Discussion :

[Coriolan]

Les régies publicitaires exploitent les gestionnaires de mots de passe des navigateurs pour traquer les internautes
Assure une étude

Pour gagner du temps lorsque les internautes remplissent des formulaires, certains navigateurs comme Chrome et Firefox proposent la saisie automatique ainsi que des gestionnaires de mots de passe pour stocker les identifiants des utilisateurs. Cette fonctionnalité est pratique certes, mais elle présente un inconvénient aussi pour le respect de la vie privée.

À vrai dire, les gestionnaires de mots de passe intégrés dans les navigateurs ont été abusés par les régies publicitaires afin de traquer les internautes sur plus d’un millier de sites web. En effet, des chercheurs de l’Université de Princeton ont révélé que des scripts tiers vont jusqu’à exploiter les gestionnaires de mots de passe intégrés dans les navigateurs pour trouver et extraire des identifiants des utilisateurs sans les prévenir. Selon les auteurs de l’étude, c’est la première fois que cette pratique a été mise à la lumière du jour.

La vulnérabilité qui a rendu possible cette pratique était connue depuis des années. Auparavant, les discussions se sont focalisées sur les attaques de type XSS (cross-site scripting) qui permettent de dérober les mots de passe. Heureusement, les chercheurs qui ont analysé 50 000 sites web n’ont pas trouvé un indice de vol de mots de passe, mais ils ont trouvé plutôt des scripts de tracking qui exploitent la même technique pour extraire les adresses email et constituer un profil comportemental des internautes par la suite.

L’image en haut indique comment cette méthode fonctionne. Premièrement, l’utilisateur entre les informations dans la zone de remplissage sur une page web quelconque et demande au navigateur d’enregistrer les données. Le script marketing n’est pas présent sur la page d’identification. Ensuite, l’utilisateur visite une autre page du même site qui inclut cette fois le script en question. Ce dernier se charge d’insérer une zone de remplissage invisible à l’utilisateur qui est remplie automatiquement par le navigateur. Après, le script tiers capte l’identifiant (souvent une adresse email), génère une empreinte mathématique puis l’envoie vers les serveurs tiers. Les chercheurs ont trouvé que 1110 sites faisant partie du top 1 million de sites web du classement Alexa utilisent deux scripts qui ont recours à cette méthode. Il faut noter que cette vulnérabilité ne concerne que les gestionnaires de mots de passe intégrés des navigateurs et non pas les tiers. En effet, ces derniers requièrent presque toujours une action de l'utilisateur pour remplir les formulaires.

Pourquoi collecter une empreinte mathématique des adresses email ?

Les adresses email sont uniques et persistantes, c’est pourquoi une empreinte mathématique (hash : une empreinte qui sert à identifier rapidement) constitue un moyen performant pour traquer un utilisateur et établir un profil comportemental. Un internaute change rarement d’adresse email, le fait de supprimer les cookies, utiliser la navigation privée ou encore changer d'appareils ne va pas empêcher le tracking. L’empreinte mathématique (hachage MD5, SHA1, SHA256) d’une adresse email peut être utilisée pour connecter plusieurs informations tirées de plusieurs navigateurs, appareils et applications mobiles pour constituer au final un profil de l’utilisateur basé sur les habitudes de navigation.

Vous l’aurez compris donc, récupérer l'empreinte de l’identifiant va permettre un suivi précis des utilisateurs sur chaque site incorporant le même script. Et le comble est que cette méthode de hashage des emails ne garantit pas l’anonymat des utilisateurs. Il est tout à fait possible de hasher une adresse email de l’utilisateur et d’effectuer une recherche pour trouver les données, comme l’expliquent les chercheurs.

L’étude s’est focalisée sur deux scripts en particulier Adthink et OnAudience. Ces deux scripts sont intégrés directement par les administrateurs des sites et ne sont donc pas considérés comme tiers par les navigateurs. Selon le principe de séparation des origines (Same Origin Policy), le navigateur doit faire confiance à un script inséré directement dans le site web, or les scripts de tracking intégrés ici sont tiers et compromettent la confidentialité et potentiellement la sécurité des utilisateurs.

Mais comment en est-on arrivé là ? Comment une vulnérabilité fait-elle toujours l’actualité après onze ans de discussions ? La réponse est simple, d’un point de vue des navigateurs, il n’y a pas de faille de sécurité, seulement une mauvaise pratique. Pour mieux expliquer, il faut comprendre que le principe de séparation des origines stipule que tout script ou contenu qui a pour source différentes origines est traité comme non sûr, à partir de là, le navigateur les isole pour éviter toute interférence. Cependant, si le concepteur du site web intègre directement un script tiers au lieu de l’isoler dans une iframe, le script est considéré comme un élément intégral du site web visité puisque le code est directement présent dans les pages. « Au final, le concepteur (et les utilisateurs) n’ont plus droit aux protections et rien n’empêche le script d’extraire des informations sensibles. » Malheureusement, cette pratique n’a rien de nouveau et elle est très utilisée par les concepteurs de sites web. Toutefois, son exploitation pour extraire des identifiants est assez récente.

Cette pratique constitue également un dilemme pour les navigateurs, doivent-ils chercher des solutions et incorporer de nouveaux mécanismes de protection, ou bien il faudra blâmer les concepteurs de sites web qui intègrent des scripts tiers ? On trouve de bons arguments pour les deux points de vue. Actuellement, les éditeurs de navigateur continuent de choisir la deuxième option, considérant ce problème comme la faute des concepteurs de sites web. En intégrant directement un script tiers, le navigateur le considère automatiquement comme étant sûr.

Sur les 1110 sites épinglés figurent 187 sites français, les chercheurs ont publié la liste de tous les sites concernés. Pour se protéger, les utilisateurs peuvent recourir à des bloqueurs de scripts tiers. Firefox permet aussi de désactiver le remplissage automatique, ce qui n’est pas le cas des autres navigateurs. Pour les webmasters, une solution simple consiste à insérer les formulaires d’authentification dans des sous-domaines séparés, ce qui empêche le remplissage automatique dans les autres pages.

Source : Freedom to tinker

Et vous ?

Pensez-vous que les navigateurs doivent bloquer ces scripts ?
Ou bien c'est de la faute des webmasters ?

Voir aussi :

Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs, Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
Quelles sont les cybermenaces qu'il faut le plus surveiller en 2018 ? Le MIT Technology Review nous donne ses prédictions

[Invité]

Incroyable faille en effet...
Solution : ne plus utiliser les gestionnaires de mots de passe des navigateurs. Transférer les données vers un logiciel externe.
Cela signifie que n'importe quel site web piraté peut utiliser cette technique.
Les navigateurs pourraient aussi donner la possibilité de "révéler" les formulaires cachés...
C'est très grave.

[headmax]

Autre solution plus radicale, ça inclus d'avoir un minimum d'éthique et ne pas installer se type de script sur vos sites "publisher" (principales sources de revenue des sites a fort trafic) les sociétés de monétisation digitales en sont les principaux responsables. Le Système se présente sous cette forme : Publisher (propriétaire de site a fort traffic), Advertiser ( Grand Marques en quête d'estomac ), et les SMD créer les scripts Js en vue d'aspirer un maximum d'information. N'oublions pas qu'a ce jeux google et facebook et les twitter et réseau sociaux en tout genre sont les principaux tracker de la planète.

[liberal1]

Autre solution plus radicale, ça inclus d'avoir un minimum d'éthique et ne pas installer se type de script sur vos sites "publisher" (...)

Voilà, les scripts ne se sont pas déposés tous seuls dans la page. Quelqu'un a décidé de les mettre.

[liberal1]

Les régies publicitaires exploitent les gestionnaires de mots de passe des navigateurs pour traquer les internautes

Vrai titre : des webmestre ont donné le contrôle de leur site à des tiers.

Titre alternatif : des régies auraient trahi la confiance aveugle et stupide des webmestres.

La vulnérabilité qui a rendu possible cette pratique était connue depuis des années.

Il n'y a pas de vulnérabilité, sauf si on compte la mentalité des webmestres.

Heureusement, les chercheurs qui ont analysé 50 000 sites web n’ont pas trouvé un indice de vol de mots de passe,

Dès lors qu'on offre son domaine Web à une régie en donnant le contrôle à des scripts écrits pas on ne sait qui et faisant on ne sait quoi, le "vol" des mdp est possible.

Le script marketing n’est pas présent sur la page d’identification.

Le Web n'a pas la "page" dans son modèle de sécurité, il a l'origine : domaine + port. La page n'est pas protégée, le domaine l'est.

Vouloir avoir des pages soi-disant sûres et d'autres non sûres dans un même domaine est une absurdité.

encore changer d'appareils ne va pas empêcher le tracking.

Seulement si il utilise les mêmes login enregistrés sur cet autre appareil.

[headmax]

J'ai pourtant expliqué un processus parmi tant d'autres, tu as un site bidon ou pas mais l'intérêt premier c'est le flux combien de visite par jours, les SMD ( société de monétisation digitale ) beaucoup de société a recours a leur script JS (script tiers qu'on remarque par le fait qu'il n'appartient pas au même domaine) c'est script peux récupérer les données de tes cookies en gros se fou du "publisher" qui lui fait confiance a ces SMD mais c'est un abus car le "publisher" n'a pas forcément conscience de ces pratiques sa seul motivation faire du blé car la pub le paye en retour si une personne clic sur un lien publicitaire et peu gagner plus si ce clique se solde par un achat.

[liberal1]

Quel est l'intérêt d'exfiltrer les "cookies", dans ce cas?

Quel cookie est d'intérêt pour la "SMD"?

[headmax]

Il ne s'agit pas seulement de cookies, les "sessionStorage" https://developer.mozilla.org/fr/doc...sessionStorage, les "localstorage" https://developer.mozilla.org/fr/doc...w/localStorage, les extensions installés sur le navigateur, les footprints https://gist.github.com/coreyti/1353...5ae46c2d40c665 (sont des js dont le but et de reconnaitre, l'utilisateur (à 100%) génération d'un id unique comprenant une signature basé sur les informations du navigateur) avec les failles type canvas et tailles des navigateurs, Web RTC , ...
Pour faire brefs, il y en a tellement d'autres ...

[liberal1]

Incroyable faille en effet...

Incroyable qu'un site puisse transférer des données à des tiers?!!!

Cela signifie que n'importe quel site web piraté peut utiliser cette technique.

Par principe si un site est piraté, ton mdp sur ce site peut être piraté.

Quel est le souci?

Solution : ne plus utiliser les gestionnaires de mots de passe des navigateurs. Transférer les données vers un logiciel externe.

Et en quoi cela va aider si un site est piraté?

Les navigateurs pourraient aussi donner la possibilité de "révéler" les formulaires cachés...

Déjà, qu'est-ce qu'un formulaire "caché"?

C'est très grave.

Que les webmestres traitent les sites comme de véritables dépotoirs de pub et de sites de tracking?

Oui!

[liberal1]

Il ne s'agit pas seulement de cookies, les "sessionStorage" https://developer.mozilla.org/fr/doc...sessionStorage, les "localstorage" https://developer.mozilla.org/fr/doc...w/localStorage,

Quel est le souci?

Quel navigateur ne permet pas facilement de les vider?

les extensions installés sur le navigateur,

Une extension de navigateur a la confiance de l'utilisateur en principe. Sinon pourquoi l'installer?

les footprints https://gist.github.com/coreyti/1353...5ae46c2d40c665 (sont des js dont le but et de reconnaitre, l'utilisateur (à 100%) génération d'un id unique comprenant une signature basé sur les informations du navigateur) avec les failles type canvas et tailles des navigateurs, Web RTC ...

C'est plus vicieux.

Mais cela n'identifie PAS un utilisateur.

[headmax]

liberal??? tu fait dans la novlangue? car moi je suis plutôt dans l'action, que dans la rhétorique.

[liberal1]

Pardon?