Discussion :

[Stan Adkens]

Votre historique de navigation est-il maintenant à l’abri des vieilles attaques « Sniffing » ?
Selon une étude, il serait toujours exposé

Si vous allez sur Internet, que se soit à partir d’un ordinateur ou d’un smartphone, il y a de grandes probabilités que vous disposiez d’un navigateur Internet qui retient vos informations telles que l’historique des pages Web consultées, cookies, images stockées en cache, mots de passe enregistrés. Ces données revêtent une importance de plus en plus capitale au cours de ces dernières années. C’est pour cela qu’elles font l’objet d’intérêt de plusieurs acteurs du Web : des régulateurs du domaine aux annonceurs en passant par les pirates, chacun voulant en tirer meilleure partie.

Les annonceurs en ont besoin pour le ciblage marketing, tandis que les autorités en veulent le contrôle pour la surveillance des activités des internautes et les pirates informatiques les recherches à des fins très souvent non recommandées. Certaines des techniques utilisées par ces derniers pour accéder à cet historique de navigation sont les attaques « Sniffing ». Cette méthode n’est pas récente, elle a été découverte en 2002. En 2010, elle a diminué en ampleur, sans totalement disparaître, à la faveur d’une contre-offensive de la part des développeurs de navigateurs Web tels que Mozilla, selon Motherboad.

Selon une nouvelle étude menée par les chercheurs de l’Université de Californie à San Diego, la plupart des navigateurs modernes, tels que Chrome, Firefox et Edge, et même les versions des navigateurs axées sur la sécurité tels que FuzzyFox et DeterFox, comporteraient des vulnérabilités qui permettent aux développeurs de sites Web malveillants d'avoir accès et d’extraire des centaines, voire des milliers, d'URL dans l’historique de navigation d’un utilisateur.

A l’origine de ces vulnérabilités exploitées par les attaques « Sniffing », il y a la façon dont les développeurs permettent l’enregistrent de l’historique de navigation et les liens structurels. Sauf Tor Browser est le seul navigateur qui était à l'abri des attaques, car il ne garde pas l'historique de navigation des utilisateurs, a rapporté Motherboad.

Etant donné que les liens structurels sont en cause, les chercheurs pensent que, pour protéger la confidentialité des utilisateurs, des modifications structurelles majeures devront être apportées à ces navigateurs. Selon Michael Smith, chercheur en chef, au cours d’un entretien téléphonique avec Motherboard, les réparations pourront prendre entre plusieurs mois et un an, car ils seraient en train de rechercher des meilleures solutions qui n’impliqueront pas l’intervention de l’utilisateur, afin de les recommander aux fournisseurs de navigateurs Web.

« Nous travaillons actuellement sur la collecte de plus de données sur les implications de l’implémentation du correctif. Par exemple, combien de sites Web utilisent réellement la fonctionnalité de liens visités ? Quelle serait l’ampleur de l’effet ? », A déclaré Smith. « Pouvons-nous mettre nous-mêmes le correctif au point et ensuite faire une étude utilisateur pour voir si les gens sont ennuyés, si les gens remarquent même le changement. »

Les fournisseurs de navigateurs Web ont réagit par mail à l’annonce de la découverte. Wennie Leung, responsable technique de la sécurité pour Firefox, a déclaré que Firefox « accordera la priorité à la révision de ces bogues en fonction de l'évaluation de la menace ». Ivy Choi, porte-parole de Google, a confié à Motherboard qu'ils sont conscients du problème et « évaluent les solutions possibles ».

Les vulnérabilités et leurs possibles exploitations

Les vulnérabilités sont liées aux différentes règles et styles que les développeurs Web appliquent aux liens telles que les liens non cliqués apparaissant en bleu et les liens visités en violet. Cependant, le temps de chargement rapide des liens déjà visités peut être exploité par des sites Web malveillants en « reniflant » ou (en recherchant et en exploitant des proxy qui révèlent l’historique Web de l’utilisateur), a rapporté Motherboard.

Selon le rapport, l’attaque par reniflement peut se faire de plusieurs manières : Le site malveillant peut forcer le navigateur à recharger plusieurs images complexes ou transformations d'image différentes selon qu’un lien ait été visité ou non, ce qui créerait une différence considérable entre les temps de chargement. Avec cette stratégie, les attaquants peuvent tester 60 URL sensibles par seconde.

Selon les chercheurs, dans Google Chrome, l'attaquant pourrait également exploiter le cache de bytecode, qui accélère le temps de chargement pour la consultation d'un lien déjà visité. Par cette méthode, les attaquants peuvent interroger 3 000 URL par seconde. Google à qualifié cette vulnérabilité de « sensible à la sécurité » mais de « priorité faible », lorsque les chercheurs la lui ont signalée.

Une autre faille a été détectée par les chercheurs l’Université de Californie à San Diego dans Paint API – une récente fonctionnalité de Google qui facilite la transformation des éléments visuels. Google a résolu le problème après son signalement par les chercheurs, a rapporté Motherboard.

Proposition de solution aux vulnérabilités

Comme signalé plus haut, cette attaque n’est pas nouvelle, elle existe depuis 2002 et sévissait moins à partir de 2010.

Pour résoudre le problème, un changement fondamental devrait être introduit dans le fonctionnement de la manière dont l'historique des utilisateurs est partagé entre les pages Web, ce qui devrait modifier le fonctionnement actuel du Web, a confié à Motherboard Deian Stefan, chercheur en sécurité à l'UC San Diego.

« Dans ce nouveau monde – en parlant du nouveau fonctionnement du Web requis – les liens visités ne fonctionneront plus comme ils le font aujourd'hui », a déclaré Stefan. « En gros, si vous cliquez sur un lien sur Google.com, Google saura que vous avez cliqué sur ce lien. Mais ensuite, lorsque vous accédez à un site Web différent, tel que Facebook, et que vous rencontrez le même lien, vous aurez l’impression que vous n’avez jamais cliqué sur ce lien auparavant. C’est fondamentalement différent de ce qui est aujourd’hui. »

La reconnaissance des liens visités a quelques avantages tels que la rapidité de chargement du lien, mais Smith pense que ces avantages ne devraient pas l’emporter sur les aspects de la sécurité. « Nous continuons d’ajouter des éléments aux navigateurs Web sans adopter une approche plus formalisée de la manière dont chaque nouvelle chose interfère avec les autres », a déclaré Smith. « Nous allons simplement continuer à introduire de plus en plus de trous, c'est pourquoi nous aimerions voir plus de défenses au niveau structurel, par opposition à plus de correctifs ad-hoc qui seront cassés plus tard par un autre nouvel ajout. »

Source : Motherboard, Rapport

Et vous ?

Selon vous, pourquoi de telles vulnérabilités qui existe depuis 2002 n’est pas encore définitivement résolue ?
Pensez-vous que cette proposition de solution pourra-t-elle mettre fin à cette attaque ?

Voir aussi

Une faille de sécurité de dispositifs IdO rend un demi-milliard d'appareils en entreprise vulnérables, les imprimantes sont aussi un vecteur d'attaque
Le FBI voudrait pouvoir accéder à l'historique de navigation internet sans mandat, dans le cadre de ses enquêtes
Le Royaume-Uni vote « la loi de surveillance la plus extrême jamais passée dans un pays démocratique », d'après Jim Killock, directeur de Open Rights
USA : les fournisseurs d'accès internet libres de vendre aux annonceurs l'historique de navigation des internautes, sans leur consentement
Deux chercheurs montrent qu'il est facile d'identifier les habitudes secrètes de chaque utilisateur sur le web, et exposent celles d'un juge

[Steinvikel]

(...) il y a de grandes probabilités que vous disposiez d’un navigateur Internet qui retient vos informations telles que l’historique des pages Web consultées, cookies, images stockées en cache, mots de passe enregistrés. (...) Certaines des techniques utilisées par ces derniers (les pirates) pour accéder à cet historique de navigation sont les attaques « Sniffing ». (...) la plupart des navigateurs modernes, tels que Chrome, Firefox et Edge, et même les versions des navigateurs axées sur la sécurité tels que FuzzyFox et DeterFox, comporteraient des vulnérabilités qui permettent aux développeurs de sites Web malveillants d'avoir accès et d’extraire des centaines, voire des milliers, d'URL dans l’historique de navigation d’un utilisateur. (...) peut être exploité par des sites Web malveillants en « reniflant » ou (en recherchant et en exploitant des proxy qui révèlent l’historique Web de l’utilisateur) (...) un changement fondamental devrait être introduit dans le fonctionnement de la manière dont l'historique des utilisateurs est partagé entre les pages Web

J'y vois là tout ce qu'il faut en retenir --> problème d'accès aux données, tout comme l'était les mots de passes des gestionnaires qui les stockaient en clair...
Par quels processus ces données sont accédé, est un point qui m'intéresse au plus au point. Si l'attaque demande simplement à mon navigateur de visionner mon historique, et que ce dernier lui répond "tiens, voilà l'historique de Mr" alors c'est un problème de développement assez inquiétant... si ça prends appuis à travers des comportements non définit par les langages de programmation pour abuser le système, c'est déjà plus acceptable.

De plus, est-ce qu'un paramètre navigateur indiquant "je ne sais pas communiquer mon historique" résoudrait-il une partie de ces fuites ?

C’est fondamentalement différent de ce qui est aujourd’hui.

Pas d'accord, c'est simplement une information visuelle en moins (qu'une extension peut corriger) : celle d'un hyperlien déjà exploré ...de la même manière qu'indiquer l'aspect sécuritaire d'un site par un https plutôt que de colorier la barre d'adresse n'a rien de "fondamentalement différent". Il n'est question que de visibilité de l'information.

La reconnaissance des liens visités a quelques avantages tels que la rapidité de chargement du lien

A moins d'avoir une très mauvaise connexion... cet argument nous laissera de marbre.


Selon vous, pourquoi de telles vulnérabilités qui existe depuis 2002 n’est pas encore définitivement résolue ?
Le manque d'intérêt des concernés (directs et indirects) ?

Pensez-vous que cette proposition de solution pourra-t-elle mettre fin à cette attaque ?
Ca dépend de comment cette attaque procède... n'ayant pas l'info dans la news, je n'en ai pas d'avis. Si l'on comprend la fin de l'article, cela nous laisse supposer que qui oui, mais temporairement seulement.