Un meilleur job mieux payé ?

Deviens chef de projet, développeur, ingénieur, informaticien

Mets à jour ton profil pro

ça m'intéresse

Des attaquants pourraient savoir quels sites vous avez visité sur IE, Chrome et Firefox
D'après les recherches d'un ingénieur Belge

Le , par Stéphane le calme, Chroniqueur Actualités
En 2010 des chercheurs de l’université de Californie du Sud ont mené une analyse sur plus de 40 sites qui espionnaient les habitudes de navigation des utilisateurs. Parmi eux figurait YouPorn.com qui se targue d’être le YouTube de son domaine et utilisait du code JavaScript pour savoir si les visiteurs avaient visité récemment des sites concurrents. En combinant habilement JavaScript et CSS, les sites étaient en mesure de savoir quels sites l’utilisateur avait visités. « Nous avons trouvé que plusieurs sites populaires utilisent des techniques pour extraire des informations sur l’historique de navigation de l’utilisateur et, dans certains cas, le font d’une manière obscure afin d’éviter d’être détecté facilement » expliquait le rapport.

Deux ans plus tard, Epic Marketplace, un réseau publicitaire très populaire qui avait ses bannières sur des sites comme cnn.com, orbitz.com et 45 000 autres sites a été condamné à verser une amende après avoir été reconnu coupable de l’exploitation d’une faille vieille de dix ans qui laisse fuir l’historique de navigation dans ses campagnes de publicités ciblées.

Il y a quelques années encore, même s’ils n’étaient pas légion, des utilisateurs prenaient l’habitude d’effacer régulièrement leur historique de navigation ou utiliser des fonctionnalités comme la navigation privée chez Google Chrome et son équivalent sur les autres navigateurs. Avec les changements effectués par les navigateurs, l’intrusion à la vie privée a été peu à peu contenue.

Cependant, Aäron Thijs, un diplômé de l’université Hasselt en Belgique, a confirmé que les utilisateurs Chrome, IE et Firefox sont encore susceptibles d’être victimes de ce type d’attaque qui fouille dans l’historique de navigation. Il s’est inspiré du Livre Blanc du chercheur Paul Stone publié en juillet 2013 qui traitait de différentes attaques sur HTML5 utilisant requestAnimationFram pour écrire un code qui allait forcer les navigateurs à lui révéler le contenu de l’historique de navigation. Il a précisé qu’il est possible que d’autres navigateurs comme Safari ou Opera soient également vulnérables.

« L’attaque peut être utilisée pour voir si la victime a visité certains sites web. Dans mon exemple de vecteurs d’attaque, j’ai simplement fait la recherche ‘https://www.facebook.com’. Cependant, il peut être modifié pour chercher un ensemble plus large de sites web. Si le script est imbriqué dans un site web que n’importe quel navigateur visite, il peut être exécuté silencieusement en arrière-plan et une connexion pourra être établie pour retourner les résultats à l’attaquant» a-t-il expliqué.

Pour rappel, la méthode requestAnimationFrame a été conçue pour fournir une façon plus efficace et fluide de créer des pages Web animées en appelant le cadre d’animation quand le système est prêt à peindre le cadre. L’API peut être utilisée pour gérer le temps de rendu du navigateur. Thijs explique par exemple qu’ IE 11 recherche les historiques de façon asynchrone donc le rendu n’attend pas que la recherche soit terminée. Le lien est d’abord peint avec le style :unvisited. Grâce à l’API requestAnimationFrame, il est possible de mesurer les variations dans le temps qu’il faut pour afficher les liens et les attaquants peuvent en déduire par la suite si un site a été visité. Un algorithme de recherche peut être mis sur pied pour rechercher un grand nombre de sites web à grande vitesse.

Thijs en a parlé sur un forum Microsoft ce weekend mais il est passé de public a privé. Il confirme que les développeurs Chrome se penchent eux aussi sur ce problème

Source : Aäron Thijs (Google Cache), Livre Blanc Paul Stone (au format PDF), étude des chercheurs de l'université de Californie du Sud (au format PDF)

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de siger95 siger95 - Membre régulier https://www.developpez.com
le 09/06/2014 à 9:51
Je comprends mieux pourquoi Edward Snowden disait que l'extension NoScript bien utilisée peut être très efficace contre le pistage
Avatar de Mr_Exal Mr_Exal - Membre expert https://www.developpez.com
le 11/06/2014 à 16:27
Pas d'historique pas de problème.
Avatar de DonQuiche DonQuiche - Expert confirmé https://www.developpez.com
le 13/06/2014 à 18:14
RequestPolicy : pas de requêtes sur des domaines tiers, pas de problème de ce genre.
Avatar de Hirsiger Hirsiger - Candidat au Club https://www.developpez.com
le 10/07/2014 à 15:46
Je ne suis pas un geek en informatique mais franchement, ils ne manquent pas d'idées, et si je comprends bien c'est une sorte de cheval de Troie. En utilisant le principe du heartbleed, le tour est déjoué facilement avec Lastpass mais quand il s'agit d'historique, il faut dans ce cas avoir un bon pack sécurité ( anti-virus, anti-espion, pare-feu, anti-spam et anti-phishing...)
Avatar de abel.cain abel.cain - Inactif https://www.developpez.com
le 22/11/2014 à 6:57
Citation Envoyé par Stéphane le calme  Voir le message
Qu'en pensez-vous ?

Les canaux auxiliaires (side channels), c'est vicelard!
Avatar de abel.cain abel.cain - Inactif https://www.developpez.com
le 22/11/2014 à 7:21
Citation Envoyé par Hirsiger  Voir le message
Je ne suis pas un geek en informatique mais franchement, ils ne manquent pas d'idées, et si je comprends bien c'est une sorte de cheval de Troie. En utilisant le principe du heartbleed, le tour est déjoué facilement avec Lastpass mais quand il s'agit d'historique, il faut dans ce cas avoir un bon pack sécurité ( anti-virus, anti-espion, pare-feu, anti-spam et anti-phishing...)

Absolument n'importe quoi... cheval de Troie heartbleed Lastpass historique anti-virus, anti-espion, pare-feu, anti-spam et anti-phishing ... tu as mis tous les mots en rapport avec la sécurité qui te passaient par la tête???!!!!!

Il s'agit de l'utilisation d'un script afin de mesurer une différence subtile de comportement du navigateur qui indique si un lien est affiché en style "non visité" ou "visité".

La mémoire du navigateur n'est pas directement lue et envoyée à l'extérieur, donc aucun rapport avec "Heartbleed".

Il n'est pas du tout question de mots de passe donc aucun rapport avec "Lastpass".

Le navigateur Web ne fait que se connecter normalement à des sites en HTTP ou HTTPS, donc tout ce qu'un pare-feu pourrait faire serait de bloquer totalement la navigation.

Aucun logiciel espion n'a été installé sur l'ordinateur donc on ne voit pas bien ce que pourrait faire un "anti-espion".

Etc.
Avatar de abel.cain abel.cain - Inactif https://www.developpez.com
le 22/11/2014 à 7:26
Citation Envoyé par DonQuiche  Voir le message
RequestPolicy : pas de requêtes sur des domaines tiers, pas de problème de ce genre.

Quelles requêtes sur quels domaines?
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil