IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des chercheurs trouvent le moyen de contourner les mécanismes de protection contre le pistage


Sujet :

Sécurité

  1. 20/08/2018, 11h47 #1
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 463
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 463
    Points : 197 900
    Points
    197 900
    Par défaut Des chercheurs trouvent le moyen de contourner les mécanismes de protection contre le pistage
    Des chercheurs trouvent le moyen de contourner les mécanismes de protection contre le pistage,
    offert par sept navigateurs et 46 extensions

    Les cookies sont devenus un aspect important du Web moderne. Par défaut, les navigateurs associent automatiquement les cookies à toutes les requêtes HTTP. Cela permet aux utilisateurs de garder une trace des éléments qu'ils ont ajoutés à leur panier en ligne ou simplement de se connecter à leurs sites Web favoris. Cependant, les cookies peuvent également être exploités pour des objectifs plus néfastes : les activités en ligne des utilisateurs sont suivies à grande échelle par diverses sociétés de publicité, ou des attaques dites inter-sites peuvent être utilisées pour reprendre le compte d'un utilisateur non averti. En réponse à cette menace croissante, divers mécanismes de défense ont été développés: soit comme extensions de navigateur anti-pistage ou bloqueur de publicités, soit comme fonctionnalités de navigateur intégrées telles que la protection de suivi dans Firefox ou les cookies SameSite, qui peut être très efficace pour contrecarrer les attaques inter-sites.

    Une condition préalable essentielle au bon fonctionnement de ces fonctionnalités d'amélioration de la confidentialité et de la sécurité est que toutes les demandes doivent être conformes aux règles de cookies imposées. Comme les navigateurs sont devenus extrêmement complexes, certains problèmes peuvent avoir été négligés ou l'interaction de certaines fonctionnalités peut avoir des effets secondaires indésirables.

    C’est cette situation qui a fait l’objet d’une recherche d’une équipe de trois universitaires de l'Université catholique de Louvain, en Belgique (KU Leuven), notamment Gertjan Franken, Tom Van Goethem et Wouter Joosen. En clair, il était question pour eux d’analyser les fonctionnalités anti-pistage proposées par les navigateurs mais également par les extensions de navigateurs.

    Les chercheurs expliquent que « Dans notre recherche, nous avons créé un cadre pour vérifier si toutes les politiques de cookies et de demandes imposées sont correctement appliquées. De manière inquiétante, nous avons constaté que la plupart des mécanismes pouvaient être contournés: par exemple, pour toutes les extensions de navigateur bloquant les publicités ou empêchant le pistage, nous avons découvert au moins une technique susceptible de contourner les règles ».

    Les résultats de leurs recherches et les détails techniques y afférant ont été présenté durant la conférence USENIX Security.

    Les chercheurs expliquent avoir travaillé avec des fournisseurs de navigateurs et des développeurs d’extensions pour atténuer les problèmes découverts.

    Les chercheurs ont analysé sept navigateurs et 46 extensions

    Les chercheurs ont examiné comment les navigateurs empêchent les services tiers, tels que les sociétés de publicité, de suivre les utilisateurs via des requêtes intersites et des cookies persistants. Plusieurs navigateurs ont embarqué une prise en charge native de ces fonctionnalités au cours des deux dernières années, notamment la nouvelle fonctionnalité de protection du suivi de Firefox ou le bloqueur de publicité intégré à Opera.

    Nom : unix.png Affichages : 15425 Taille : 568,7 Ko
    L'équipe de chercheurs à la conférence USENIX Security (au milieu)

    En outre, le trio de la recherche a également examiné deux types d’extensions de navigateur, à savoir les bloqueurs de publicités et les modules complémentaires de protection contre le pistage.

    L'équipe de KU Leuven a développé un framework personnalisé qui leur a permis de tester ces fonctionnalités anti-tracking basées sur des cookies dans sept navigateurs, 31 extensions de blocage des publicités et 15 extensions anti-tracking.

    Le mécanisme de chaque navigateur ou extension susceptible d’être contourné au moins par une méthode

    L'équipe de recherche indique que pour chaque navigateur ou extension testé, ils ont trouvé au moins une technique capable de contourner leurs défenses.

    Pour leurs recherches, l'équipe de KU Leuven a testé si les navigateurs ou les extensions bloquaient les requêtes intersites pour les fichiers de cookies utilisateur lancés via:
    • l'API AppCache
    • l'utilisation de balises HTML moins connues
    • l'en-tête de réponse "Location"
    • divers types de redirections de balises <meta>
    • code JavaScript intégré aux fichiers PDF
    • la propriété JavaScript "location.href"
    • ou par le biais des Services Workers

    Des techniques nouvelles qui ne sont pas encore répandues

    En outre, les universitaires ont également analysé les 10 000 sites les plus populaires d'Alexa, visitant 160 059 pages Web, à la recherche d'éléments prouvant que les annonceurs ou d'autres services de suivi des utilisateurs se servaient de l'une des techniques qu'ils avaient découvertes.

    Les résultats de cette analyse ont montré qu'aucun site Web n'utilisait actuellement ces techniques pour contourner les protections de suivi du navigateur ou du bloqueur de publicité.

    Cela signifie que les techniques présentées dans leur livre blanc sont nouvelles et pourraient s'avérer être une mine d'or pour certains services de suivi des utilisateurs, qui pourraient les utiliser pour contourner les fonctionnalités anti-pistage de certains navigateurs et des bloqueurs de publicités populaires.

    Une collaboration avec les éditeurs de navigateurs et les développeurs d’extensions

    Pour aider les utilisateurs à rester en sécurité, les chercheurs ont non seulement signalé des bogues aux fournisseurs de navigateurs, mais ont également proposé des solutions pour corriger les API et les outils du navigateur afin de contrer les contournements récemment découverts.

    Ces rapports de bogues sont documentés sur le site Web wholeftopenthecookiejar.eu, un portail qui comprend également les données relatives aux navigateurs ou aux extensions pour vous permettre de reproduire les résultats de leurs tests. Le framework utilisé pour ces tests est également disponible sur GitHub.

    Les universitaires de la KU Leuven ont également averti que la nouvelle fonctionnalité de sécurité des "cookies de même site" récemment ajoutée à Firefox, et susceptible de s’étendre à d’autres navigateurs, n’empêchera pas les contournements découverts.

    Source : résultats de la recherche (au format PDF), différentes données issues de la recherche

    Voir aussi :

    73 % des brèches de sécurité dans les réseaux d'entreprises sont dues aux applications web selon Kaspersky Lab
    Gartner : les dépenses en sécurité vont dépasser 124 milliards de $ en 2019 à cause des risques de sécurité et les changements en industrie
    Des chercheurs annoncent une nouvelle faille de sécurité dans les processeurs Intel, encore une nouvelle génération de vulnérabilités Spectre ?
    Tesla prévoit de partager le code source de son logiciel de sécurité automobile, contribuant ainsi à un avenir sûr de l'auto-conduite
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   17  0
  2. 20/08/2018, 21h04 #2
    AndMax
    AndMax est déconnecté
    Membre éprouvé Avatar de AndMax
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2017
    Messages
    230
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2017
    Messages : 230
    Points : 1 004
    Points
    1 004
    Par défaut
    Beau travail !
    Ubuntu GNU/Linux --- OpenStreetMap --- DADVSI / HADOPI / ACTA / IPRED / COICA : la dictature des majors !
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQs WebTutoriels WebSources WebLivres WebOutils Web
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Des chercheurs trouvent un moyen de fabriquer des batteries zinc-air facilement rechargeables
    Par Christian Olivier dans le forum Hardware
    Réponses: 3
    Dernier message: 18/08/2017, 21h27
  2. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 09h32
  3. Des chercheurs trouvent un moyen de déchiffrer les photos et vidéos envoyées sur iMessage
    Par Stéphane le calme dans le forum Développement iOS
    Réponses: 8
    Dernier message: 31/03/2016, 13h50
  4. Des chercheurs de Google revoient en profondeur les fondements de SSL
    Par Idelways dans le forum Sécurité
    Réponses: 2
    Dernier message: 01/12/2011, 11h22
  5. Des chercheurs de Google revoient en profondeur les fondements de SSL
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 30/11/2011, 19h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo