Une condition préalable essentielle au bon fonctionnement de ces fonctionnalités d'amélioration de la confidentialité et de la sécurité est que toutes les demandes doivent être conformes aux règles de cookies imposées. Comme les navigateurs sont devenus extrêmement complexes, certains problèmes peuvent avoir été négligés ou l'interaction de certaines fonctionnalités peut avoir des effets secondaires indésirables.
C’est cette situation qui a fait l’objet d’une recherche d’une équipe de trois universitaires de l'Université catholique de Louvain, en Belgique (KU Leuven), notamment Gertjan Franken, Tom Van Goethem et Wouter Joosen. En clair, il était question pour eux d’analyser les fonctionnalités anti-pistage proposées par les navigateurs mais également par les extensions de navigateurs.
Les chercheurs expliquent que « Dans notre recherche, nous avons créé un cadre pour vérifier si toutes les politiques de cookies et de demandes imposées sont correctement appliquées. De manière inquiétante, nous avons constaté que la plupart des mécanismes pouvaient être contournés: par exemple, pour toutes les extensions de navigateur bloquant les publicités ou empêchant le pistage, nous avons découvert au moins une technique susceptible de contourner les règles ».
Les résultats de leurs recherches et les détails techniques y afférant ont été présenté durant la conférence USENIX Security.
Les chercheurs expliquent avoir travaillé avec des fournisseurs de navigateurs et des développeurs d’extensions pour atténuer les problèmes découverts.
Les chercheurs ont analysé sept navigateurs et 46 extensions
Les chercheurs ont examiné comment les navigateurs empêchent les services tiers, tels que les sociétés de publicité, de suivre les utilisateurs via des requêtes intersites et des cookies persistants. Plusieurs navigateurs ont embarqué une prise en charge native de ces fonctionnalités au cours des deux dernières années, notamment la nouvelle fonctionnalité de protection du suivi de Firefox ou le bloqueur de publicité intégré à Opera.
L'équipe de chercheurs à la conférence USENIX Security (au milieu)
En outre, le trio de la recherche a également examiné deux types d’extensions de navigateur, à savoir les bloqueurs de publicités et les modules complémentaires de protection contre le pistage.
L'équipe de KU Leuven a développé un framework personnalisé qui leur a permis de tester ces fonctionnalités anti-tracking basées sur des cookies dans sept navigateurs, 31 extensions de blocage des publicités et 15 extensions anti-tracking.
Le mécanisme de chaque navigateur ou extension susceptible d’être contourné au moins par une méthode
L'équipe de recherche indique que pour chaque navigateur ou extension testé, ils ont trouvé au moins une technique capable de contourner leurs défenses.
Pour leurs recherches, l'équipe de KU Leuven a testé si les navigateurs ou les extensions bloquaient les requêtes intersites pour les fichiers de cookies utilisateur lancés via:
- l'API AppCache
- l'utilisation de balises HTML moins connues
- l'en-tête de réponse "Location"
- divers types de redirections de balises <meta>
- code JavaScript intégré aux fichiers PDF
- la propriété JavaScript "location.href"
- ou par le biais des Services Workers
Des techniques nouvelles qui ne sont pas encore répandues
En outre, les universitaires ont également analysé les 10 000 sites les plus populaires d'Alexa, visitant 160 059 pages Web, à la recherche d'éléments prouvant que les annonceurs ou d'autres services de suivi des utilisateurs se servaient de l'une des techniques qu'ils avaient découvertes.
Les résultats de cette analyse ont montré qu'aucun site Web n'utilisait actuellement ces techniques pour contourner les protections de suivi du navigateur ou du bloqueur de publicité.
Cela signifie que les techniques présentées dans leur livre blanc sont nouvelles et pourraient s'avérer être une mine d'or pour certains services de suivi des utilisateurs, qui pourraient les utiliser pour contourner les fonctionnalités anti-pistage de certains navigateurs et des bloqueurs de publicités populaires.
Une collaboration avec les éditeurs de navigateurs et les développeurs d’extensions
Pour aider les utilisateurs à rester en sécurité, les chercheurs ont non seulement signalé des bogues aux fournisseurs de navigateurs, mais ont également proposé des solutions pour corriger les API et les outils du navigateur afin de contrer les contournements récemment découverts.
Ces rapports de bogues sont documentés sur le site Web wholeftopenthecookiejar.eu, un portail qui comprend également les données relatives aux navigateurs ou aux extensions pour vous permettre de reproduire les résultats de leurs tests. Le framework utilisé pour ces tests est également disponible sur GitHub.
Les universitaires de la KU Leuven ont également averti que la nouvelle fonctionnalité de sécurité des "cookies de même site" récemment ajoutée à Firefox, et susceptible de s’étendre à d’autres navigateurs, n’empêchera pas les contournements découverts.
Source : résultats de la recherche (au format PDF), différentes données issues de la recherche
Voir aussi :
73 % des brèches de sécurité dans les réseaux d'entreprises sont dues aux applications web selon Kaspersky Lab
Gartner : les dépenses en sécurité vont dépasser 124 milliards de $ en 2019 à cause des risques de sécurité et les changements en industrie
Des chercheurs annoncent une nouvelle faille de sécurité dans les processeurs Intel, encore une nouvelle génération de vulnérabilités Spectre ?
Tesla prévoit de partager le code source de son logiciel de sécurité automobile, contribuant ainsi à un avenir sûr de l'auto-conduite