Une nouvelle attaque peut révéler l’identité des utilisateurs anonymes sur tous les principaux navigateurs,
sans que l'utilisateur ne détecte le piratage
Des chercheurs de l'Institut de technologie du New Jersey (NJIT) mettent en garde cette semaine contre une nouvelle technique que les attaquants pourraient utiliser pour désanonymiser les visiteurs d'un site Web et potentiellement faire le lien avec de nombreux éléments de la vie numérique de leurs cibles. Les résultats, que les chercheurs du NJIT présenteront au symposium Usenix sur la sécurité qui se tiendra à Boston le mois prochain, montrent comment un attaquant qui incite quelqu'un à charger un site Web malveillant peut déterminer si ce visiteur contrôle un identifiant public particulier, tel qu'une adresse électronique ou un compte de médias sociaux, reliant ainsi le visiteur à un élément de données potentiellement personnel. Autrement dit cette nouvelle technique pourrait être utilisée pour contourner les protections de l'anonymat et identifier un visiteur unique d'un site web.
Lorsque vous visitez un site web, la page peut capturer votre adresse IP, mais cela ne donne pas nécessairement au propriétaire du site suffisamment d'informations pour vous identifier individuellement. Au lieu de cela, le piratage analyse les caractéristiques subtiles de l'activité du navigateur d'une cible potentielle pour déterminer si elle est connectée à un compte pour toute une série de services, de YouTube et Dropbox à Twitter, Facebook, TikTok, etc. De plus, les attaques fonctionnent contre tous les principaux navigateurs, y compris le navigateur Tor, axé sur l'anonymat.
« Si vous êtes un internaute moyen, vous ne pensez peut-être pas trop à votre vie privée lorsque vous visitez un site web au hasard. Mais certaines catégories d'utilisateurs d'Internet peuvent être touchées de manière plus significative par ce phénomène, comme les personnes qui organisent et participent à des manifestations politiques, les journalistes et les personnes qui établissent des réseaux avec les membres de leur groupe minoritaire. Ce qui rend ces types d'attaques dangereuses, c'est qu'elles sont très furtives. Vous visitez simplement le site web et vous n'avez aucune idée que vous avez été exposé », explique Reza Curtmola, l'un des auteurs de l'étude et professeur d'informatique au NJIT.
Le risque n’est pas seulement théorique
Le risque que des pirates informatiques et des cyber-armes soutenus par des gouvernements tentent de désanonymiser les internautes n'est pas seulement théorique. Les chercheurs ont recensé un certain nombre de techniques utilisées dans la nature et ont été témoins de situations dans lesquelles les attaquants ont identifié des utilisateurs individuels, sans que l'on sache exactement comment.
D'autres travaux théoriques ont examiné une attaque similaire à celle que les chercheurs du NJIT ont mise au point, mais la plupart de ces recherches se sont concentrées sur la saisie de données révélatrices qui fuient entre les sites web lorsqu'un service fait une demande à un autre. À la suite de ces travaux antérieurs, les navigateurs et les développeurs de sites Web ont amélioré la manière dont les données sont isolées et restreintes lors du chargement du contenu, ce qui rend ces voies d'attaque potentielles moins réalisables. Sachant que les attaquants sont motivés par la recherche de techniques d'identification des utilisateurs, les chercheurs ont voulu explorer d'autres approches.
« Supposons que vous ayez un forum pour des extrémistes ou des militants clandestins et qu'un organisme d'application de la loi en ait secrètement pris le contrôle. Ils veulent identifier les utilisateurs de ce forum mais ne peuvent pas le faire directement car les utilisateurs utilisent des pseudonymes. Mais disons que l'agence a pu également rassembler une liste de comptes Facebook soupçonnés d'être des utilisateurs de ce forum. Elle serait alors en mesure d'établir une corrélation entre les personnes qui visitent le forum et une identité Facebook spécifique » , explique Curtmola.
Le fonctionnement de cette attaque de désanonymisation est difficile à expliquer mais relativement facile à comprendre une fois que vous en avez saisi l'essentiel. L'auteur de l'attaque a besoin de quelques éléments pour commencer : un site Web qu'il contrôle, une liste de comptes liés à des personnes qu'il veut identifier comme ayant visité ce site et un contenu publié sur les plateformes des comptes figurant sur sa liste de cibles, qui permet aux comptes ciblés de voir ce contenu ou les en empêche ; l'attaque fonctionne dans les deux sens. Ensuite, l'attaquant intègre le contenu susmentionné sur le site Web malveillant. Puis il attend de voir qui clique. Si une personne de la liste ciblée visite le site, les attaquants sauront de qui il s'agit en analysant quels utilisateurs peuvent (ou ne peuvent pas) visualiser le contenu intégré.
L'attaque tire parti d'un certain nombre de facteurs que la plupart des gens considèrent comme acquis : De nombreux services importants, de YouTube à Dropbox, permettent aux utilisateurs d'héberger des médias et de les intégrer sur un site Web tiers. Les utilisateurs réguliers ont généralement un compte auprès de ces services omniprésents et, surtout, ils restent souvent connectés à ces plateformes sur leur téléphone ou leur ordinateur. Enfin, ces services permettent aux utilisateurs de restreindre l'accès aux contenus qui y sont téléchargés.
Ces relations de type "bloquer" ou "autoriser" sont au cœur de la façon dont les chercheurs ont découvert qu'elles pouvaient révéler des identités. Dans la version "autorisée" de l'attaque, par exemple, les pirates peuvent partager discrètement une photo sur Google Drive avec une adresse Gmail potentiellement intéressante. Ils intègrent ensuite la photo à leur page Web malveillante et y attirent la cible. Lorsque les navigateurs des visiteurs tentent de charger la photo via Google Drive, les pirates peuvent en déduire avec précision si un visiteur est autorisé à accéder au contenu, c'est-à-dire s'ils ont le contrôle de l'adresse électronique en question.
Grâce aux protections existantes des principales plateformes en matière de confidentialité, l'attaquant ne peut pas vérifier directement si le visiteur du site a pu charger le contenu. Mais les chercheurs du NJIT ont réalisé qu'ils pouvaient analyser les informations accessibles sur le navigateur de la cible et le comportement de son processeur au moment de la demande pour en déduire si la demande de contenu a été autorisée ou refusée.
Cette technique est connue sous le nom d'"attaque par canal latéral" car les chercheurs ont découvert qu'ils pouvaient déterminer avec précision et fiabilité si la demande était autorisée ou refusée en entraînant des algorithmes d'apprentissage automatique à analyser des données apparemment sans rapport avec la façon dont le navigateur et l'appareil de la victime traitent la demande. Une fois que l'attaquant sait que l'utilisateur qu'il a autorisé à consulter le contenu l'a fait (ou que l'utilisateur qu'il a bloqué a été bloqué), il a désanonymisé le visiteur du site.
Aussi compliqué que cela puisse paraître, les chercheurs préviennent que l'opération serait simple à réaliser une fois que les attaquants auraient fait le travail préparatoire. Il ne faudrait que quelques secondes pour démasquer chaque visiteur du site malveillant, et il serait pratiquement impossible pour un utilisateur peu méfiant de détecter le piratage. Les chercheurs ont mis au point une extension de navigateur qui peut contrecarrer de telles attaques, et qui est disponible pour Chrome et Firefox. Ils notent toutefois qu'elle peut avoir un impact sur les performances et qu'elle n'est pas disponible pour tous les navigateurs.
Grâce à un important processus de divulgation à de nombreux services web, navigateurs et organismes de normalisation web, les chercheurs affirment avoir lancé une discussion plus large sur la manière de traiter le problème de manière exhaustive. Pour l'instant, Chrome et Firefox n'ont pas publié de réponses. Selon Curtmola, des changements fondamentaux et probablement irréalisables dans la conception des processeurs seraient nécessaires pour résoudre le problème au niveau de la puce. Il ajoute toutefois que des discussions collaboratives au sein du World Wide Web Consortium ou d'autres forums pourraient finalement déboucher sur une solution globale. « Les fournisseurs essaient de voir si cela vaut la peine de faire des efforts pour résoudre ce problème. Il faut les convaincre que le problème est suffisamment grave pour qu'ils investissent dans sa résolution , dit-il.
Source : NJIT
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Les activités illégales ou les crimes tels que le vol d'identité sont les principales préoccupations des utilisateurs, 52 % des gens pensent que la vie privée en ligne n'existe pas
Les développeurs peuvent être identifiés à partir de leur code source, des chercheurs estiment qu'ils laissent leurs traces dans leurs programmes
Partager