slurps sécurité - kick #22 - votre navigateur en dit trop !

Publié le 24 mai 2012 par Orangebusinessservices

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps présentation

Cookies, SuperCookies, widgets …notre navigation internet est tracée. Je ne vous apprends rien en vous disant que toutes ces données sont décortiquées et étudiées afin d'être utilisées, notamment pour effectuer de la publicité ciblée (géographique et comportementale).

Pour pallier à ce phénomène, de nombreuses solutions se développent allant du blocage des Cookies à l'utilisation d'un Proxy, d'un VPN ou encore de réseaux spécifiques comme le célèbre TOR.

Malheureusement, cela ne serait potentiellement pas suffisant. En effet, depuis 2010, l'EFF : Electronic Frontier Foundation mène une étude sur l'empreinte des navigateurs Internet. L'idée est de déterminer si le comportement de votre navigateur est suffisamment spécifique pour permettre son identification sans passer par l'intermédiaire de Cookies.

slurps protocole

L'EFF mène cette étude au travers du site : https://panopticlick.eff.org/ Ouvert au public, le site vous permet de tester l'unicité de votre navigateur en collectant un ensemble d'informations provenant des requêtes HTTP, des applets Java ou Flash et de JavaScript.

En HTTP, Panopticlick va notamment comparer :

  • Le User-Agent
  • Les headers HTTP-ACCEPT
  • L'activation ou nom des Cookies

En JavaScript :

  • Le fuseau horaire
  • La résolution d'écran
  • Les plugins (+ version)
  • Les types de MIME

Et enfin en Java & Flash, les types de polices disponibles ainsi que leurs ordres d'apparition.

Comme on pouvait s'en douter sur l'ensemble des données collectées, l'EFF estime que les données les plus caractéristiques sont la liste des plugins, la liste des polices suivies par le User-Agent.

slurps résultats

Sans vous faire attendre plus longtemps voici quelques résultats :

  • 83.6% des empreintes enregistrées sont uniques
  • 94.2% sont uniques en présence d'Adobe Flash ou d'une JVM

Malheureusement, l'étude tend à démontrer que cette méthode d'empreinte est efficace. Un navigateur serait donc en grande majorité identifiable à un instant T.

Et là vous allez dire : "oui, mais justement cette empreinte est changeante : mise à jour du navigateur, plugins…" Certes, mais les personnes de l'EFF y ont déjà pensé et, par un savant algorithme, annoncent pouvoir identifier à 65% la modification d'une empreinte.

Il est ainsi fort à parier que ce système d'empreinte de navigateur a un bel avenir au côté de nos Cookies. Sans compter d'ailleurs qu'il s'agit ici plus d'une "proof of concept" qu'une solution définitive. En effet, il reste encore de nombreuses variables potentiellement intéressantes à ajouter comme Active-X, Silverlight ou encore du CSS introspection.

slurps solutions ?

Des solutions ? Oui et non. Les principes de solutions sont de deux sortes.

La première optique est d'empêcher au maximum la communication d'informations en tout genre. La première défense passerait donc, par exemple, par la désactivation du JavaScript ou l'utilisation de plugins comme NoScript pour une gestion plus souple de la problématique.

La seconde optique est la "standardisation" des informations envoyées par son navigateur, afin de le rendre le plus commun possible. Les plus avancés sur le sujet semblent encore une fois être les équipes du réseau TOR avec le TorButton qui permet entre autre de standardiser certaines caractéristiques renvoyées par le navigateur. (Malheureusement cela implique l'utilisation du réseau TOR)

Une autre solution hypothétique serait que les développeurs de navigateur intègrent directement dans le mode de navigation privée des mesures anti-empreinte comme la standardisation du User-Agent, de la liste de polices…

Paradoxalement, et c'est là où se trouve la fourberie, s'armer de mesure anti-empreinte, si elles ne sont pas assez déployées en terme de nombre, peut à l'inverse vous mettre sous les feux de la rampe. En effet, très concrètement, un navigateur complètement "sécurisé" sera statistiquement beaucoup moins commun que le navigateur de monsieur tout le monde.

Bruno