uBlock Origin empêche les navigateurs d'alerter les sites Web des attaques de type XSS
En bloquant les rapports CSP

Le , par Michael Guilloux, Chroniqueur Actualités
L'adblocker populaire uBlock Origin est accusé d'être beaucoup trop radical dans sa mission au point de mettre en péril la sécurité de ses utilisateurs, en bloquant des rapports envoyés par les navigateurs pour alerter les sites Web de certaines attaques de piratage.

Au cœur du problème se trouvent les alertes Content Security Policy (CSP). La CSP est une couche de sécurité supplémentaire qui aide à détecter et à atténuer certains types d'attaques, y compris les attaques XSS (Cross Site Scripting) et d'injection de données. Dans les attaques XSS, des scripts malveillants sont injectés sur des sites Web légitimes et fiables. Un attaquant peut utiliser une application Web pour envoyer un code malveillant, généralement sous la forme d'un script côté navigateur, à un autre utilisateur final. Il faut noter que ces attaques sont utilisées dans tout ce qui concerne le vol de données, le défaçage de sites Web ou la distribution de logiciels malveillants.

Les sites Web peuvent utiliser la technologie CSP pour mettre en liste blanche un script qu’ils autorisent à s'exécuter sur leurs pages, empêchant ainsi les attaquants d'injecter du code JavaScript malveillant dans les navigateurs pour détourner les comptes des utilisateurs. Cette technologie, qui est un draft du W3C, est censée stopper les attaques XSS et signaler automatiquement les tentatives de piratage aux administrateurs du site, mais pas si uBlock Origin est installé sur le navigateur qui est censé lancer l'alerte.

D'après un chercheur en sécurité du nom de Scott Helme, l'adblocker populaire empêche en effet les navigateurs d'envoyer les alertes CSP. « uBO bloque l'envoi de rapports CSP légitimes. J'ai une configuration de politique mise en place sur scotthelme.co.uk qui déclenche plusieurs rapports qui sont tous bloqués », a-t-il écrit dans un rapport de bogue sur GitHub.

En réponse à sa préoccupation, le développeur d'uBlock Origin Raymond Hill a fait savoir que cela est prévu « par conception » et que son extension bloque les alertes CSP si un script neutralisé pour protéger la vie privée de l'utilisateur est autorisé sur la page, par exemple un script Google Analytics, comme c'était le cas avec le site de Scott Helme.

Hill explique que de faux rapports CSP peuvent être générés quand l'adblocker neutralise les scripts Google Analytics. Quand des rapports CSP sont générés, uBO suppose donc que c'est la neutralisation qui a provoqué cela, et qu'il s'agit d'un faux positif. Dans ce cas, il bloque les rapports pour empêcher les fuites d'informations, d'après Raymond Hill. Le développeur d'uBO explique toutefois que des utilisateurs pourraient manuellement mettre Google Analytics sur liste blanche pour un site particulier afin d'éviter la suppression de tout rapport CSP et corriger le problème. Il va encore défendre le blocage des rapports CSP en affirmant qu’ils ne profitent pas aux utilisateurs, et que le dire serait juste du marketing.


Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité, est que « si vous avez un risque XSS sur votre site, par exemple, un navigateur exécutant uBlock Origin ne peut plus vous le signaler. » Autrement dit, les sites Web ne recevront pas d'alertes des navigateurs lorsque uBlock Origin est installé et que des acteurs malveillants essaient d'exécuter des attaques XSS. Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.


Après la réaction du développeur d'uBlock Origin, Paul Moore, un autre chercheur en sécurité s'exprimant sur ce problème, a trouvé « bizarre » qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse non seulement des fonctionnalités importantes des agents utilisateurs, mais son développeur refuse de corriger le problème.


Scott Helm pour sa part pense que uBO peut bloquer Google Analytics sans interférer avec les rapports CSP. « Les deux choses ne sont pas liées, ils choisissent d'empêcher l'envoi du rapport CSP », a-t-il dit.

Suite à ces critiques, Raymond Hill a décidé d'étudier le problème pour voir s'il est possible et pratique pour uBO de bloquer seulement les rapports CSP qui sont déclenchés lorsque l'adblocker fait son travail. Mais pour le moment, si vous utilisez uBlock Origin, votre navigateur ne peut pas avertir les sites Web en cas d’attaques de types XSS ou d’injection de données. Google Analytics est en effet très largement utilisé par les sites Web, et on peut supposer qu'il y a d'autres cas, en dehors de la technologie de Google, où uBO peut déclencher des rapports CSP en faisant son travail, et donc les bloquer.

Source : GitHub

Et vous ?

Utilisez-vous uBlock Origin ?
Que pensez-vous de ce problème ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Uranne-jimmy Uranne-jimmy - Membre expérimenté https://www.developpez.com
le 18/10/2017 à 16:09
Du coup, ça n'aurais pas un rapport avec le fait que beaucoup de site "détectent" les bloqueurs et empêche l'accès si on ne le désactive pas ? Car il existe des scripts qui camouflent les bloqueurs.
Ce serait pour moi pertinent parce que les sites qui font ça sont souvent ceux qui abusent le plus en terme de publicité, et ça ne les rends que moins sympathiques.
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 18/10/2017 à 16:24
Je décide volontairement de bloquer Google Analytics. Il y a le mot "Google" qui me dérange. Mais on peut bien l'autoriser ou ne pas utiliser Ublock Origin non ?

C'est mon choix je crois. Après tout, si il y a une faille XSS, je ne suis pas le seul à aller sur le site, où tout le monde ne bloque pas les scripts. Il y aura toujours signalement.
Et si jamais tu ne bloques pas les scripts tiers, c'est toi qui peut être victime d'une attaque faite par l'intermédiaire du site contaminé il me semble.
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 18/10/2017 à 16:32
En même temps, j'aurais tendance à mettre Google Analytics sur liste noire. C'est plus le problème des dévs de sites qui choisissent leurs outils en sachant pertinemment qu'ils sont une menace pour la vie privée de leurs utilisateurs.
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 18/10/2017 à 16:42
+1

Comment peut-on mettre en place des traceurs tiers genre Analytics sur son site, et ensuite se plaindre de ne pas recevoir d'alertes CSP de certains utilisateurs ?
Avatar de AoCannaille AoCannaille - Membre chevronné https://www.developpez.com
le 18/10/2017 à 17:02
Citation Envoyé par AndMax Voir le message
+1

Comment peut-on mettre en place des traceurs tiers genre Analytics sur son site, et ensuite se plaindre de ne pas recevoir d'alertes CSP de certains utilisateurs ?
Yep. Piwik FTW
Avatar de Steinvikel Steinvikel - Membre régulier https://www.developpez.com
le 18/10/2017 à 17:03
résumé :
CSP permet (entre autre) de protéger l'utilisateur d’injection de code, de contenu, de phishing, d'installation... ainsi que de détecter puis relayer une menace à celui qui l'a transmise.
"peut utiliser une application web" >> coté client ou serveur... les deux ?

Un script est injecté dans le navigateur de l'attaquant, puis, en contaminant/altérant l'application web, atterrit sur le navigateur d'un surfer insouciant.
CSP liste une flopée de script étant autorisés à s'exécuter, pour signaler automatiquement les autres script aux administrateurs du site comme étant des tentatives de piratage.

uBO (uBlock Origin) neutralise le(s) script protégeant ainsi la vie privée du surfer, si ce script est autorisé (white-listé par l'utilisateur uBO), il bloque l'alertes CSP. Après tout s'il est sur liste blanche c'est que le surfer VEUT l'exécuter, qu'il fait confiance.
Quand uBO neutralise un script, il déclenche parfois de faux rapports CSP, tout les rapports CSP sont alors bloqués.
Un flou est à éclaircir: seuls les rapports émit après la neutralisation des scripts sont bloqués ? sur une durée/portion indéterminé ?

Donc pour faire court, uBlock Origin bloque tout, CSP non... CSP remonte des informations de vulnérabilité, uBO non... l'utilisateur d'uBO n'est pas victime de ses vulnérabilités, il ne fait encourir aucun risque de plus à celui qui n'utilise pas uBO. C'est l'application web qui est le vecteur de vulnérabilités (dans le cas exposé), et c'est le compte (en ligne) qui est exposé.
Il est donc reproché que uBO ralentit l'implémentation de la sécurité des autres personnes qui ne l'utilisent pas.
heuuu... vous voyez le parallèle avec les bases de virus que chaque marque garde jalousement secrète ?

Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.
il y a donc un vrai problème sur l'application, non ?... avant de répondre : c'est pas parce que tout le monde le fait qu'il faut le faire ! x)
c'est bizarre qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse des fonctionnalités importantes des agents utilisateurs
quelqu'un aurait-il un exemple ?
Avatar de - https://www.developpez.com
le 18/10/2017 à 19:22
Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité
Bah, en gros bloquer le flicage et la pub est dangereux quoi.. me demandais quand ça allait arriver

Bientôt un parallèle avec la vaccination obligatoire ?
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 18/10/2017 à 23:55
Je crois surtout qu'il y en a qui se servent du Content-Security-Policy-Report-Only pour monitorer l'effet des directives CSP et peut être bien disposer ainsi d'un autre moyen de tracking.
Dès lors, c'est certain que le blocage des alertes CSP par µBO les gênent.
Avatar de ABCIWEB ABCIWEB - Expert éminent https://www.developpez.com
le 19/10/2017 à 1:07
Oui donc apparemment tout le monde s'en fou, et c'est tant mieux, la ficelle est trop grosse.
Avatar de mm_71 mm_71 - Membre averti https://www.developpez.com
le 26/10/2017 à 21:56
L'extension noscript gère les XSS si on l'a correctement paramétrée, je ne crois pas qu'ublock origin gène son fonctionnement ?
Contacter le responsable de la rubrique Accueil