Il est possible qu'un code JavaScript malveillant dans un onglet de navigateur Web espionne d'autres onglets ouverts pour déterminer les sites Web que vous visitez. Les chercheurs de l'Université Ben Gourion du Néguev en Israël, de l'Université d'Adélaïde en Australie et de l'Université Princeton aux États-Unis ont réussi une attaque par empreinte digitale de site Web basée sur le cache du processeur qui utilise JavaScript pour collecter des données afin d'identifier les sites Web visités. « L'attaque que nous avons démontrée compromet les données personnelles des utilisateurs : en découvrant les sites Web auxquels l'utilisateur accède, elle peut enseigner à l'attaquant des choses telles que l'orientation sexuelle de l'utilisateur, ses convictions religieuses, ses opinions politiques, son état de santé, etc. », ont déclaré Yossi Oren (de l'université Ben Gourion en Israël) et Yuval Yarom (de l'université d'Adélaïde en Australie).
La technique intitulé « empreinte digitale de site Web robuste via le canal d’occupation du cache » est décrite dans un document récemment distribué par ArXiv, une archive de prépublications électroniques d'articles scientifiques dans les domaines de la physique, l'astrophysique, des mathématiques, de l'informatique, des sciences non linéaires et de la biologie quantitative. Les chercheurs ont démontré comment contourner les défenses de protection de la vie privée récemment introduites et soumet même le navigateur Tor à un suivi. Les informations collectées peuvent être utilisées pour cibler des publicités en fonction de vos centres d'intérêt ou pour déterminer le type de contenu dans lequel vous vous trouvez et le rassembler en toute sécurité pour le consulter ultérieurement.
« Dans ce travail, nous étudions ces attaques selon un modèle d'attaque différent, dans lequel l'adversaire est capable d'exécuter une petite quantité de code sans privilège sur l'ordinateur de l'utilisateur cible. Sous ce modèle, l'attaquant peut monter des attaques sur les canaux auxiliaires du cache, qui exploitent les effets de conflit sur le cache du processeur, afin d'identifier le site Web sur lequel le navigateur est consulté », peut-on lire dans leur article publié. « Les attaques par empreinte digitale sur les sites Web, qui utilisent l'analyse statistique du trafic réseau pour compromettre la confidentialité des utilisateurs, se sont révélées efficaces même si le trafic est envoyé sur des réseaux préservant l'anonymat tels que Tor. Le modèle d'attaque classique utilisé pour évaluer les attaques par empreinte digitale sur les sites Web suppose un adversaire sur le chemin, capable d'observer tout le trafic voyageant entre l'ordinateur de l'utilisateur et le réseau Tor », précisent les chercheurs.
En tout état de cause, l'attaque pourrait avoir de graves conséquences pour les utilisateurs de Tor convaincus que leurs visites sur Internet peuvent être tenues secrètes. Une attaque par canal auxiliaire (une attaque informatique qui, sans remettre en cause la robustesse théorique des méthodes et procédures de sécurité, recherche et exploite des failles dans leur implémentation, logicielle ou matérielle) implique l'observation d'une partie d'un système informatique pour collecter des mesures pouvant être utilisées pour déduire des informations autrement privilégiées. Les vulnérabilités Spectre, Meltdown et Foreshadow révélées cette année pourraient toutes être exploitées via des techniques d’attaque par canal auxiliaire.
Oren et Yarom ont expliqué que leur approche fonctionnait à un niveau plus fondamental que Spectre. « Cela fonctionne à des endroits où Spectre ne peut pas fonctionner (par exemple, au-delà des limites du processus) et où les correctifs de processeur conçus pour protéger Spectre ne peuvent pas l'arrêter. D'autre part, l'attaque Spectre est capable de récupérer des informations à une résolution beaucoup plus élevée que notre attaque », ont-ils déclaré. « Spécifiquement, nous utilisons des techniques d'apprentissage automatique pour classer les traces d'activité du cache. Contrairement aux travaux antérieurs, qui tentent d'identifier les conflits de cache, notre travail mesure l'occupation globale du cache de dernier niveau. Nous montrons que notre approche permet d'obtenir une précision de classification élevée dans les modèles du monde ouvert et du monde fermé », expliquent les chercheurs.
L'un des moyens utilisés pour atténuer ces attaques consiste à limiter l'accès aux timers de haute précision grâce auxquels les données des canaux auxiliaires peuvent être collectées. Rappelons qu'en début de cette année, Luke Wagner, un ingénieur de Mozilla confirmait que c'était possible d'exploiter les vulnérabilités (Meltdown et Spectre) pour accéder à des informations sensibles. Un rapport du Microsoft Vulnerability Research avait appuyé le propos de Wagner. L’exploitation desdites failles ouvre la voie à une violation plus aisée de la protection Same-Origin Policy dont les navigateurs sont équipés. En d’autres termes, un script JavaScript malicieux chargé sur une page peut extirper des cookies d’authentification ou autres mots de passe d’une autre plus facilement. Pire, les données privées du navigateur lui-même sont à la merci du code malicieux, d’après ce que rapporte l’équipe sécurité de la firme de Redmond.
Microsoft avait, par le biais de Windows Update, déployé la mise à jour KB4056890 pour les utilisateurs du navigateur Edge au sein de la Fall Creators Update en date du 3 janvier dernier. Pour ce qui est de Mozilla, une version mise à jour de Firefox Quantum (la 57.0.4) était désormais disponible. Les vulnérabilités dont il est question reposent sur la capacité du logiciel malveillant à abuser de la temporisation du cache des données des processeurs. Elles reposent sur l’aptitude à effectuer des mesures précises du temps. Pour ces raisons, Firefox et Edge sont sevrés du tampon de données binaires SharedArrayBuffer. Parallèlement, la méthode JavaScript performance.now() voit sa résolution passer de 5 à 20 microsecondes. Quant à Google Chrome, la version 63 intègre le mécanisme de protection Strict Site Isolation. D’après la firme, son activation permet d’assigner à chaque site Web un espace d’adressage distinct. Il était prévu que l’entreprise s’aligne avec les mesures actuellement adoptées par ses concurrents dans le cadre de cette release.
Par contre, Oren et Yarom déclarent que leurs travaux montrent que les efforts déployés pour se défendre contre les attaques par canaux auxiliaires en réduisant l'accès au chronométrage de précision ont été vains. « Dans ce travail, nous montrons que toute cette approche est vaine - nous n'avons simplement pas besoin de minuteries haute résolution pour attaquer. De même, certaines approches de protection contre Spectre séparent les sites en plusieurs processus. Nous montrons que cela n'est pas suffisant. Nous montrons que nous pouvons espionner à partir d'un onglet de navigateur sur un autre et même à partir d'un navigateur sur d'autres navigateurs exécutés sur l'ordinateur », ont-ils déclaré. Selon eux, ce qu’il faut retenir, c’est que tout ce qui n’est pas exécuté à un moment donné dans le navigateur pose un risque pour la confidentialité : si vous ouvrez un deuxième onglet, le JavaScript qu’il contient peut filtrer l’autre. Désactiver complètement JavaScript supprimera l'attaque, mais également de nombreux sites Web, qui dépendent du fonctionnement de JS. Les chercheurs disent que la virtualisation devrait être considérée comme une fonctionnalité plus pratique qu'une fonctionnalité de sécurité.
Source : Résultat de la recherche
Et vous ?
Qu'en pensez-vous ?
Quelles solutions suggérez-vous contre cette attaque ?
Voir aussi
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
Sept nouvelles variantes de Meltdown et Spectre ont été découvertes par des chercheurs en sécurité Intel ne se montre pas inquiet
Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois et confirmé qu'ils affectent plus Intel et ARM qu'AMD
Firefox 58 officiellement disponible avec des gains de performance la version Android embarque le support des applications Web progressives et FLAC
Un code JS malveillant peut espionner les onglets d'autres navigateurs pour identifier les sites Web que vous visitez,
Même Tor n'est pas épargné
Un code JS malveillant peut espionner les onglets d'autres navigateurs pour identifier les sites Web que vous visitez,
Même Tor n'est pas épargné
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !