Récemment, les chercheurs de sécurité de la sécurité de Ruhr-Universität Bochum (RUB) et de l'Université des sciences appliquées de Niederrhein ont découvert 14 nouveaux types d'attaques de fuites de cross-sites XS-Leak» contre les navigateurs Web modernes, y compris Google Chrome, Microsoft Edge, Safari et Mozilla Firefox.
Cela permet d'obtenir des informations sur les sites visités.
Ce tutoriel vous guide afin d'utiliser XSinator, un site qui vous permet de tester votre navigateur WEB et vos protections contre ce type de fuites de données.
Qu'est-ce que les fuites XS-Leak
Les fuites de cross-sites (XS-Leaks) décrivent un bogue côté client qui permet un attaquant pour collecter des informations. Ils constituent une menace importante pour la vie privée sur Internet puisque la simple visite d'une page Web peut révéler énormément d'informations, sur les sites ouverts.
Les catégories des fuites :
- Code de statut. Un attaquant peut distinguer différents codes d'état de réponse HTTP (par exemple, erreurs de serveur, erreurs clientes, ou des erreurs d'authentification).
- Utilisation de l'API. Permet à un attaquant de détecter l'utilisation des API Web à travers les pages, permettant à un attaquant d'inférer Si une page d'origine croisée utilise une API Web JavaScript spécifique.
- Service Worker. Un attaquant est capable de détecter l'utilisation des Service Worker. Cela peut donc permettre de connaître les sites ouverts à un instant T
- Redirection. Il est possible de détecter si une application Web a redirigé l'utilisateur à une page différente. Ceci n'est pas limité aux redirections HTTP mais inclut également les redirections déclenchées par JavaScript ou HTML.
- Contenu de la page. Un attaquant peut détecter du contenu dans des documents ou des ressources HTML. La détection comprend des attributs HTML, des ressources intégrées et règles CSS.
- Informations Audio ou Vidéo : Des informations sur les vidéos tels que la longueur ou les dimensions de la vidéo peuvent être récupérées par un attaquant
- En-tête HTTP. Dans certains cas, la présence d'en-têtes HTTP peut être détectées. Cela comprend des en-têtes telles que des options x-images, du type de contenu et Disposition de contenu
On peut imaginer le scénario suivant :
La victime (1) visites un site Web contrôlé par l'attaquant, qui (2) utilise une méthode pour demander de charger une ressource. L'attaquant utilise ensuite (3) une technique de fuite à (4) déterminer l'état de utilisateur de la victime.
XSinator : Faire un test XS-Leaks Browser de son navigateur WEB
Le test XSinator comment ça marche ?
Le test XSinator permet de soumettre votre navigateurs internet à ces fuites de données afin de déterminer si votre navigateur internet est vulnérable.
Cela permet de tester vos protections contre ce type de fuites.
XSinator effectue une trentaines de tests de fuites et pour chacun d'eux vous indique si votre navigateur est vulnérable.
Le fonctionnement est simple puisque vous lancez le test et obtenez le résultat pour chaque fuite.
Enfin vous pouvez comparer votre navigateur WEB et sa configuration aux autres selon la version, plateforme.
Tester son navigateur internet contre les XS-Leaks
- Accédez au site Xsinator
- Puis cliquez sur Run your Browser
- Puis cliquez sur Run All Tests
- Ensuite patientez durant le test. Une popup s'ouvre alors, n'y touchez pas. De même si des propositions d'ouverture de fichiers s'ouvre, ne touchez à rien.
- Le résultat des tests s'affiche en ligne avec des couleurs :
- Vert - votre navigateur internet est protégé contre le test XS-Leak
- Jaune - le test ne s'applique pas
- Rouge - votre navigateur internet est vulnérable au test XS-Leak
XSinator collecte les résultats des tests afin d'effectuer un comparatif des navigateurs internet.
Vous pouvez aussi comparer votre résultat aux autres navigateurs internet :
- Cliquez sur Compare your results
- Votre navigateur internet se trouve dans la première colonne "Your Browser". A droite, se trouvent tous les autres navigateurs internet par version. Enfin on retrouve le même code de couleurs vert, rouge ou jaune
- Au besoin, vous pouvez filtrer la comparaison à un navigateur internet spécifique et même par version et plateforme (Windows, Linux, MacOSX)
Si vous êtes interresé par d'autres sites afin de tester vos protections :
Les navigateurs internet contre les XS-Leak
Le site fournit aussi un tableau indiquant les navigateurs internet vulnérables à telles ou telles fuites.
Voici les tests Xsinator sur Mozilla Firefox et Google Chrome sans aucune extension de protection.
Mozilla Firefox sans protection 16/37 (43% vulnérables aux fuites XS) :
Google Chrome sans protection 22/37 (59% vulnérables aux fuites XS :
Sur Mozilla Firefox, avec uBlock actif, on tombe à 11/37
Si on ajoute Privacy Possum à uBlock, on tombe à 10/37.
Comment se protéger des fuites XS-Leaks
uBlock par défaut n'aide pas beaucoup puisqu'il s'agit principalement de bloquer des domaines à travers des sites noires. Toutefois, il pourrait bloquer les bouts de codes utilisées dans ces fuites mais probablement pas l'intégralité.
Enfin le filtrage dynamique peut aider.
Ensuite, on tombe sur les conseils habituels avec les extensions de protection de la vie privée.
La configuration du navigateur internet peut aider mais là malheureusement, il n'y a que Mozilla Firefox qui laisse vraiment la possibilité de configurer aux petits oignons.
- Les meilleurs extensions Google chrome de protection de la vie privée
- Mozilla Firefox : user.js pour se protéger du pistage et tracking sur internet
Par exemple, avec le navigateur WEB Vivaldi (à base de Chromium) + uBlock et le filtrage dynamique et Trace réglé en optimal, on n'obtient plus que quatre résultats positifs.
Mais c'est surtout sur la conception du navigateur internet qu'il faut travailler.
Très certainement que les éditeurs des navigateurs internet vont publier des mises à jour afin de limite ces fuites.
Liens
L’article XSinator : Faire un test XS-Leaks Browser de son navigateur WEB est apparu en premier sur malekal.com.
0 Commentaires