
Au cœur du problème se trouvent les alertes Content Security Policy (CSP). La CSP est une couche de sécurité supplémentaire qui aide à détecter et à atténuer certains types d'attaques, y compris les attaques XSS (Cross Site Scripting) et d'injection de données. Dans les attaques XSS, des scripts malveillants sont injectés sur des sites Web légitimes et fiables. Un attaquant peut utiliser une application Web pour envoyer un code malveillant, généralement sous la forme d'un script côté navigateur, à un autre utilisateur final. Il faut noter que ces attaques sont utilisées dans tout ce qui concerne le vol de données, le défaçage de sites Web ou la distribution de logiciels malveillants.
Les sites Web peuvent utiliser la technologie CSP pour mettre en liste blanche un script qu’ils autorisent à s'exécuter sur leurs pages, empêchant ainsi les attaquants d'injecter du code JavaScript malveillant dans les navigateurs pour détourner les comptes des utilisateurs. Cette technologie, qui est un draft du W3C, est censée stopper les attaques XSS et signaler automatiquement les tentatives de piratage aux administrateurs du site, mais pas si uBlock Origin est installé sur le navigateur qui est censé lancer l'alerte.
D'après un chercheur en sécurité du nom de Scott Helme, l'adblocker populaire empêche en effet les navigateurs d'envoyer les alertes CSP. « uBO bloque l'envoi de rapports CSP légitimes. J'ai une configuration de politique mise en place sur scotthelme.co.uk qui déclenche plusieurs rapports qui sont tous bloqués », a-t-il écrit dans un rapport de bogue sur GitHub.
En réponse à sa préoccupation, le développeur d'uBlock Origin Raymond Hill a fait savoir que cela est prévu « par conception » et que son extension bloque les alertes CSP si un script neutralisé pour protéger la vie privée de l'utilisateur est autorisé sur la page, par exemple un script Google Analytics, comme c'était le cas avec le site de Scott Helme.
Hill explique que de faux rapports CSP peuvent être générés quand l'adblocker neutralise les scripts Google Analytics. Quand des rapports CSP sont générés, uBO suppose donc que c'est la neutralisation qui a provoqué cela, et qu'il s'agit d'un faux positif. Dans ce cas, il bloque les rapports pour empêcher les fuites d'informations, d'après Raymond Hill. Le développeur d'uBO explique toutefois que des utilisateurs pourraient manuellement mettre Google Analytics sur liste blanche pour un site particulier afin d'éviter la suppression de tout rapport CSP et corriger le problème. Il va encore défendre le blocage des rapports CSP en affirmant qu’ils ne profitent pas aux utilisateurs, et que le dire serait juste du marketing.
Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité, est que « si vous avez un risque XSS sur votre site, par exemple, un navigateur exécutant uBlock Origin ne peut plus vous le signaler. » Autrement dit, les sites Web ne recevront pas d'alertes des navigateurs lorsque uBlock Origin est installé et que des acteurs malveillants essaient d'exécuter des attaques XSS. Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.
Après la réaction du développeur d'uBlock Origin, Paul Moore, un autre chercheur en sécurité s'exprimant sur ce problème, a trouvé « bizarre » qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse non seulement des fonctionnalités importantes des agents utilisateurs, mais son développeur refuse de corriger le problème.
Scott Helm pour sa part pense que uBO peut bloquer Google Analytics sans interférer avec les rapports CSP. « Les deux choses ne sont pas liées, ils choisissent d'empêcher l'envoi du rapport CSP », a-t-il dit.
Suite à ces critiques, Raymond Hill a décidé d'étudier le problème pour voir s'il est possible et pratique pour uBO de bloquer seulement les rapports CSP qui sont déclenchés lorsque l'adblocker fait son travail. Mais pour le moment, si vous utilisez uBlock Origin, votre navigateur ne peut pas avertir les sites Web en cas d’attaques de types XSS ou d’injection de données. Google Analytics est en effet très largement utilisé par les sites Web, et on peut supposer qu'il y a d'autres cas, en dehors de la technologie de Google, où uBO peut déclencher des rapports CSP en faisant son travail, et donc les bloquer.
Source : GitHub
Et vous ?

