Des chercheurs de l’Institut de technologie du New Jersey (NJIT) mettent en garde cette semaine contre une nouvelle technique que les attaquants pourraient utiliser pour dsanonymiser les visiteurs d’un site Web et potentiellement faire le lien avec de nombreux lments de la vie numrique de leurs cibles. Les rsultats, que les chercheurs du NJIT prsenteront au symposium Usenix sur la scurit qui se tiendra Boston le mois prochain, montrent comment un attaquant qui incite quelqu’un charger un site Web malveillant peut dterminer si ce visiteur contrle un identifiant public particulier, tel qu’une adresse lectronique ou un compte de mdias sociaux, reliant ainsi le visiteur un lment de donnes potentiellement personnel. Autrement dit cette nouvelle technique pourrait tre utilise pour contourner les protections de l’anonymat et identifier un visiteur unique d’un site web.
Lorsque vous visitez un site web, la page peut capturer votre adresse IP, mais cela ne donne pas ncessairement au propritaire du site suffisamment d’informations pour vous identifier individuellement. Au lieu de cela, le piratage analyse les caractristiques subtiles de l’activit du navigateur d’une cible potentielle pour dterminer si elle est connecte un compte pour toute une srie de services, de YouTube et Dropbox Twitter, Facebook, TikTok, etc. De plus, les attaques fonctionnent contre tous les principaux navigateurs, y compris le navigateur Tor, ax sur l’anonymat.
Si vous tes un internaute moyen, vous ne pensez peut-tre pas trop votre vie prive lorsque vous visitez un site web au hasard. Mais certaines catgories d’utilisateurs d’Internet peuvent tre touches de manire plus significative par ce phnomne, comme les personnes qui organisent et participent des manifestations politiques, les journalistes et les personnes qui tablissent des rseaux avec les membres de leur groupe minoritaire. Ce qui rend ces types d’attaques dangereuses, c’est qu’elles sont trs furtives. Vous visitez simplement le site web et vous n’avez aucune ide que vous avez t expos , explique Reza Curtmola, l’un des auteurs de l’tude et professeur d’informatique au NJIT.
Le risque nest pas seulement thorique
Le risque que des pirates informatiques et des cyber-armes soutenus par des gouvernements tentent de dsanonymiser les internautes n’est pas seulement thorique. Les chercheurs ont recens un certain nombre de techniques utilises dans la nature et ont t tmoins de situations dans lesquelles les attaquants ont identifi des utilisateurs individuels, sans que l’on sache exactement comment.
D’autres travaux thoriques ont examin une attaque similaire celle que les chercheurs du NJIT ont mise au point, mais la plupart de ces recherches se sont concentres sur la saisie de donnes rvlatrices qui fuient entre les sites web lorsqu’un service fait une demande un autre. la suite de ces travaux antrieurs, les navigateurs et les dveloppeurs de sites Web ont amlior la manire dont les donnes sont isoles et restreintes lors du chargement du contenu, ce qui rend ces voies d’attaque potentielles moins ralisables. Sachant que les attaquants sont motivs par la recherche de techniques d’identification des utilisateurs, les chercheurs ont voulu explorer d’autres approches.
Supposons que vous ayez un forum pour des extrmistes ou des militants clandestins et qu’un organisme d’application de la loi en ait secrtement pris le contrle. Ils veulent identifier les utilisateurs de ce forum mais ne peuvent pas le faire directement car les utilisateurs utilisent des pseudonymes. Mais disons que l’agence a pu galement rassembler une liste de comptes Facebook souponns d’tre des utilisateurs de ce forum. Elle serait alors en mesure d’tablir une corrlation entre les personnes qui visitent le forum et une identit Facebook spcifique , explique Curtmola.
Le fonctionnement de cette attaque de dsanonymisation est difficile expliquer mais relativement facile comprendre une fois que vous en avez saisi l’essentiel. L’auteur de l’attaque a besoin de quelques lments pour commencer : un site Web qu’il contrle, une liste de comptes lis des personnes qu’il veut identifier comme ayant visit ce site et un contenu publi sur les plateformes des comptes figurant sur sa liste de cibles, qui permet aux comptes cibls de voir ce contenu ou les en empche ; l’attaque fonctionne dans les deux sens. Ensuite, l’attaquant intgre le contenu susmentionn sur le site Web malveillant. Puis il attend de voir qui clique. Si une personne de la liste cible visite le site, les attaquants sauront de qui il s’agit en analysant quels utilisateurs peuvent (ou ne peuvent pas) visualiser le contenu intgr.
L’attaque tire parti d’un certain nombre de facteurs que la plupart des gens considrent comme acquis : De nombreux services importants, de YouTube Dropbox, permettent aux utilisateurs d’hberger des mdias et de les intgrer sur un site Web tiers. Les utilisateurs rguliers ont gnralement un compte auprs de ces services omniprsents et, surtout, ils restent souvent connects ces plateformes sur leur tlphone ou leur ordinateur. Enfin, ces services permettent aux utilisateurs de restreindre l’accs aux contenus qui y sont tlchargs.
Ces relations de type « bloquer » ou « autoriser » sont au cur de la faon dont les chercheurs ont dcouvert qu’elles pouvaient rvler des identits. Dans la version « autorise » de l’attaque, par exemple, les pirates peuvent partager discrtement une photo sur Google Drive avec une adresse Gmail potentiellement intressante. Ils intgrent ensuite la photo leur page Web malveillante et y attirent la cible. Lorsque les navigateurs des visiteurs tentent de charger la photo via Google Drive, les pirates peuvent en dduire avec prcision si un visiteur est autoris accder au contenu, c’est–dire s’ils ont le contrle de l’adresse lectronique en question.
Grce aux protections existantes des principales plateformes en matire de confidentialit, l’attaquant ne peut pas vrifier directement si le visiteur du site a pu charger le contenu. Mais les chercheurs du NJIT ont ralis qu’ils pouvaient analyser les informations accessibles sur le navigateur de la cible et le comportement de son processeur au moment de la demande pour en dduire si la demande de contenu a t autorise ou refuse.
Cette technique est connue sous le nom d' »attaque par canal latral » car les chercheurs ont dcouvert qu’ils pouvaient dterminer avec prcision et fiabilit si la demande tait autorise ou refuse en entranant des algorithmes d’apprentissage automatique analyser des donnes apparemment sans rapport avec la faon dont le navigateur et l’appareil de la victime traitent la demande. Une fois que l’attaquant sait que l’utilisateur qu’il a autoris consulter le contenu l’a fait (ou que l’utilisateur qu’il a bloqu a t bloqu), il a dsanonymis le visiteur du site.
Aussi compliqu que cela puisse paratre, les chercheurs prviennent que l’opration serait simple raliser une fois que les attaquants auraient fait le travail prparatoire. Il ne faudrait que quelques secondes pour dmasquer chaque visiteur du site malveillant, et il serait pratiquement impossible pour un utilisateur peu mfiant de dtecter le piratage. Les chercheurs ont mis au point une extension de navigateur qui peut contrecarrer de telles attaques, et qui est disponible pour Chrome et Firefox. Ils notent toutefois qu’elle peut avoir un impact sur les performances et qu’elle n’est pas disponible pour tous les navigateurs.
Grce un important processus de divulgation de nombreux services web, navigateurs et organismes de normalisation web, les chercheurs affirment avoir lanc une discussion plus large sur la manire de traiter le problme de manire exhaustive. Pour l’instant, Chrome et Firefox n’ont pas publi de rponses. Selon Curtmola, des changements fondamentaux et probablement irralisables dans la conception des processeurs seraient ncessaires pour rsoudre le problme au niveau de la puce. Il ajoute toutefois que des discussions collaboratives au sein du World Wide Web Consortium ou d’autres forums pourraient finalement dboucher sur une solution globale. Les fournisseurs essaient de voir si cela vaut la peine de faire des efforts pour rsoudre ce problme. Il faut les convaincre que le problme est suffisamment grave pour qu’ils investissent dans sa rsolution , dit-il.
Source : NJIT
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Les activits illgales ou les crimes tels que le vol d’identit sont les principales proccupations des utilisateurs, 52 % des gens pensent que la vie prive en ligne n’existe pas
Les dveloppeurs peuvent tre identifis partir de leur code source, des chercheurs estiment qu’ils laissent leurs traces dans leurs programmes