IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une vulnérabilité permet le suivi d'utilisateurs sur les navigateurs Chrome, Firefox, Safari et Tor,
Les utilisateurs sur VPN ou en mode incognito ne sont pas épargnés, selon FingerprintJS

Le , par Bruno

124PARTAGES

8  0 
Dans le cadre de ses recherches sur les techniques antifraude, FingerprintJS a découvert une vulnérabilité qui permet aux sites web d'identifier les utilisateurs de manière fiable sur différents navigateurs de bureau. Les versions de bureau de Tor Browser, Safari, Chrome et Firefox sont toutes concernées. La vulnérabilité utilise des informations sur les applications installées sur l’ordinateur afin d’attribuer un identifiant unique permanent, même si l’utilisateur change de navigateur, utilise le mode incognito ou un VPN. Étant donné que cette vulnérabilité permet le suivi de tiers à travers différents navigateurs, elle constitue donc une violation de la vie privée.

FingerprintJS est une bibliothèque d'empreintes numériques pour navigateur, elle interroge les attributs du navigateur et calcule un identifiant de visiteur haché à partir de ceux-ci. Contrairement aux cookies et au stockage local, une empreinte numérique reste la même en mode incognito et même lorsque les données du navigateur sont purgées.

Le navigateur Tor est connu pour offrir le nec plus ultra en matière de protection de la vie privée sur Internet, mais en raison de la lenteur de sa connexion et de ses problèmes de performance sur certains sites web, les utilisateurs choisissent le plus souvent des navigateurs moins anonymes pour leur navigation quotidienne. Ils peuvent utiliser Safari, Firefox, Chrome ou Edge pour certains sites, et Tor pour les sites où ils veulent rester anonymes. Un site web exploitant la vulnérabilité d'inondation de schéma pourrait créer un identifiant stable et unique qui peut relier ces identités de navigation ensemble. Il est ensuite possible de lier les visites d’un utilisateur sur l’ensemble de ses navigateurs, de vous identifier de manière unique et de vous suivre sur le web.


Selon FingerprintJS, cette vulnérabilité existe depuis plus de 5 ans et son impact réel est inconnu. La vulnérabilité d'inondation de schéma permet à un cybercriminel de déterminer les applications installées sur l’ordinateur de la cible. Afin de générer un identifiant de périphérique multinavigateur. En moyenne, le processus d'identification prend quelques secondes et fonctionne sur les systèmes d'exploitation Windows, Mac et Linux.

Pour vérifier si une application est installée, les navigateurs peuvent utiliser des gestionnaires de schéma d'URL personnalisés intégrés. Il est possible de vérifier cette fonctionnalité en action en entrant skype:// dans la barre d'adresse du navigateur. Si Skype est installé, le navigateur ouvrira une boîte de dialogue de confirmation qui demandera si l’utilisateur souhaite le lancer. Cette fonctionnalité est également connue sous le nom de lien profond et est largement utilisée sur les appareils mobiles, mais elle est également disponible dans les navigateurs de bureau.

En fonction des apps installées sur un appareil, il peut être possible pour un site web d'identifier des individus à des fins plus malveillantes. Par exemple, un site peut être en mesure de détecter un fonctionnaire ou un militaire sur Internet en se basant sur les applications installées et en associant l'historique de navigation qui est censé être anonyme. Passons en revue les différences entre les navigateurs.

Chrome

Parmi les quatre principaux navigateurs concernés, seuls les développeurs de Chrome semblent être au courant de la vulnérabilité d'inondation de schéma. Le problème a été discuté sur le bug-tracker de Chromium et devrait être corrigé prochainement.

En outre, seul le navigateur Chrome dispose d'une forme de protection contre l'inondation de schéma. Elle empêche le lancement de toute application à moins qu'elle ne soit demandée via une action de l'utilisateur, comme un clic de souris. Il existe un indicateur global qui permet (ou refuse) aux sites Web d'ouvrir des applications, qui est mis à faux après la manipulation d'un schéma d'URL personnalisé.

Toutefois, il est possible d’utiliser des extensions Chrome pour réinitialiser cet indicateur et contourner la protection contre les inondations du système. Par spécification, les extensions doivent être en mesure d'ouvrir des URL personnalisées, telles que les liens mailto : sans boîte de dialogue de confirmation. La protection contre l'inondation du système entre en conflit avec les stratégies des extensions. Il existe donc une faille qui réinitialise cet indicateur chaque fois qu'une extension est déclenchée.

La visionneuse PDF intégrée de Chrome est une extension. Ainsi, chaque fois que votre navigateur ouvre un fichier PDF, il réinitialise l'indicateur de protection contre les inondations. L'ouverture d'un fichier PDF avant l'ouverture d'une URL personnalisée rend l'exploit fonctionnel.

Firefox

Chaque fois que vous naviguez vers un schéma d'URL inconnu, Firefox vous montre une page interne avec une erreur. Cette page interne a une origine différente de celle de tout autre site Web, il est donc impossible d'y accéder en raison de la limitation de la politique de l'origine identique. En revanche, un schéma d'URL personnalisé connu sera ouvert sous la forme about:blank.

Des quatre navigateurs, la vulnérabilité d'inondation de schéma prend le plus de temps pour s'exécuter avec succès dans Tor. La vérification de chaque application peut prendre jusqu'à 10 secondes en raison des règles du navigateur Tor. Néanmoins, l'exploit peut fonctionner en arrière-plan et suivre sa cible pendant une session de navigation plus longue. Si l’utilisateur laisse une fenêtre de Tor Browser sur une page web pendant 4 minutes seulement, cela pourrait suffire à exposer son identité.

Il est possible de supprimer la limite de 10 secondes en exécutant chaque test d'application à l'intérieur d'un geste déclenché par l'utilisateur. Un faux captcha est un candidat idéal : 24 caractères saisis par un utilisateur permettent de réinitialiser cette limite de 10 secondes 24 fois de suite et d'énumérer 24 applications installées instantanément.

Les étapes exactes pour exploiter la vulnérabilité par inondation de schéma peuvent varier selon le navigateur, mais le résultat final est le même. Obtenir un ensemble unique de bits associés à l'identité d'un visiteur est non seulement possible, mais peut être utilisé en pratique sur des sites web malveillants. Même le navigateur Tor peut être exploité efficacement en incitant un utilisateur à taper un caractère par application à tester.

Source : FingerprintJS

Et vous ?

Avez-vous une expérience avec le VPN ou le mode incognito ?

Que pensez-vous de ces techniques de dissimulation ?

Quel est votre avis sur le sujet ?

Voir aussi :

La version stable de Google Chrome 90 est publiée avec HTTPS comme protocole par défaut, elle améliorerait la sécurité ainsi que la vitesse de chargement des sites Web, selon Google

Firefox, Microsoft Edge, Safari n'ont pas l'intention d'utiliser FLoC. Google Chrome fait cavalier seul avec sa technologie publicitaire proposée pour remplacer les cookies tiers

Google Chrome et Microsoft Edge prendront en charge la fonction de sécurité CET d'Intel, pour maintenir la sécurité et prévenir des vulnérabilités

Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut, pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de FatAgnus
Membre éprouvé https://www.developpez.com
Le 14/05/2021 à 21:02
J'ai testé la démo sous Ubuntu 21.04 avec Firefox, Brave (basé sur Chromium) et Epiphany (alias GNOME Web basé sur WebKit). L'identifiant est différent sur les trois navigateurs web.

Sur les 24 applications testées, j'utilise Battle.net (installée avec Lutris et Wine) qui n'est pas détectée sur aucun des trois navigateurs.

Pour vérifier j'ai installé le paquet Snap de Telegram (logiciel que je n'utilise pas en tant normal). La démo trouve bien Telegram sous Firefox, mais pas sous Brave ni Epiphany. Je ne suis pas convaincu par cette faille d’empreinte numérique.
3  1 
Avatar de Itachiaurion
Membre averti https://www.developpez.com
Le 15/05/2021 à 16:02
Citation Envoyé par TotoParis Voir le message
J'ai fait un test avec TOR Browser : ça marche pas, j'ai désactivé Javascript dès son installation...
Comment fais-tu pour naviguer sur internet sans javascript, qui est de plus en plus utilisé (et indispensable) pour de nombreux site web?
0  0 
Avatar de ManPaq
Membre actif https://www.developpez.com
Le 05/06/2021 à 16:26
j'ais essayé avec Opera sous w10 et j'obtiens: "Please keep the browser window focused."
Les résultats divergent avec chrome, edge et firefox mais ([chrome]U[edge])U[firefox] détermine bien un identifiant unique, cad l'intersection de l'usage des trois navigateurs et des applications installés (bien que firefox subodore un peu) sur l'installation de whatsApp mais Battle.net, Epic Games, vscode, skype aussi bien que désactivé, sont reconnus dans les trois navigateurs.
Pour ma part sous w10 le test est convaincant.
0  0 
Avatar de spl33n
Membre à l'essai https://www.developpez.com
Le 10/07/2021 à 8:32
Testé sur une distribution de type Debian (kernel 5.13) et Firefox (avec modules complémentaires type Chameleon, link cleaner, google link cleaner, ghostery,..).

L'identifiant est 100% unique sur les deux tests lancés (les deux sont différents), après rafraîchissement de la page. Je n'ai (jamais) installé aucune de ces applications, l'installation de la distribution date de moins de deux semaines. Le VPN (lancé occasionnellement, configuré manuellement dans NetworkManager) n'est pas le même.

Pas convaincu.
0  0 
Avatar de TotoParis
Membre confirmé https://www.developpez.com
Le 14/05/2021 à 21:38
J'ai fait un test avec TOR Browser : ça marche pas, j'ai désactivé Javascript dès son installation...
Avec Firefox, j'ai vu une petite fenêtre en bas à droite qui clignotait à cause d'une activité intense : j'ai fermé la fenêtre, j'aime pas les courants d'air en ce moment...
Pareil avec Vivaldi...
Pour Safari, le test est plus rapide, et on a toujours cette petite fenêtre en bas à droite, mais le lancement de iTunes n'est pas des plus discret...
Un bon anti-virus devrait pourvoir régler cette saloperie de Javascript. Javascript est bien une vraie saloperie. Jamais je changerai d'avis.
1  2 
Avatar de BakaOnigiri
Membre averti https://www.developpez.com
Le 17/05/2021 à 11:32
J'ai moi aussi fait le test sur Linux, Manjaro / Arch. Firefox trouve 2 applications et me dit que mon identifiant est 99.94% unique. Après un second test dans la foulée, sur Chromium (test qui est nettement plus lent), il ne détecte aucunes applications, me donne un autre identifiant et me qui que ce nouvel identifiant est 93.09% unique.

Bref, pas super convaincu.
0  1