La course aux armements se poursuit : le système DNS est exploité pour suivre en silence les internautes sur le web.
Les développeurs travaillant sur uBlock Origin, un bloqueur d'annonces open-source, ont découvert un mécanisme de suivi des navigateurs Web sur Internet qui défie les techniques de blocage actuelles.
Une méthode pour bloquer ce soi-disant tracker non déblocable a été développée par l'équipe, bien qu'elle ne fonctionne que dans Firefox, laissant Chrome et éventuellement d'autres navigateurs vulnérables. Cette correction est maintenant disponible pour les utilisateurs d'uBlock Origin.
Le tracker s'appuie sur les requêtes DNS pour passer outre les défenses du navigateur, de sorte qu'une certaine forme de filtrage de recherche de nom de domaine pourrait contrecarrer cette espionnage. En ce qui concerne les net-citoyens armés uniquement de leur navigateur et d'un plugin bloqueur de contenu classique, ce tracker peut se faufiler inaperçu. Il peut être potentiellement utilisé par les réseaux de publicité et d'analyse pour prendre les empreintes digitales des net-citoyens lorsqu'ils naviguent sur le Web, établir en silence des profils de leurs intérêts et compter le nombre de pages qu'ils visitent.
Et, chose intéressante, c'est apparemment le résultat d'une course aux armements entre les fabricants de navigateurs et les entreprises de technologie publicitaire qui se disputent les premiers cookies (first party cookies) et les cookies tiers (third party cookies).
Ouh, la la la
C'est ici que tout a commencé : dans un article de GitHub de ce mois-ci, un développeur du nom d'Aeris, a déclaré que le site du journal français liberation.fr utilise un tracker, qui semble 'non bloquable, conçu par Eulerian ", une société d'analyse marketing française ".
Ce qui fait que le domaine référencé semble être un élément de page de first-party - associé au domaine de l'éditeur du site Web - plutôt qu'un élément de page tiers - associé à un domaine autre que le site visité.
En réponse aux préoccupations relatives à la protection de la vie privée, des sociétés comme Apple et Mozilla ont, au cours des dernières années, introduit des mécanismes de protection de suivi dans leurs navigateurs respectifs, Safari et Firefox, et ont commencé à bloquer par défaut les cookies tiers - établis par des traqueurs tiers.
De nombreux spécialistes du marketing, désireux de maintenir leurs capacités de suivi et de collecte de données, se sont tournés vers une technique appelée délégation DNS ou aliasing DNS. Il s'agit de demander à un éditeur de site Web de déléguer un sous-domaine que le fournisseur d'analyse tiers peut utiliser et de l'aliaser vers un serveur externe en utilisant un enregistrement DNS CNAME. Le site et ses trackers externes semblent donc provenir pour le navigateur du même domaine et sont autorisés à fonctionner.
Comme l'explique Eulerian sur son site Internet, "La collecte se déroulant sous le nom de l'annonceur, et non sous celui d'un tiers, ni les bloqueurs de publicité ni les navigateurs, interrompent les appels de tags".
Mais attendez, il y a plus que ça.
Un autre spécialiste de l'analyse marketing, Wizaly, préconise également cette technique pour contourner les protections de confidentialité ITP 2.2 d'Apple.
Tout comme Adobe, qui explique sur son site Web que l'un des avantages des enregistrements CNAME pour la collecte de données est qu'ils "[vous permettent] de suivre les visiteurs entre un domaine source et les autres domaines dans les navigateurs qui n'acceptent pas de cookies tiers ".
Lors d'une conversation avec The Register, Aeris a déclaré que Criteo, une entreprise de reciblage publicitaire, semble avoir récemment déployé cette technique auprès de ses clients, ce qui suggère qu'elle va devenir plus répandue. Aeris a ajouté que la délégation du DNS viole clairement le RGPD de l'Europe, qui "déclare clairement que le 'suivi centré sur l'utilisateur' requiert le consentement, en particulier dans le cas d'une utilisation de services tiers ".
Dans une récente déclaration du commissaire de Hambourg chargé de la protection des données et de la liberté d'information en Allemagne, il est indiqué que Google Analytics et d'autres services similaires ne peuvent être utilisés qu'avec le consentement de l'utilisateur.
"Cet exploit existe depuis longtemps, mais il est particulièrement utile aujourd'hui parce que si vous pouvez prétendre être un cookie de first-party, vous évitez de vous faire bloquer par les bloqueurs de publicités et les principaux navigateurs - Chrome, Safari et Firefox" a dit Augustine Fou, un chercheur en cybersécurité et fraude publicitaire qui informe des entreprises en marketing online, dans un courriel au Register.
Il s'agit d'un exploit, et non d'une "erreur", car il s'agit d'une action cachée et délibérée visant à donner l'impression qu'un témoin tiers est la première partie à contourner les règlements sur la protection des renseignements personnels et le choix du consommateur. C'est un autre exemple du 'complexe industriel badtech' qui protège sa rivière d'or."
The Register a demandé à Eulerian de commenter mais personne n'a encore répondu.
L'utilisation des enregistrements DNS pour faire apparaître un domaine tiers comme une première partie a déjà été documentée dans un article de Lukasz Olejnik et Claude Castelluccia, chercheurs à l'Inria, un institut de recherche français. Cette technique est également abordée dans un document de recherche universitaire de 2010, "Cookie Blocking and Privacy : First Parties Remain a Risk ", par German Gomez, Julian Yalaju, Mario Garcia et Chris Hoofnagle.
Il y a deux jours, Raymond Hill, développeur d'uBlock Origin, a déployé une correction pour les utilisateurs de Firefox dans uBlock Origin v1.24.1b0. Firefox prend en charge une API pour résoudre le nom d'hôte d'un enregistrement DNS, qui peut démasquer les shenanigans CNAME, permettant ainsi aux développeurs de créer un comportement de blocage en conséquence.
"uBO est maintenant équipé pour faire face à des tiers déguisés en première partie dans la mesure où le navigateur Firefox.dns le permet", a écrit Hill, ajoutant qu'il suppose que cela ne peut pas être corrigé dans Chrome pour le moment parce que Chrome n'a pas une API équivalente de résolution de DNS.
Aeris a déclaré, "Pour Chrome, il n'y a pas d'API DNS disponible, et donc pas de moyen facile de le détecter", ajoutant que Chrome sous Manifest v3, une révision en attente de la plate-forme d'extension de Google, va casser uBO. Hill, le créateur de l'uBO, a récemment confirmé au Register que c'est toujours le cas.
Même si Chrome devait implémenter une API de résolution DNS, Google a clairement fait savoir qu'il souhaitait conserver la possibilité de suivre les personnes sur le Web et de placer des cookies, pour le bien de son activité publicitaire.
La réponse d'Apple à l'angoisse des annonceurs face au refus de Safari de leur fournir des données analytiques a été de proposer un système d'attribution de clics publicitaires préservant la confidentialité qui permet 64 identificateurs de campagnes publicitaires différents - afin que les responsables marketing puissent voir lesquels fonctionnent.
La proposition alternative de Google, qui s'inscrit dans le cadre de son initiative "Privacy Sandbox", prévoit un champ d'identification capable de stocker 64 bits de données, soit beaucoup plus que l'entier 64.
Comme l'a souligné l'Electronic Frontier Foundation, cela permet aux annonceurs de créer des numéros d'identification uniques pour chaque impression publicitaire qu'ils diffusent, informations qui peuvent ensuite être associées aux utilisateurs individuels.
sauce :
https://www.theregister.co.uk/2019/11/21/ublock_origin_firefox_unblockable_tracker/