IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Internet Discussion :

Une vulnérabilité permet le suivi d’utilisateurs sur les navigateurs Chrome, Firefox, Safari et Tor


Sujet :

Internet

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 824
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 824
    Points : 36 050
    Points
    36 050
    Par défaut Une vulnérabilité permet le suivi d’utilisateurs sur les navigateurs Chrome, Firefox, Safari et Tor
    Une vulnérabilité permet le suivi d’utilisateurs sur les navigateurs Chrome, Firefox, Safari et Tor,
    les utilisateurs sur VPN ou en mode incognito ne sont pas épargnés, selon FingerprintJS

    Dans le cadre de ses recherches sur les techniques antifraude, FingerprintJS a découvert une vulnérabilité qui permet aux sites web d'identifier les utilisateurs de manière fiable sur différents navigateurs de bureau. Les versions de bureau de Tor Browser, Safari, Chrome et Firefox sont toutes concernées. La vulnérabilité utilise des informations sur les applications installées sur l’ordinateur afin d’attribuer un identifiant unique permanent, même si l’utilisateur change de navigateur, utilise le mode incognito ou un VPN. Étant donné que cette vulnérabilité permet le suivi de tiers à travers différents navigateurs, elle constitue donc une violation de la vie privée.

    FingerprintJS est une bibliothèque d'empreintes numériques pour navigateur, elle interroge les attributs du navigateur et calcule un identifiant de visiteur haché à partir de ceux-ci. Contrairement aux cookies et au stockage local, une empreinte numérique reste la même en mode incognito et même lorsque les données du navigateur sont purgées.

    Le navigateur Tor est connu pour offrir le nec plus ultra en matière de protection de la vie privée sur Internet, mais en raison de la lenteur de sa connexion et de ses problèmes de performance sur certains sites web, les utilisateurs choisissent le plus souvent des navigateurs moins anonymes pour leur navigation quotidienne. Ils peuvent utiliser Safari, Firefox, Chrome ou Edge pour certains sites, et Tor pour les sites où ils veulent rester anonymes. Un site web exploitant la vulnérabilité d'inondation de schéma pourrait créer un identifiant stable et unique qui peut relier ces identités de navigation ensemble. Il est ensuite possible de lier les visites d’un utilisateur sur l’ensemble de ses navigateurs, de vous identifier de manière unique et de vous suivre sur le web.

    Nom : vpB.png
Affichages : 49679
Taille : 42,0 Ko

    Selon FingerprintJS, cette vulnérabilité existe depuis plus de 5 ans et son impact réel est inconnu. La vulnérabilité d'inondation de schéma permet à un cybercriminel de déterminer les applications installées sur l’ordinateur de la cible. Afin de générer un identifiant de périphérique multinavigateur. En moyenne, le processus d'identification prend quelques secondes et fonctionne sur les systèmes d'exploitation Windows, Mac et Linux.

    Pour vérifier si une application est installée, les navigateurs peuvent utiliser des gestionnaires de schéma d'URL personnalisés intégrés. Il est possible de vérifier cette fonctionnalité en action en entrant skype:// dans la barre d'adresse du navigateur. Si Skype est installé, le navigateur ouvrira une boîte de dialogue de confirmation qui demandera si l’utilisateur souhaite le lancer. Cette fonctionnalité est également connue sous le nom de lien profond et est largement utilisée sur les appareils mobiles, mais elle est également disponible dans les navigateurs de bureau.

    En fonction des apps installées sur un appareil, il peut être possible pour un site web d'identifier des individus à des fins plus malveillantes. Par exemple, un site peut être en mesure de détecter un fonctionnaire ou un militaire sur Internet en se basant sur les applications installées et en associant l'historique de navigation qui est censé être anonyme. Passons en revue les différences entre les navigateurs.

    Chrome

    Parmi les quatre principaux navigateurs concernés, seuls les développeurs de Chrome semblent être au courant de la vulnérabilité d'inondation de schéma. Le problème a été discuté sur le bug-tracker de Chromium et devrait être corrigé prochainement.

    En outre, seul le navigateur Chrome dispose d'une forme de protection contre l'inondation de schéma. Elle empêche le lancement de toute application à moins qu'elle ne soit demandée via une action de l'utilisateur, comme un clic de souris. Il existe un indicateur global qui permet (ou refuse) aux sites Web d'ouvrir des applications, qui est mis à faux après la manipulation d'un schéma d'URL personnalisé.

    Toutefois, il est possible d’utiliser des extensions Chrome pour réinitialiser cet indicateur et contourner la protection contre les inondations du système. Par spécification, les extensions doivent être en mesure d'ouvrir des URL personnalisées, telles que les liens mailto : sans boîte de dialogue de confirmation. La protection contre l'inondation du système entre en conflit avec les stratégies des extensions. Il existe donc une faille qui réinitialise cet indicateur chaque fois qu'une extension est déclenchée.

    La visionneuse PDF intégrée de Chrome est une extension. Ainsi, chaque fois que votre navigateur ouvre un fichier PDF, il réinitialise l'indicateur de protection contre les inondations. L'ouverture d'un fichier PDF avant l'ouverture d'une URL personnalisée rend l'exploit fonctionnel.

    Firefox

    Chaque fois que vous naviguez vers un schéma d'URL inconnu, Firefox vous montre une page interne avec une erreur. Cette page interne a une origine différente de celle de tout autre site Web, il est donc impossible d'y accéder en raison de la limitation de la politique de l'origine identique. En revanche, un schéma d'URL personnalisé connu sera ouvert sous la forme about:blank.

    Des quatre navigateurs, la vulnérabilité d'inondation de schéma prend le plus de temps pour s'exécuter avec succès dans Tor. La vérification de chaque application peut prendre jusqu'à 10 secondes en raison des règles du navigateur Tor. Néanmoins, l'exploit peut fonctionner en arrière-plan et suivre sa cible pendant une session de navigation plus longue. Si l’utilisateur laisse une fenêtre de Tor Browser sur une page web pendant 4 minutes seulement, cela pourrait suffire à exposer son identité.

    Il est possible de supprimer la limite de 10 secondes en exécutant chaque test d'application à l'intérieur d'un geste déclenché par l'utilisateur. Un faux captcha est un candidat idéal : 24 caractères saisis par un utilisateur permettent de réinitialiser cette limite de 10 secondes 24 fois de suite et d'énumérer 24 applications installées instantanément.

    Les étapes exactes pour exploiter la vulnérabilité par inondation de schéma peuvent varier selon le navigateur, mais le résultat final est le même. Obtenir un ensemble unique de bits associés à l'identité d'un visiteur est non seulement possible, mais peut être utilisé en pratique sur des sites web malveillants. Même le navigateur Tor peut être exploité efficacement en incitant un utilisateur à taper un caractère par application à tester.

    Source : FingerprintJS

    Et vous ?

    Avez-vous une expérience avec le VPN ou le mode incognito ?

    Que pensez-vous de ces techniques de dissimulation ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    La version stable de Google Chrome 90 est publiée avec HTTPS comme protocole par défaut, elle améliorerait la sécurité ainsi que la vitesse de chargement des sites Web, selon Google

    Firefox, Microsoft Edge, Safari n'ont pas l'intention d'utiliser FLoC. Google Chrome fait cavalier seul avec sa technologie publicitaire proposée pour remplacer les cookies tiers

    Google Chrome et Microsoft Edge prendront en charge la fonction de sécurité CET d'Intel, pour maintenir la sécurité et prévenir des vulnérabilités

    Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut, pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre chevronné Avatar de FatAgnus
    Homme Profil pro
    Troufion de base
    Inscrit en
    Août 2015
    Messages
    360
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Troufion de base

    Informations forums :
    Inscription : Août 2015
    Messages : 360
    Points : 2 100
    Points
    2 100
    Par défaut La démo fonctionne très mal sur Ubuntu 21.04
    J'ai testé la démo sous Ubuntu 21.04 avec Firefox, Brave (basé sur Chromium) et Epiphany (alias GNOME Web basé sur WebKit). L'identifiant est différent sur les trois navigateurs web.

    Sur les 24 applications testées, j'utilise Battle.net (installée avec Lutris et Wine) qui n'est pas détectée sur aucun des trois navigateurs.

    Pour vérifier j'ai installé le paquet Snap de Telegram (logiciel que je n'utilise pas en tant normal). La démo trouve bien Telegram sous Firefox, mais pas sous Brave ni Epiphany. Je ne suis pas convaincu par cette faille d’empreinte numérique.

  3. #3
    Membre expérimenté
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    604
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 604
    Points : 1 441
    Points
    1 441
    Par défaut
    J'ai fait un test avec TOR Browser : ça marche pas, j'ai désactivé Javascript dès son installation...
    Avec Firefox, j'ai vu une petite fenêtre en bas à droite qui clignotait à cause d'une activité intense : j'ai fermé la fenêtre, j'aime pas les courants d'air en ce moment...
    Pareil avec Vivaldi...
    Pour Safari, le test est plus rapide, et on a toujours cette petite fenêtre en bas à droite, mais le lancement de iTunes n'est pas des plus discret...
    Un bon anti-virus devrait pourvoir régler cette saloperie de Javascript. Javascript est bien une vraie saloperie. Jamais je changerai d'avis.

  4. #4
    Membre confirmé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Septembre 2013
    Messages
    133
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : Service public

    Informations forums :
    Inscription : Septembre 2013
    Messages : 133
    Points : 458
    Points
    458
    Par défaut
    Citation Envoyé par TotoParis Voir le message
    J'ai fait un test avec TOR Browser : ça marche pas, j'ai désactivé Javascript dès son installation...
    Comment fais-tu pour naviguer sur internet sans javascript, qui est de plus en plus utilisé (et indispensable) pour de nombreux site web?

  5. #5
    Membre averti Avatar de BakaOnigiri
    Inscrit en
    Avril 2002
    Messages
    366
    Détails du profil
    Informations forums :
    Inscription : Avril 2002
    Messages : 366
    Points : 437
    Points
    437
    Par défaut
    J'ai moi aussi fait le test sur Linux, Manjaro / Arch. Firefox trouve 2 applications et me dit que mon identifiant est 99.94% unique. Après un second test dans la foulée, sur Chromium (test qui est nettement plus lent), il ne détecte aucunes applications, me donne un autre identifiant et me qui que ce nouvel identifiant est 93.09% unique.

    Bref, pas super convaincu.

  6. #6
    Membre averti
    Homme Profil pro
    jardinier
    Inscrit en
    Avril 2018
    Messages
    198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : jardinier

    Informations forums :
    Inscription : Avril 2018
    Messages : 198
    Points : 407
    Points
    407
    Par défaut test
    j'ais essayé avec Opera sous w10 et j'obtiens: "Please keep the browser window focused."
    Les résultats divergent avec chrome, edge et firefox mais ([chrome]U[edge])U[firefox] détermine bien un identifiant unique, cad l'intersection de l'usage des trois navigateurs et des applications installés (bien que firefox subodore un peu) sur l'installation de whatsApp mais Battle.net, Epic Games, vscode, skype aussi bien que désactivé, sont reconnus dans les trois navigateurs.
    Pour ma part sous w10 le test est convaincant.

  7. #7
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    Mars 2013
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mars 2013
    Messages : 13
    Points : 26
    Points
    26
    Par défaut
    Testé sur une distribution de type Debian (kernel 5.13) et Firefox (avec modules complémentaires type Chameleon, link cleaner, google link cleaner, ghostery,..).

    L'identifiant est 100% unique sur les deux tests lancés (les deux sont différents), après rafraîchissement de la page. Je n'ai (jamais) installé aucune de ces applications, l'installation de la distribution date de moins de deux semaines. Le VPN (lancé occasionnellement, configuré manuellement dans NetworkManager) n'est pas le même.

    Pas convaincu.

Discussions similaires

  1. Réponses: 18
    Dernier message: 18/08/2011, 15h06
  2. Réponses: 5
    Dernier message: 29/03/2011, 16h05
  3. Réponses: 5
    Dernier message: 29/03/2011, 11h33
  4. Une question aux Grands du Sql, sur les jointures externes
    Par tonton67 dans le forum Développement
    Réponses: 3
    Dernier message: 26/01/2009, 10h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo