Dans le cadre de ses recherches sur les techniques antifraude, FingerprintJS a découvert une vulnérabilité qui permet aux sites web d'identifier les utilisateurs de manière fiable sur différents navigateurs de bureau. Les versions de bureau de Tor Browser, Safari, Chrome et Firefox sont toutes concernées. La vulnérabilité utilise des informations sur les applications installées sur l’ordinateur afin d’attribuer un identifiant unique permanent, même si l’utilisateur change de navigateur, utilise le mode incognito ou un VPN. Étant donné que cette vulnérabilité permet le suivi de tiers à travers différents navigateurs, elle constitue donc une violation de la vie privée.FingerprintJS est une bibliothèque d'empreintes numériques pour navigateur, elle interroge les attributs du navigateur et calcule un identifiant de visiteur haché à partir de ceux-ci. Contrairement aux cookies et au stockage local, une empreinte numérique reste la même en mode incognito et même lorsque les données du navigateur sont purgées.
Le navigateur Tor est connu pour offrir le nec plus ultra en matière de protection de la vie privée sur Internet, mais en raison de la lenteur de sa connexion et de ses problèmes de performance sur certains sites web, les utilisateurs choisissent le plus souvent des navigateurs moins anonymes pour leur navigation quotidienne. Ils peuvent utiliser Safari, Firefox, Chrome ou Edge pour certains sites, et Tor pour les sites où ils veulent rester anonymes. Un site web exploitant la vulnérabilité d'inondation de schéma pourrait créer un identifiant stable et unique qui peut relier ces identités de navigation ensemble. Il est ensuite possible de lier les visites d’un utilisateur sur l’ensemble de ses navigateurs, de vous identifier de manière unique et de vous suivre sur le web.
Selon FingerprintJS, cette vulnérabilité existe depuis plus de 5 ans et son impact réel est inconnu. La vulnérabilité d'inondation de schéma permet à un cybercriminel de déterminer les applications installées sur l’ordinateur de la cible. Afin de générer un identifiant de périphérique multinavigateur. En moyenne, le processus d'identification prend quelques secondes et fonctionne sur les systèmes d'exploitation Windows, Mac et Linux.
Pour vérifier si une application est installée, les navigateurs peuvent utiliser des gestionnaires de schéma d'URL personnalisés intégrés. Il est possible de vérifier cette fonctionnalité en action en entrant skype:// dans la barre d'adresse du navigateur. Si Skype est installé, le navigateur ouvrira une boîte de dialogue de confirmation qui demandera si l’utilisateur souhaite le lancer. Cette fonctionnalité est également connue sous le nom de lien profond et est largement utilisée sur les appareils mobiles, mais elle est également disponible dans les navigateurs de bureau.
En fonction des apps installées sur un appareil, il peut être possible pour un site web d'identifier des individus à des fins plus malveillantes. Par exemple, un site peut être en mesure de détecter un fonctionnaire ou un militaire sur Internet en se basant sur les applications installées et en associant l'historique de navigation qui est censé être anonyme. Passons en revue les différences entre les navigateurs.
Chrome
Parmi les quatre principaux navigateurs concernés, seuls les développeurs de Chrome semblent être au courant de la vulnérabilité d'inondation de schéma. Le problème a été discuté sur le bug-tracker de Chromium et devrait être corrigé prochainement.
En outre, seul le navigateur Chrome dispose d'une forme de protection contre l'inondation de schéma. Elle empêche le lancement de toute application à moins qu'elle ne soit demandée via une action de l'utilisateur, comme un clic de souris. Il existe un indicateur global qui permet (ou refuse) aux sites Web d'ouvrir des applications, qui est mis à faux après la manipulation d'un schéma d'URL personnalisé.
Toutefois, il est possible d’utiliser des extensions Chrome pour réinitialiser cet indicateur et contourner la protection contre les inondations du système. Par spécification, les extensions doivent être en mesure d'ouvrir des URL personnalisées, telles que les liens mailto : sans boîte de dialogue de confirmation. La protection contre l'inondation du système entre en conflit avec les stratégies des extensions. Il existe donc une faille qui réinitialise cet indicateur chaque fois qu'une extension est déclenchée.
La visionneuse PDF intégrée de Chrome est une extension. Ainsi, chaque fois que votre navigateur ouvre un fichier PDF, il réinitialise l'indicateur de protection contre les inondations. L'ouverture d'un fichier PDF avant l'ouverture d'une URL personnalisée rend l'exploit fonctionnel.
Firefox
Chaque fois que vous naviguez vers un schéma d'URL inconnu, Firefox vous montre une page interne avec une erreur. Cette page interne a une origine différente de celle de tout autre site Web, il est donc impossible d'y accéder en raison de la limitation de la politique de l'origine identique. En revanche, un schéma d'URL personnalisé connu sera ouvert sous la forme about:blank.
Des quatre navigateurs, la vulnérabilité d'inondation de schéma prend le plus de temps pour s'exécuter avec succès dans Tor. La vérification de chaque application peut prendre jusqu'à 10 secondes en raison des règles du navigateur Tor. Néanmoins, l'exploit peut fonctionner en arrière-plan et suivre sa cible pendant une session de navigation plus longue. Si l’utilisateur laisse une fenêtre de Tor Browser sur une page web pendant 4 minutes seulement, cela pourrait suffire à exposer son identité.
Il est possible de supprimer la limite de 10 secondes en exécutant chaque test d'application à l'intérieur d'un geste déclenché par l'utilisateur. Un faux captcha est un candidat idéal : 24 caractères saisis par un utilisateur permettent de réinitialiser cette limite de 10 secondes 24 fois de suite et d'énumérer 24 applications installées instantanément.
Les étapes exactes pour exploiter la vulnérabilité par inondation de schéma peuvent varier selon le navigateur, mais le résultat final est le même. Obtenir un ensemble unique de bits associés à l'identité d'un visiteur est non seulement possible, mais peut être utilisé en pratique sur des sites web malveillants. Même le navigateur Tor peut être exploité efficacement en incitant un utilisateur à taper un caractère par application à tester.
Source : FingerprintJS
Et vous ?
Avez-vous une expérience avec le VPN ou le mode incognito ? Que pensez-vous de ces techniques de dissimulation ? Quel est votre avis sur le sujet ?Voir aussi :
La version stable de Google Chrome 90 est publiée avec HTTPS comme protocole par défaut, elle améliorerait la sécurité ainsi que la vitesse de chargement des sites Web, selon Google Firefox, Microsoft Edge, Safari n'ont pas l'intention d'utiliser FLoC. Google Chrome fait cavalier seul avec sa technologie publicitaire proposée pour remplacer les cookies tiers Google Chrome et Microsoft Edge prendront en charge la fonction de sécurité CET d'Intel, pour maintenir la sécurité et prévenir des vulnérabilités Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut, pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole 
Envoyé par TotoParis
sur l'installation de whatsApp mais Battle.net, Epic Games, vscode, skype aussi bien que désactivé, sont reconnus dans les trois navigateurs.
