+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 625
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 625
    Points : 47 037
    Points
    47 037
    Billets dans le blog
    2

    Par défaut uBlock Origin empêche les navigateurs d'alerter les sites Web des attaques de type XSS

    uBlock Origin empêche les navigateurs d'alerter les sites Web des attaques de type XSS
    en bloquant les rapports CSP

    L'adblocker populaire uBlock Origin est accusé d'être beaucoup trop radical dans sa mission au point de mettre en péril la sécurité de ses utilisateurs, en bloquant des rapports envoyés par les navigateurs pour alerter les sites Web de certaines attaques de piratage.

    Au cœur du problème se trouvent les alertes Content Security Policy (CSP). La CSP est une couche de sécurité supplémentaire qui aide à détecter et à atténuer certains types d'attaques, y compris les attaques XSS (Cross Site Scripting) et d'injection de données. Dans les attaques XSS, des scripts malveillants sont injectés sur des sites Web légitimes et fiables. Un attaquant peut utiliser une application Web pour envoyer un code malveillant, généralement sous la forme d'un script côté navigateur, à un autre utilisateur final. Il faut noter que ces attaques sont utilisées dans tout ce qui concerne le vol de données, le défaçage de sites Web ou la distribution de logiciels malveillants.

    Les sites Web peuvent utiliser la technologie CSP pour mettre en liste blanche un script qu’ils autorisent à s'exécuter sur leurs pages, empêchant ainsi les attaquants d'injecter du code JavaScript malveillant dans les navigateurs pour détourner les comptes des utilisateurs. Cette technologie, qui est un draft du W3C, est censée stopper les attaques XSS et signaler automatiquement les tentatives de piratage aux administrateurs du site, mais pas si uBlock Origin est installé sur le navigateur qui est censé lancer l'alerte.

    D'après un chercheur en sécurité du nom de Scott Helme, l'adblocker populaire empêche en effet les navigateurs d'envoyer les alertes CSP. « uBO bloque l'envoi de rapports CSP légitimes. J'ai une configuration de politique mise en place sur scotthelme.co.uk qui déclenche plusieurs rapports qui sont tous bloqués », a-t-il écrit dans un rapport de bogue sur GitHub.

    En réponse à sa préoccupation, le développeur d'uBlock Origin Raymond Hill a fait savoir que cela est prévu « par conception » et que son extension bloque les alertes CSP si un script neutralisé pour protéger la vie privée de l'utilisateur est autorisé sur la page, par exemple un script Google Analytics, comme c'était le cas avec le site de Scott Helme.

    Hill explique que de faux rapports CSP peuvent être générés quand l'adblocker neutralise les scripts Google Analytics. Quand des rapports CSP sont générés, uBO suppose donc que c'est la neutralisation qui a provoqué cela, et qu'il s'agit d'un faux positif. Dans ce cas, il bloque les rapports pour empêcher les fuites d'informations, d'après Raymond Hill. Le développeur d'uBO explique toutefois que des utilisateurs pourraient manuellement mettre Google Analytics sur liste blanche pour un site particulier afin d'éviter la suppression de tout rapport CSP et corriger le problème. Il va encore défendre le blocage des rapports CSP en affirmant qu’ils ne profitent pas aux utilisateurs, et que le dire serait juste du marketing.


    Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité, est que « si vous avez un risque XSS sur votre site, par exemple, un navigateur exécutant uBlock Origin ne peut plus vous le signaler. » Autrement dit, les sites Web ne recevront pas d'alertes des navigateurs lorsque uBlock Origin est installé et que des acteurs malveillants essaient d'exécuter des attaques XSS. Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.


    Après la réaction du développeur d'uBlock Origin, Paul Moore, un autre chercheur en sécurité s'exprimant sur ce problème, a trouvé « bizarre » qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse non seulement des fonctionnalités importantes des agents utilisateurs, mais son développeur refuse de corriger le problème.


    Scott Helm pour sa part pense que uBO peut bloquer Google Analytics sans interférer avec les rapports CSP. « Les deux choses ne sont pas liées, ils choisissent d'empêcher l'envoi du rapport CSP », a-t-il dit.

    Suite à ces critiques, Raymond Hill a décidé d'étudier le problème pour voir s'il est possible et pratique pour uBO de bloquer seulement les rapports CSP qui sont déclenchés lorsque l'adblocker fait son travail. Mais pour le moment, si vous utilisez uBlock Origin, votre navigateur ne peut pas avertir les sites Web en cas d’attaques de types XSS ou d’injection de données. Google Analytics est en effet très largement utilisé par les sites Web, et on peut supposer qu'il y a d'autres cas, en dehors de la technologie de Google, où uBO peut déclencher des rapports CSP en faisant son travail, et donc les bloquer.

    Source : GitHub

    Et vous ?

    Utilisez-vous uBlock Origin ?
    Que pensez-vous de ce problème ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté Avatar de Uranne-jimmy
    Homme Profil pro
    Bioinformatique
    Inscrit en
    décembre 2012
    Messages
    776
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Bioinformatique
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : décembre 2012
    Messages : 776
    Points : 1 457
    Points
    1 457

    Par défaut

    Du coup, ça n'aurais pas un rapport avec le fait que beaucoup de site "détectent" les bloqueurs et empêche l'accès si on ne le désactive pas ? Car il existe des scripts qui camouflent les bloqueurs.
    Ce serait pour moi pertinent parce que les sites qui font ça sont souvent ceux qui abusent le plus en terme de publicité, et ça ne les rends que moins sympathiques.
    Expert en recherche google caféinomane

  3. #3
    Membre expert

    Homme Profil pro
    Ingénieur Etudes et Développements Junior
    Inscrit en
    juillet 2009
    Messages
    950
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Etudes et Développements Junior
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 950
    Points : 3 782
    Points
    3 782

    Par défaut

    Je décide volontairement de bloquer Google Analytics. Il y a le mot "Google" qui me dérange. Mais on peut bien l'autoriser ou ne pas utiliser Ublock Origin non ?

    C'est mon choix je crois. Après tout, si il y a une faille XSS, je ne suis pas le seul à aller sur le site, où tout le monde ne bloque pas les scripts. Il y aura toujours signalement.
    Et si jamais tu ne bloques pas les scripts tiers, c'est toi qui peut être victime d'une attaque faite par l'intermédiaire du site contaminé il me semble.

  4. #4
    Membre émérite Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    849
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 849
    Points : 2 970
    Points
    2 970

    Par défaut

    En même temps, j'aurais tendance à mettre Google Analytics sur liste noire. C'est plus le problème des dévs de sites qui choisissent leurs outils en sachant pertinemment qu'ils sont une menace pour la vie privée de leurs utilisateurs.
    Mon blog de développeur web.

    Projet : BakuJS

  5. #5
    Membre averti Avatar de AndMax
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2017
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mai 2017
    Messages : 106
    Points : 367
    Points
    367

    Par défaut

    +1

    Comment peut-on mettre en place des traceurs tiers genre Analytics sur son site, et ensuite se plaindre de ne pas recevoir d'alertes CSP de certains utilisateurs ?

  6. #6
    Membre chevronné
    Inscrit en
    juin 2009
    Messages
    617
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 617
    Points : 1 780
    Points
    1 780

    Par défaut

    Citation Envoyé par AndMax Voir le message
    +1

    Comment peut-on mettre en place des traceurs tiers genre Analytics sur son site, et ensuite se plaindre de ne pas recevoir d'alertes CSP de certains utilisateurs ?
    Yep. Piwik FTW

  7. #7
    Membre régulier
    Profil pro
    Inscrit en
    janvier 2014
    Messages
    59
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 59
    Points : 114
    Points
    114

    Par défaut

    résumé :
    CSP permet (entre autre) de protéger l'utilisateur d’injection de code, de contenu, de phishing, d'installation... ainsi que de détecter puis relayer une menace à celui qui l'a transmise.
    "peut utiliser une application web" >> coté client ou serveur... les deux ?

    Un script est injecté dans le navigateur de l'attaquant, puis, en contaminant/altérant l'application web, atterrit sur le navigateur d'un surfer insouciant.
    CSP liste une flopée de script étant autorisés à s'exécuter, pour signaler automatiquement les autres script aux administrateurs du site comme étant des tentatives de piratage.

    uBO (uBlock Origin) neutralise le(s) script protégeant ainsi la vie privée du surfer, si ce script est autorisé (white-listé par l'utilisateur uBO), il bloque l'alertes CSP. Après tout s'il est sur liste blanche c'est que le surfer VEUT l'exécuter, qu'il fait confiance.
    Quand uBO neutralise un script, il déclenche parfois de faux rapports CSP, tout les rapports CSP sont alors bloqués.
    Un flou est à éclaircir: seuls les rapports émit après la neutralisation des scripts sont bloqués ? sur une durée/portion indéterminé ?

    Donc pour faire court, uBlock Origin bloque tout, CSP non... CSP remonte des informations de vulnérabilité, uBO non... l'utilisateur d'uBO n'est pas victime de ses vulnérabilités, il ne fait encourir aucun risque de plus à celui qui n'utilise pas uBO. C'est l'application web qui est le vecteur de vulnérabilités (dans le cas exposé), et c'est le compte (en ligne) qui est exposé.
    Il est donc reproché que uBO ralentit l'implémentation de la sécurité des autres personnes qui ne l'utilisent pas.
    heuuu... vous voyez le parallèle avec les bases de virus que chaque marque garde jalousement secrète ?

    Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.
    il y a donc un vrai problème sur l'application, non ?... avant de répondre : c'est pas parce que tout le monde le fait qu'il faut le faire ! x)
    c'est bizarre qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse des fonctionnalités importantes des agents utilisateurs
    quelqu'un aurait-il un exemple ?

  8. #8
    Invité
    Invité(e)

    Par défaut

    Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité
    Bah, en gros bloquer le flicage et la pub est dangereux quoi.. me demandais quand ça allait arriver

    Bientôt un parallèle avec la vaccination obligatoire ?

  9. #9
    Membre éprouvé

    Homme Profil pro
    Privacy, EBusiness, Bases de données, Sécurité, ...
    Inscrit en
    novembre 2004
    Messages
    315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Privacy, EBusiness, Bases de données, Sécurité, ...
    Secteur : Service public

    Informations forums :
    Inscription : novembre 2004
    Messages : 315
    Points : 1 140
    Points
    1 140

    Par défaut

    Je crois surtout qu'il y en a qui se servent du Content-Security-Policy-Report-Only pour monitorer l'effet des directives CSP et peut être bien disposer ainsi d'un autre moyen de tracking.
    Dès lors, c'est certain que le blocage des alertes CSP par µBO les gênent.

  10. #10
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 473
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 473
    Points : 8 449
    Points
    8 449

    Par défaut

    Oui donc apparemment tout le monde s'en fou, et c'est tant mieux, la ficelle est trop grosse.

  11. #11
    Membre averti
    Inscrit en
    juin 2012
    Messages
    267
    Détails du profil
    Informations forums :
    Inscription : juin 2012
    Messages : 267
    Points : 426
    Points
    426

    Par défaut

    L'extension noscript gère les XSS si on l'a correctement paramétrée, je ne crois pas qu'ublock origin gène son fonctionnement ?

  12. #12
    Expert confirmé
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    1 869
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 1 869
    Points : 5 931
    Points
    5 931
    Billets dans le blog
    2

    Par défaut

    Que quelqu'un me corrige si je me trompe :
    - on a d'un côté 1 serveur, et de l'autre N clients
    - le rapport CSP est envoyé par le client
    - le rapport est donc envoyé dès lors qu'un seul client n'a pas uBO
    - l'intérêt de l'attaquant XSS grimpe avec la notoriété du site, et donc avec un nombre de clients important
    - plus le site est intéressant à attaquer, plus il y a donc de chance d'avoir des clients sans uBO, et donc des rapports CSP envoyés
    - ça n'a donc pas de sens de mettre la pression sur uBO, vu que plus l'attaque est intéressante, moins l'impact de uBO est pertinent
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #13
    Membre éprouvé
    Homme Profil pro
    Développeur multimédia
    Inscrit en
    juillet 2004
    Messages
    616
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur multimédia
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2004
    Messages : 616
    Points : 1 011
    Points
    1 011

    Par défaut

    Je dirais la série américaine, Facebook, Google, Twitter ... liste noir ... attention c'est pas de l'anti-américanisme primaire ... Juste du bon sens, a force d'API en tout genre ils sont partout, après une recherche sur Google, tu as son analytics, mais aussi ses api's CDN mais aussi ses fonts réputé XSS, voir son canvas ses pixels tags... et ses proxy en tout genre. Sacré série noir , ils ont leur nez partout, rien a cacher, juste besoin de se préserver.

Discussions similaires

  1. Réponses: 1
    Dernier message: 30/08/2012, 14h43
  2. Les navigateurs postent tous les cookies ?
    Par Jcpan dans le forum Langage
    Réponses: 1
    Dernier message: 06/01/2010, 15h25
  3. les dérnières étapes d'un site web
    Par badi3a82 dans le forum Joomla
    Réponses: 2
    Dernier message: 21/06/2009, 23h29
  4. Récupérer les @IP publics visitant un site web
    Par killer69 dans le forum C#
    Réponses: 5
    Dernier message: 08/02/2008, 10h22
  5. Réponses: 1
    Dernier message: 22/03/2007, 20h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo