université de Californie du Sud ont mené une analyse sur plus de 40 sites qui espionnaient les habitudes de navigation des utilisateurs. Parmi eux figurait YouPorn.com qui se targue d’être le YouTube de son domaine et utilisait du code JavaScript pour savoir si les visiteurs avaient visité récemment des sites concurrents. En combinant habilement JavaScript et CSS, les sites étaient en mesure de savoir quels sites l’utilisateur avait visités. « Nous avons trouvé que plusieurs sites populaires utilisent des techniques pour extraire des informations sur l’historique de navigation de l’utilisateur et, dans certains cas, le font d’une manière obscure afin d’éviter d’être détecté facilement » expliquait le rapport.

    Deux ans plus tard, Epic Marketplace, un réseau publicitaire très populaire qui avait ses bannières sur des sites comme cnn.com, orbitz.com et 45 000 autres sites a été condamné à verser une amende après avoir été reconnu coupable de l’exploitation d’une faille vieille de dix ans qui laisse fuir l’historique de navigation dans ses campagnes de publicités ciblées.

    Il y a quelques années encore, même s’ils n’étaient pas légion, des utilisateurs prenaient l’habitude d’effacer régulièrement leur historique de navigation ou utiliser des fonctionnalités comme la navigation privée chez Google Chrome et son équivalent sur les autres navigateurs. Avec les changements effectués par les navigateurs, l’intrusion à la vie privée a été peu à peu contenue.

    Cependant, Aäron Thijs, un diplômé de l’université Hasselt en Belgique, a confirmé que les utilisateurs Chrome, IE et Firefox sont encore susceptibles d’être victimes de ce type d’attaque qui fouille dans l’historique de navigation. Il s’est inspiré du Livre Blanc du chercheur Paul Stone publié en juillet 2013 qui traitait de différentes attaques sur HTML5 utilisant requestAnimationFram pour écrire un code qui allait forcer les navigateurs à lui révéler le contenu de l’historique de navigation. Il a précisé qu’il est possible que d’autres navigateurs comme Safari ou Opera soient également vulnérables.

    « L’attaque peut être utilisée pour voir si la victime a visité certains sites web. Dans mon exemple de vecteurs d’attaque, j’ai simplement fait la recherche ‘https://www.facebook.com’. Cependant, il peut être modifié pour chercher un ensemble plus large de sites web. Si le script est imbriqué dans un site web que n’importe quel navigateur visite, il peut être exécuté silencieusement en arrière-plan et une connexion pourra être établie pour retourner les résultats à l’attaquant» a-t-il expliqué.

    Pour rappel, la méthode requestAnimationFrame a été conçue pour fournir une façon plus efficace et fluide de créer des pages Web animées en appelant le cadre d’animation quand le système est prêt à peindre le cadre. L’API peut être utilisée pour gérer le temps de rendu du navigateur. Thijs explique par exemple qu’ IE 11 recherche les historiques de façon asynchrone donc le rendu n’attend pas que la recherche soit terminée. Le lien est d’abord peint avec le style :unvisited. Grâce à l’API requestAnimationFrame, il est possible de mesurer les variations dans le temps qu’il faut pour afficher les liens et les attaquants peuvent en déduire par la suite si un site a été visité. Un algorithme de recherche peut être mis sur pied pour rechercher un grand nombre de sites web à grande vitesse.

    Thijs en a parlé sur un forum Microsoft ce weekend mais il est passé de public a privé. Il confirme que les développeurs Chrome se penchent eux aussi sur ce problème

    Source : Aäron Thijs (Google Cache), Livre Blanc Paul Stone (au format PDF), étude des chercheurs de l'université de Californie du Sud (au format PDF)

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Invité
    Invité(e)
    Par défaut
    Je comprends mieux pourquoi Edward Snowden disait que l'extension NoScript bien utilisée peut être très efficace contre le pistage

  3. #3
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 935
    Points
    3 935
    Par défaut
    Pas d'historique pas de problème.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  4. #4
    Expert confirmé Avatar de DonQuiche
    Inscrit en
    septembre 2010
    Messages
    2 741
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 2 741
    Points : 5 459
    Points
    5 459
    Par défaut
    RequestPolicy : pas de requêtes sur des domaines tiers, pas de problème de ce genre.

  5. #5
    Candidat au Club
    Homme Profil pro
    Enseignant
    Inscrit en
    juillet 2014
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : juillet 2014
    Messages : 3
    Points : 3
    Points
    3
    Par défaut
    Je ne suis pas un geek en informatique mais franchement, ils ne manquent pas d'idées, et si je comprends bien c'est une sorte de cheval de Troie. En utilisant le principe du heartbleed, le tour est déjoué facilement avec Lastpass mais quand il s'agit d'historique, il faut dans ce cas avoir un bon pack sécurité ( anti-virus, anti-espion, pare-feu, anti-spam et anti-phishing...)

  6. #6
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Qu'en pensez-vous ?
    Les canaux auxiliaires (side channels), c'est vicelard!

  7. #7
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par Hirsiger Voir le message
    Je ne suis pas un geek en informatique mais franchement, ils ne manquent pas d'idées, et si je comprends bien c'est une sorte de cheval de Troie. En utilisant le principe du heartbleed, le tour est déjoué facilement avec Lastpass mais quand il s'agit d'historique, il faut dans ce cas avoir un bon pack sécurité ( anti-virus, anti-espion, pare-feu, anti-spam et anti-phishing...)
    Absolument n'importe quoi... cheval de Troie heartbleed Lastpass historique anti-virus, anti-espion, pare-feu, anti-spam et anti-phishing ... tu as mis tous les mots en rapport avec la sécurité qui te passaient par la tête???!!!!!

    Il s'agit de l'utilisation d'un script afin de mesurer une différence subtile de comportement du navigateur qui indique si un lien est affiché en style "non visité" ou "visité".

    La mémoire du navigateur n'est pas directement lue et envoyée à l'extérieur, donc aucun rapport avec "Heartbleed".

    Il n'est pas du tout question de mots de passe donc aucun rapport avec "Lastpass".

    Le navigateur Web ne fait que se connecter normalement à des sites en HTTP ou HTTPS, donc tout ce qu'un pare-feu pourrait faire serait de bloquer totalement la navigation.

    Aucun logiciel espion n'a été installé sur l'ordinateur donc on ne voit pas bien ce que pourrait faire un "anti-espion".

    Etc.

  8. #8
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92
    Par défaut
    Citation Envoyé par DonQuiche Voir le message
    RequestPolicy : pas de requêtes sur des domaines tiers, pas de problème de ce genre.
    Quelles requêtes sur quels domaines?

Discussions similaires

  1. Réponses: 2
    Dernier message: 23/01/2015, 14h22
  2. Comment savoir l'origine d'une visite sur son site?
    Par Marc22 dans le forum Général Conception Web
    Réponses: 4
    Dernier message: 10/03/2011, 14h27
  3. [DOM] Savoir quel site sur lequel je suis
    Par bichoking dans le forum Général JavaScript
    Réponses: 13
    Dernier message: 10/09/2008, 10h24
  4. Savoir quel site sur lequel je suis
    Par bichoking dans le forum Langage
    Réponses: 1
    Dernier message: 08/09/2008, 16h59
  5. Réponses: 6
    Dernier message: 12/06/2006, 13h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo