FingerprintJS, fabricant d'une bibliothèque d'empreintes digitales de navigateur destinée à la prévention contre la fraude, a déclaré jeudi avoir identifié une technique d'empreinte digitale douteuse capable de générer un identifiant cohérent sur différents navigateurs de bureau, y compris le navigateur Tor.
Cela signifie, par exemple, que si vous naviguez sur le web en utilisant Safari, Firefox ou Chrome pour certains sites web, et que vous utilisez le navigateur Tor pour en consulter d'autres de manière anonyme, il est possible que quelqu'un puisse relier l'historique de vos navigations à travers toutes ces sessions en utilisant un identifiant unique, vous désanonymiser potentiellement, et vous suivre sur le web.
Faire cela n'est pas simple, cela peut être très imprécis ou peu fiable, et donc c'est plus un avertissement qu'autre chose.
Konstantin Darutkin, ingénieur logiciel senior chez FingerprintJS, a déclaré dans un billet de blog que l'entreprise a baptisé la vulnérabilité de la vie privée "scheme flooding". Ce nom fait référence à l'abus de schémas d'URL personnalisés, qui font que des liens web comme "skype://" ou "slack://" incitent le navigateur à ouvrir l'application associée.
"La vulnérabilité du scheme flooding permet à un attaquant de déterminer quelles applications vous avez installées", explique Darutkin. "Afin de générer un identifiant de périphérique 32 bits inter-navigateurs, un site Web peut tester une liste de 32 applications populaires et vérifier si chacune est installée ou non."
Si l'on visite le site schemeflood.com à l'aide d'un navigateur de bureau (et non mobile) et que l'on clique sur la démo, on génère un flot de demandes de schémas URL personnalisés en utilisant une liste préremplie d'applications probables. L'utilisateur d'un navigateur verra généralement une fenêtre modale de permission qui dit quelque chose comme "Ouvrir Slack.app ? Un site web veut ouvrir cette application. [canel] [Open Slack.app]. "
Mais dans ce cas, le script de démonstration annule simplement si l'application est présente ou lit l'erreur comme une confirmation de l'absence de l'application. Il affiche ensuite l'icône de l'application demandée si elle est trouvée, et passe à la requête suivante.
Le script utilise chaque résultat d'application comme un bit pour calculer l'identifiant. Le fait que l'identifiant reste cohérent entre les différents navigateurs signifie que le suivi inter-navigateurs est possible, ce qui contrevient aux attentes en matière de confidentialité.
La technique a été testée avec succès sur Chrome 90 (Windows 10, macOS Big Sur), Firefox 88.0.1 (Ubuntu 20.04, Windows 10, macOS Big Sur), Safari 14.1 (macOS Big Sur), Tor Browser 10.0. 16 (Ubuntu 20.04, Windows 10, macOS Big Sur), Brave 1.24.84 (Windows 10, macOS Big Sur), Yandex Browser 21.3.0 (Windows 10, macOS Big Sur) et Microsoft Edge 90 (Windows 10, macOS Big Sur). Opera n'a pas été testé.
The Register n'a d'abord pas pu obtenir de résultat de Safari sur macOS Big Sur car le test n'a pas pu se terminer. Ironiquement, étant donné ce qui se passe en ce moment dans le procès Epic contre Apple, le test Safari s'est figé lorsqu'il n'a pas pu trouver "com.epicgames.launcher://test". Mais après avoir effacé les cookies et le stockage dans Safari, nous avons réussi à exécuter la démo PoC et à générer une empreinte digitale cohérente.
Certains articles font état de résultats incohérents et Darutkin a reconnu que les paramètres/flags des navigateurs, la lenteur du matériel ou des machines virtuelles, la lenteur de la connexion Internet ou les gestes de l'utilisateur pendant la démo PoC peuvent fausser le décompte des applications.
Les différents navigateurs concernés devraient se défendre contre le scheme flooding, mais ce n'est pas le cas. "Les faiblesses de ces mécanismes de sécurité sont ce qui rend cette vulnérabilité possible", explique Darutkin. "Une combinaison de politiques CORS et de fonctionnalités de la fenêtre du navigateur peut être utilisée pour la contourner".
Par exemple, Chrome, seul parmi les principaux navigateurs, a mis en place une protection contre le scheme flooding qui nécessite une interaction de l'utilisateur pour lancer une ressource de schéma personnalisée. Cependant, les extensions Chrome ne sont pas liées par cette politique car elles doivent pouvoir ouvrir des URL personnalisées comme les liens "mailto://" sans interaction. Ainsi, l'ouverture d'un fichier PDF à l'aide de l'extension Chrome PDF Viewer intégrée réinitialise le drapeau de prévention de l'inondation du schéma et active le comptage des applications abusives.
Le problème a été signalé à l'équipe Chromium, qui étudie actuellement les moyens de le résoudre.
Dans Firefox et Safari, le scheme flooding fonctionne parce que le navigateur charge différentes pages internes selon que l'application demandée est présente ou absente, ce qui constitue toute l'information nécessaire pour ce bit dans l'identifiant 32 bits du compte d'applications. La situation est similaire pour le navigateur Tor, qui est basé sur le code de Firefox, mais nécessite l'utilisation d'éléments iframe pour vérifier la présence de l'application - et aussi du temps. La prise d'empreinte d'un utilisateur peut prendre plusieurs minutes.
En ce qui concerne les empreintes digitales des navigateurs, il n'est pas nécessaire de compter les applications lorsque la visite d'un site Web peut révéler un grand nombre de caractéristiques logicielles et matérielles. Mais les fabricants de navigateurs devraient néanmoins s'attaquer au scheme flooding.
FingerprintingJS inclut cet avertissement avec le billet de blog de Darutkin pour préciser que le type d'empreinte digitale permis par sa bibliothèque JavaScript n'est pas le même que l'empreinte digitale rendue possible par la vulnérabilité du scheme flooding :
"FingerprintJS n'utilise pas cette vulnérabilité dans ses produits et ne fournit pas de services de suivi par des tiers. Nous nous concentrons sur l'arrêt de la fraude et soutenons les tendances modernes en matière de protection de la vie privée visant à supprimer complètement le suivi par des tiers. Nous pensons que les vulnérabilités comme celle-ci devraient être discutées ouvertement pour aider les navigateurs à les corriger aussi rapidement que possible."
source :
https://www.theregister.com/2021/05/14/browser_fingerprinting_flaw/