Abus des supercookies ‘HTTP Strict Transport Security’ (HSTS) pour le suivi sans cookies

Table des matières

• Les sites Web pourraient utiliser une fonctionnalité de sécurité de votre iPhone/iPad pour suivre votre navigation même si vous effacez l’historique du navigateur.
• Mise à jour

Les sites Web pourraient utiliser une fonctionnalité de sécurité de votre iPhone/iPad pour suivre votre navigation même si vous effacez l’historique du navigateur.

C’est un conseil bien observé de s’assurer que vous utilisez une connexion sécurisée chaque fois que vous visitez un site Web où vous pourriez partager des informations sensibles ou personnelles. Lorsque vous visitez un site Web avec une connexion sécurisée, votre navigateur Web affiche une icône de cadenas. L’icône indique que votre connexion au site est cryptée et ne peut pas être altérée ou interceptée.

Démonstration

`` …
C’est une valeur unique qui a été générée par JavaScript dans cette page. La page tente de stocker cette valeur dans votre navigateur Web et de la lire à nouveau lorsque vous visitez la page à l’avenir. Différents navigateurs Web ne se comportent pas exactement de la même manière. Pour voir comment votre navigateur fonctionne, essayez ces tests et voyez si la valeur reste la même : - Rafraîchissez la page. - Ouvrez la même adresse Web dans une fenêtre « privée »/« incognito ». - Effacez vos cookies de navigateur et rafraîchissez la page. - Visitez la page sur un autre appareil iOS, synchronisé avec le même compte iCloud. Si la valeur reste la même pendant l’une de ces étapes, cette technique pourrait être utilisée pour suivre vos habitudes de navigation. C’est une valeur unique qui a été générée par JavaScript dans cette page. La page tente de stocker cette valeur dans votre navigateur Web et de la lire à nouveau lorsque vous visitez la page à l’avenir. Une fonctionnalité de sécurité des navigateurs Web modernes appelée « HTTP Strict Transport Security » (HSTS) permet à un site Web d’indiquer qu’il doit toujours être accessible via une connexion sécurisée. Si vous visitez un site qui a HSTS activé, votre navigateur Web se souviendra de ce drapeau et garantira que la connexion est sécurisée chaque fois que vous visiterez le site à l’avenir. Les visites ultérieures sur le site sans utiliser une connexion sécurisée sont automatiquement redirigées par le navigateur Web vers la variante sécurisée de l’adresse Web, commençant par https:// Cette redirection automatique protège votre accès au site contre l’interception, mais pourrait également être abusée par un site malveillant pour stocker un numéro unique afin de suivre votre navigateur Web. Un numéro peut être codé sous forme d’une série de bits (valeurs vraies et fausses) et stocké en accédant à un ensemble d’adresses Web. Chaque adresse Web répond avec HSTS activé ou désactivé selon l’adresse. Une fois le numéro stocké, il pourrait être lu par d’autres sites à l’avenir. Lire le numéro nécessite simplement de tester si les demandes pour les mêmes adresses Web sont redirigées ou non. Utiliser HSTS pour suivre vos habitudes de navigation évite les fonctionnalités des navigateurs Web conçues pour contrôler des mécanismes de suivi plus normaux basés sur les « cookies ». Utiliser des modes « incognito » ou « privés » signifie que les cookies existants ne seront pas partagés avec les sites que vous visitez. Les navigateurs vous permettent également de supprimer complètement les cookies qui pourraient être utilisés pour vous suivre. Parce que HSTS est une fonctionnalité de sécurité et n’est pas destinée à être utilisée pour le suivi, les navigateurs Web la traitent différemment des cookies. Ce n’est que par une mauvaise application intentionnelle que HSTS peut être exploité pour suivre les utilisateurs. Certains navigateurs tels que Google Chrome, Firefox et Opera atténuent le problème. Effacer les cookies sur ces navigateurs efface également les drapeaux HSTS, donc toute valeur stockée sera supprimée. Cependant, contrairement aux cookies, les drapeaux HSTS existants sont toujours partagés avec les sites lors de l’utilisation de fenêtres « incognito » ou « privées ». L’impact est qu’il est possible pour un site de vous suivre même si vous choisissez d’utiliser des fonctionnalités de navigation « incognito » ou « privées » dans le but d’éviter un tel suivi. Beaucoup plus inquiétant est le comportement affiché par Safari, le navigateur par défaut pour iPad et iPhone. Lors de l’utilisation de Safari sur un appareil Apple, il semble n’y avoir aucun moyen pour l’utilisateur d’effacer les drapeaux HSTS. Les drapeaux HSTS sont même synchronisés avec le service iCloud, donc ils seront restaurés si l’appareil est effacé. Dans ce cas, l’appareil peut effectivement être « marqué » avec une valeur de suivi indélébile que vous n’avez aucun moyen de supprimer. Une exception notable est Internet Explorer qui n’a pas de support pour HSTS (bien qu’il soit en développement au moment de l’écriture), donc il n’est pas vulnérable à cette technique. Je pensais initialement que ce n’était pas une avenue qui avait été explorée auparavant. Cependant, Mikhail Davidov a écrit sur le potentiel abus de HSTS en avril 2012, bien que je ne sois pas au courant d’une réponse directe à ses observations par les fournisseurs de navigateurs. Je ne suis pas au courant de la technique étant utilisée pour suivre les utilisateurs dans la nature, bien que cela ne veuille pas dire qu’elle ne l’est pas. J’aimerais contacter le reste de la communauté technique pour envisager comment cela pourrait être atténué tout en tirant autant de valeur que possible de HSTS. Si vous souhaitez me contacter concernant ces informations, veuillez m’envoyer un e-mail à [email protected]. ## Mise à jour 4 janvier 2015 Les membres de l’équipe de sécurité de Google Chrome ont eu la gentillesse de mettre en lumière les discussions qui ont conduit à un certain nombre de correctifs et de retours à la base de code chromium dans des tentatives d’atténuer les effets du problème que cet article démontre. Vous pouvez en lire plus ici et ici En fin de compte, ils concluent qu’il y a un compromis nécessaire entre sécurité et confidentialité. La FAQ de sécurité de chromium poursuit en disant que « vaincre un tel fingerprinting n’est probablement pas pratique sans des changements fondamentaux dans le fonctionnement du Web ». L’analyse technique des mécanismes d’identification des clients parle de la possibilité de cette technique, ainsi que de beaucoup d’autres, en disant « Dans une tentative d’équilibrer sécurité et confidentialité, tous les pins HSTS définis lors de la navigation normale sont transférés au mode incognito dans Chrome ; il n’y a cependant pas de propagation dans l’autre sens. » Cet article a été publié avec la permission de Sam Greenhalgh dans son intégralité. Vous pouvez également lire l’article complet sur Radical Research.