Utilisateurs de produits Apple, HTTPS peut être utilisé pour vous traquer !

Mac

Sam Greenhalgh, ingénieur logiciel anglais, a une nouvelle qui n'est pas des plus rassurantes. Vous pensiez être en parfaite sécurité grâce au https ? Il semblerait qu'une de ses fonctionnalités permette de le muer en outil de traçage très performant !

En farfouillant dans les entrailles du protocole de sécurité, notre expert s’est aperçu qu’on pouvait le transformer en « super cookie » si tant est que l’on sache où chercher. Vous ne connaissez sans doute pas cette fonction à moins d’être particulièrement versé dans le domaine. HSTS (HTTP Strict Transport Security) est ici pointé du doigt et concrètement, il s’agit d’un mécanisme qui aide les sites à rediriger les utilisateurs d’une page HTTP vers la version HTTPS du site.

Afin d’éviter de renvoyer à chaque fois des informations avant la redirection, le code indique aux navigateurs de se rappeler des règles HSTS appliquées au préalable. Pratique… Seulement, Greenhalgh démontre que cela attribue un code unique pour chaque site HTTPS, code consultable pour n’importe quel site dans les paramètres de certains navigateurs.

« Une fois que le numéro est enregistré, il peut être lu par d’autres sites à l’avenir. La lecture du numéro nécessite simplement d’envoyer des requêtes tests pour savoir sur les adresses web sont redirigées ou non ».

Au mieux, il est possible de traquer l’utilisateur… Toutefois avec de mauvaises intentions, il devient possible de rediriger vers des pages corrompues, car les navigateurs n’appliquent pas les mêmes règles de sécurité aux vrais cookies qu’à HSTS.

Tout dépend évidemment du navigateur, Internet Explorer ne supporte même pas le HSTS (IE…), Chrome, Firefox et Opera disposent de mode de navigation privée, ce qui efface les en-têtes HSTS. Qui est le plus susceptible d’être corrompu ? Laissons la parole à l’expert…

« Lorsque vous l’utilisez sur un terminal Apple, il semble n’y avoir aucun moyen pour l’utilisateur d’effacer les en-têtes HSTS. Ces derniers sont mêmes synchronisés avec le service iCloud et seront donc restaurés en cas d’effacement d’un terminal. Dans ce cas, le numéro HSTS laisse une trace indélébile. »

Tags :Sources :radicalresearch
Dernières Questions sur UberGizmo Help
  1. Slt, concretament le HTTPS:// ça fait quelques temps que l on dit que ce n’est pas sécurisé. De plus en 2014 19% des possesseurs d iphones ce sont fait pirater. Ce n’est pas du apple bashing, mais que apple arrêté de faire croire que leur système est super sécurisé. Même blackberry qui est plus sécurisé ne dit pas cela

      1. BB est beaucoup plus fermé (donc un peu plus sécurisé parce que moins connu), mais toute la connaissance est détenu par BB, qui reste une boite américaine. Pas étonnant que niveau gouvernement, on ne soit pas très chaud pour confier son activité à une boite étrangère.

    1. Quel rapport avec la choucroute ? on parle pas de https, mais de HSTS…

      Https EST sécurisé, c’est juste qu’il y a différents niveau de cryptage et que s’il est mal paramétré au serveur, ce n’est pas suffisant.
      Quand au reste, iphone BB et consort, c’est complètement hors de propos de la recherche présentée ici (mais faut dire que l’article est super pas clair, je vais tenter de reexpliquer plus bas…)

  2. Slt, ré les blackberry ne sont plus utilisés parce-que les européens pensaient que blackberry donnés les infos aux US, mais l OTAN. Et tout le G7 et une partie du G20 utilise les blackberry désolé pour toi joul

  3. HSTS, c’est une directive que le site communique au browser pour lui dire « je suis un site sécurisé, appelle moi toujours en https ».
    Ainsi, le browser se souvient de cette directive et le coup d’après, si on attaque le site en http au lieu de https, le browser force le https AVANT même la première requête sur le site (cela permet d’aviter qu’un pirate en mode Man In The Middle traffique la redirection en https ou capte l’échange entre le client et le serveur.

    Ce que fait le chercheur, c’est qu’il utilise le fait que la redirection soit stockée ou non comme information de taggage du browser . Pour ce faire, avec un site, il a une information type vrai/faux ou 0/1 (ie un « bit »). Du coup, il fait en sorte que le navigateur attaque un paquet de sites (qu’il contrôle). Cela lui donne ainsi autant de bits que de sites (8 sites pour un octet, en général un identifiant de tracking, il faut compter au moins 6 octets, soit 48 sites/serveur/DNS).
    Cet identifiant peut être transmis à des sites tiers (sous réserve qu’ils s’interconnectent avec le système de tracking -partenariat avec brouzoufs, à n’en pas douter-).

    Cet usage de tracking s’applique à TOUS les navigateurs, sauf à IE qui n’implémente pas HSTS (donc est vulnérables aux attaques MITM exploitant la redirection HTTP->HTTPS : perso, je préfère être tracké que hacké, mais c’est comme vous le sentez). Elle fonctionne également quand on est en mode « navigation privée », le temps de la session privée.

    Safari (IOS,Mac, et Safari Windows aussi pour ceux qui s’en servent encore) ne permet pas, à l’instar des autres navigateurs, de cleaner les directives HSTS (donc les utilisateurs Safari ne peuvent pas « tuer » cette technique de tracking). Les autres le permettent, en « nettoyant les cookie ».
    A noter qu’ainsi, ils vont potentiellement réattaquer une fois le site « legit » en http avant redirection, ils redeviennent donc vulnérables à l’attaque MITM (en one shot, jusqu’au prochain nettoyage).

    Voilà l’explication.

    En bref, le titre focus sur les utilisateur iOS, incrimine HTTPS, là où ça concerne tout le monde et uniquement la mécanique HSTS.
    Flo, sans vouloir hurler avec les loups, ce serait bien de comprendre l’article que tu rapportes, parce que là, je suis pas sûr que tu aies tout compris (ou alors c’est pas bien expliqué).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité