IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une nouvelle attaque peut révéler l’identité des utilisateurs anonymes sur tous les principaux navigateurs.


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    Mars 2020
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : Mars 2020
    Messages : 838
    Points : 58 043
    Points
    58 043
    Par défaut Une nouvelle attaque peut révéler l’identité des utilisateurs anonymes sur tous les principaux navigateurs.
    Une nouvelle attaque peut révéler l’identité des utilisateurs anonymes sur tous les principaux navigateurs,
    sans que l'utilisateur ne détecte le piratage

    Des chercheurs de l'Institut de technologie du New Jersey (NJIT) mettent en garde cette semaine contre une nouvelle technique que les attaquants pourraient utiliser pour désanonymiser les visiteurs d'un site Web et potentiellement faire le lien avec de nombreux éléments de la vie numérique de leurs cibles. Les résultats, que les chercheurs du NJIT présenteront au symposium Usenix sur la sécurité qui se tiendra à Boston le mois prochain, montrent comment un attaquant qui incite quelqu'un à charger un site Web malveillant peut déterminer si ce visiteur contrôle un identifiant public particulier, tel qu'une adresse électronique ou un compte de médias sociaux, reliant ainsi le visiteur à un élément de données potentiellement personnel. Autrement dit cette nouvelle technique pourrait être utilisée pour contourner les protections de l'anonymat et identifier un visiteur unique d'un site web.

    Nom : Screenshot_2022-07-17 NJIT A New Attack Can Unmask Anonymous Users On Any Major Browser – Recher.png
Affichages : 31145
Taille : 148,6 Ko

    Lorsque vous visitez un site web, la page peut capturer votre adresse IP, mais cela ne donne pas nécessairement au propriétaire du site suffisamment d'informations pour vous identifier individuellement. Au lieu de cela, le piratage analyse les caractéristiques subtiles de l'activité du navigateur d'une cible potentielle pour déterminer si elle est connectée à un compte pour toute une série de services, de YouTube et Dropbox à Twitter, Facebook, TikTok, etc. De plus, les attaques fonctionnent contre tous les principaux navigateurs, y compris le navigateur Tor, axé sur l'anonymat.

    « Si vous êtes un internaute moyen, vous ne pensez peut-être pas trop à votre vie privée lorsque vous visitez un site web au hasard. Mais certaines catégories d'utilisateurs d'Internet peuvent être touchées de manière plus significative par ce phénomène, comme les personnes qui organisent et participent à des manifestations politiques, les journalistes et les personnes qui établissent des réseaux avec les membres de leur groupe minoritaire. Ce qui rend ces types d'attaques dangereuses, c'est qu'elles sont très furtives. Vous visitez simplement le site web et vous n'avez aucune idée que vous avez été exposé », explique Reza Curtmola, l'un des auteurs de l'étude et professeur d'informatique au NJIT.

    Le risque n’est pas seulement théorique

    Le risque que des pirates informatiques et des cyber-armes soutenus par des gouvernements tentent de désanonymiser les internautes n'est pas seulement théorique. Les chercheurs ont recensé un certain nombre de techniques utilisées dans la nature et ont été témoins de situations dans lesquelles les attaquants ont identifié des utilisateurs individuels, sans que l'on sache exactement comment.

    D'autres travaux théoriques ont examiné une attaque similaire à celle que les chercheurs du NJIT ont mise au point, mais la plupart de ces recherches se sont concentrées sur la saisie de données révélatrices qui fuient entre les sites web lorsqu'un service fait une demande à un autre. À la suite de ces travaux antérieurs, les navigateurs et les développeurs de sites Web ont amélioré la manière dont les données sont isolées et restreintes lors du chargement du contenu, ce qui rend ces voies d'attaque potentielles moins réalisables. Sachant que les attaquants sont motivés par la recherche de techniques d'identification des utilisateurs, les chercheurs ont voulu explorer d'autres approches.

    « Supposons que vous ayez un forum pour des extrémistes ou des militants clandestins et qu'un organisme d'application de la loi en ait secrètement pris le contrôle. Ils veulent identifier les utilisateurs de ce forum mais ne peuvent pas le faire directement car les utilisateurs utilisent des pseudonymes. Mais disons que l'agence a pu également rassembler une liste de comptes Facebook soupçonnés d'être des utilisateurs de ce forum. Elle serait alors en mesure d'établir une corrélation entre les personnes qui visitent le forum et une identité Facebook spécifique » , explique Curtmola.

    Le fonctionnement de cette attaque de désanonymisation est difficile à expliquer mais relativement facile à comprendre une fois que vous en avez saisi l'essentiel. L'auteur de l'attaque a besoin de quelques éléments pour commencer : un site Web qu'il contrôle, une liste de comptes liés à des personnes qu'il veut identifier comme ayant visité ce site et un contenu publié sur les plateformes des comptes figurant sur sa liste de cibles, qui permet aux comptes ciblés de voir ce contenu ou les en empêche ; l'attaque fonctionne dans les deux sens. Ensuite, l'attaquant intègre le contenu susmentionné sur le site Web malveillant. Puis il attend de voir qui clique. Si une personne de la liste ciblée visite le site, les attaquants sauront de qui il s'agit en analysant quels utilisateurs peuvent (ou ne peuvent pas) visualiser le contenu intégré.

    L'attaque tire parti d'un certain nombre de facteurs que la plupart des gens considèrent comme acquis : De nombreux services importants, de YouTube à Dropbox, permettent aux utilisateurs d'héberger des médias et de les intégrer sur un site Web tiers. Les utilisateurs réguliers ont généralement un compte auprès de ces services omniprésents et, surtout, ils restent souvent connectés à ces plateformes sur leur téléphone ou leur ordinateur. Enfin, ces services permettent aux utilisateurs de restreindre l'accès aux contenus qui y sont téléchargés.

    Ces relations de type "bloquer" ou "autoriser" sont au cœur de la façon dont les chercheurs ont découvert qu'elles pouvaient révéler des identités. Dans la version "autorisée" de l'attaque, par exemple, les pirates peuvent partager discrètement une photo sur Google Drive avec une adresse Gmail potentiellement intéressante. Ils intègrent ensuite la photo à leur page Web malveillante et y attirent la cible. Lorsque les navigateurs des visiteurs tentent de charger la photo via Google Drive, les pirates peuvent en déduire avec précision si un visiteur est autorisé à accéder au contenu, c'est-à-dire s'ils ont le contrôle de l'adresse électronique en question.

    Grâce aux protections existantes des principales plateformes en matière de confidentialité, l'attaquant ne peut pas vérifier directement si le visiteur du site a pu charger le contenu. Mais les chercheurs du NJIT ont réalisé qu'ils pouvaient analyser les informations accessibles sur le navigateur de la cible et le comportement de son processeur au moment de la demande pour en déduire si la demande de contenu a été autorisée ou refusée.

    Cette technique est connue sous le nom d'"attaque par canal latéral" car les chercheurs ont découvert qu'ils pouvaient déterminer avec précision et fiabilité si la demande était autorisée ou refusée en entraînant des algorithmes d'apprentissage automatique à analyser des données apparemment sans rapport avec la façon dont le navigateur et l'appareil de la victime traitent la demande. Une fois que l'attaquant sait que l'utilisateur qu'il a autorisé à consulter le contenu l'a fait (ou que l'utilisateur qu'il a bloqué a été bloqué), il a désanonymisé le visiteur du site.

    Aussi compliqué que cela puisse paraître, les chercheurs préviennent que l'opération serait simple à réaliser une fois que les attaquants auraient fait le travail préparatoire. Il ne faudrait que quelques secondes pour démasquer chaque visiteur du site malveillant, et il serait pratiquement impossible pour un utilisateur peu méfiant de détecter le piratage. Les chercheurs ont mis au point une extension de navigateur qui peut contrecarrer de telles attaques, et qui est disponible pour Chrome et Firefox. Ils notent toutefois qu'elle peut avoir un impact sur les performances et qu'elle n'est pas disponible pour tous les navigateurs.

    Grâce à un important processus de divulgation à de nombreux services web, navigateurs et organismes de normalisation web, les chercheurs affirment avoir lancé une discussion plus large sur la manière de traiter le problème de manière exhaustive. Pour l'instant, Chrome et Firefox n'ont pas publié de réponses. Selon Curtmola, des changements fondamentaux et probablement irréalisables dans la conception des processeurs seraient nécessaires pour résoudre le problème au niveau de la puce. Il ajoute toutefois que des discussions collaboratives au sein du World Wide Web Consortium ou d'autres forums pourraient finalement déboucher sur une solution globale. « Les fournisseurs essaient de voir si cela vaut la peine de faire des efforts pour résoudre ce problème. Il faut les convaincre que le problème est suffisamment grave pour qu'ils investissent dans sa résolution , dit-il.

    Source : NJIT

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Les activités illégales ou les crimes tels que le vol d'identité sont les principales préoccupations des utilisateurs, 52 % des gens pensent que la vie privée en ligne n'existe pas

    Les développeurs peuvent être identifiés à partir de leur code source, des chercheurs estiment qu'ils laissent leurs traces dans leurs programmes

  2. #2
    Membre émérite Avatar de onilink_
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    609
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 609
    Points : 2 484
    Points
    2 484
    Par défaut
    On peut aussi contrer ce genre d'attaque en navigation privée.
    C'est probablement une bonne idée pour naviguer sur des liens louches de toute façon.

  3. #3
    Membre expérimenté
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    627
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 627
    Points : 1 497
    Points
    1 497
    Par défaut
    Les conditions de départ sont déjà bien drastiques et nombreuses :

    Un forum pour des extrémistes ou des militants clandestins a été secrètement piraté par un organisme d'application de la loi (les "canarys" sont alors réalisés comment ? vous savez, ces messages signés avec PGP disant "ok tout va bien" - je résume beaucoup)
    La cible potentielle doit être connectée à un compte comme YouTube, Dropbox, Twitter, Facebook, TikTok, etc (en permanence ? pas prudent pour des activistes)
    L'agence a une liste de comptes Facebook soupçonnés d'être des utilisateurs de ce forum (là c'est déjà bien ciblé)
    Un contenu publié sur les plateformes des comptes figurant sur sa liste de cibles, qui permet aux comptes ciblés de voir ce contenu ou les en empêche (astucieux, mais les activistes sont si naïfs ?)
    Analyser le comportement de son processeur au moment de la demande pour en déduire si la demande de contenu a été autorisée ou refusée (euh, en Javascript je suppose ?)
    TOR browser ça s'utilise avec Javascript désactivé, et en bloquant toute possibilité de jouer des vidéos en streaming (il parait que pour les vidéos cela révèle la vraie adresse IP...).

  4. #4
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    885
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 885
    Points : 3 810
    Points
    3 810
    Par défaut
    Pareil que les autres avis. Plus en détail pour contrer ce genre d'attaques inter-sites, personnellement j'ouvre les sessions sécurisées dans des sessions privées différentes (une par site) (voire dans des navigateurs différents), et surtout en désactivant tout plugin du navigateur pour les sessions sécurisées (comme celui proposé dans l'article...) : chaque plugin pouvant être indiscret... Evidemment, il vaut mieux éviter d'ouvrir ses sessions privilégiées dans Tor si possible.

    Pour des choses vraiment secrètes, il faudrait encore mieux isoler les sessions de navigation dans des instances différentes de Qubes OS pour éviter de se tromper.

  5. #5
    Membre extrêmement actif
    Femme Profil pro
    Webmarketer
    Inscrit en
    Janvier 2021
    Messages
    399
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Webmarketer

    Informations forums :
    Inscription : Janvier 2021
    Messages : 399
    Points : 743
    Points
    743
    Par défaut
    Dans un avenir pas si lointain, l'anonymat ne sera pas seulement virtuellement impossible. Il sera probablement désapprouve et nous vaudra une étiquette d'ennemi de l'état .

Discussions similaires

  1. Réponses: 1
    Dernier message: 05/03/2022, 23h59
  2. Réponses: 0
    Dernier message: 05/03/2021, 15h29
  3. [XL-2010] VBA - compiler des données : boucler sur tous les onglets de plusieurs fichiers
    Par Joeytriviani dans le forum Macros et VBA Excel
    Réponses: 9
    Dernier message: 13/11/2017, 18h29
  4. Réponses: 0
    Dernier message: 09/02/2014, 20h54
  5. Réponses: 3
    Dernier message: 26/06/2008, 14h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo