Sécurité Cadriciel d'espionnage/gestion de témoin de connexion evercookie 0.3

Posté par (page perso) . Modéré par Nÿco.
Tags : aucun
17
25
sept.
2010
Sécurité
Cette dépêche est tirée du journal de booga.

La version 0.3 du cadriciel d'espionnage/gestion de témoin de connexion evercookie est sortie.
L'auteur, Samy Kamkar, décrit son logiciel comme étant « conçu pour rendre des données persistantes et juste ça, persistantes. En stockant ces données dans divers endroits auquel un navigateur peut accéder, si une des données était perdue (par exemple en effaçant les cookies), les données peuvent être néanmoins récupérées et réutilisées. »

Le code source est disponible. L'auteur parle en anglais d'« open source », semble-t-il dans le sens « code source ouvert » (pas spécialement libre suivant les 4 libertés donc). Il est très court (et dépourvu de licence explicite d'ailleurs, seules celles de SWFObject (MIT) et JQuery (MIT/GPL) sont précisées dans le dépôt des sources Git).

booga explique que le logiciel « est capable d’utiliser jusqu’à 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique, mais néanmoins délicieux cookie, à la moderne, mais lente webdatabase, en passant par le sympathique LSO.

Le cadriciel est capable de détecter lorsque l’un des mouchards a été effacé, et de le recréer. » Les méthodes employées sont les suivantes :
  • cookie HTTP
  • LSO (cookie flash)
  • génération dynamique d’un PNG, dans lequel la valeur du cookie sera codée en RGB, et utilisation de Canvas, pour la relecture de la valeur (très ingénieux)
  • stockage du cookie dans l’historique du navigateur
  • dans les ETags
  • userData dans Internet Explorer
  • utilisation des « Session Storage », « Local Storage », « Global Storage », « DB Storage », du HTML5

Lire la foire aux questions du site est aussi intéressant. On y apprend que les navigateurs protègent plutôt mal contre ces stockages dans l'immédiat (à l'exception du navigateur propriétaire Safari d'Apple - à moteur KHTML sous LGPL), Quel sera le prochain navigateur libre protégé ? Quid du navigateur libre Chromium développé par Google, dont le métier est la publicité et la collecte d'informations justement ?

Quid de LinuxFr.org ?
  • Pas de format fermé Flash, donc pas de cookie flash LSO.
  • Rien de fait spécialement pour le navigateur propriétaire Internet Explorer, donc rien côté userData.
  • Pas (encore) de HTML5, donc rien côté « Session Storage », « Local Storage », « Global Storage », « DB Storage »
  • Même images pour tout le monde (à l'exception des utilisations abusives de bande passante et du captcha), donc rien dans les PNG.
  • Et on ne stocke rien non plus dans l'historique du navigateur ou les ETags.
  • Bref LinuxFr.org utilise uniquement les cookies HTTP classiques.


Et pour décrire les cookies utilisés sur la partie publique du site (pas ceux dédiés à l'équipe du site donc) :
  • identification : stockage du nom du compte utilisateur (login), forcer le mode HTTPS (https, recommandé, notamment pour tous ceux qui utilisent du WiFi ou qui ne contrôle pas tous les équipements réseau entre leur navigateur et le serveur LinuxFr.org...), identifiant unique de session (unique_id) et contrôle de l'identifiant unique (md5)
  • pour le style / CSS : définir sa feuille de style personnelle, propre à un navigateur donné (style), accepter ou non la feuille de style événementielle type sortie d'une nouvelle version de distribution (specialstyleok)
  • pour la barre d'outils : activation/désactivation de la barre d'outils permettant de se déplacer rapidement dans les nouveaux commentaires et de les filtrer par seuil (enabletoolbar). Voir l'aide http://linuxfr.org/aide/#toolbar
  • pour la tribune : avec ou sans JavaScript (jssuxor), avec ou sans smileys (smileys, smiley_types), avec ou sans rafraichissement (refreshboard),
  • # S'en prémunir ?

    Posté par (page perso) . Évalué à  4 .

    Les moyens pour s'en prémunir sont pas simples :
    http://www.osnews.com/thread?442236
    • [^] # flash cookies LSO

      Posté par . Évalué à  7 .

      Je viens d'essayer l'extension better privacy et les options pour effacer les LSO ne marchent qu'en manuel. Par exemple, "effacer les LSO en quittant le navigateur" les laisse, ici.

      FlashBlock ne marche pas non plus pour empêcher les LSO.

      Les settings flash ne servent pas à grand chose, j'ai tout mis à "non, jamais, 0 stockage", je reçois toujours des LSO.

      Un lien intéressant trouvé sur mozillazine https://bugzilla.mozilla.org/show_bug.cgi?id=508167 depuis ( http://forums.mozillazine.org/viewtopic.php?f=12&t=13993(...) ).

      Il ne reste pas grand chose à faire à part rajouter des entrèes dans /etc/hosts du genre:
      127.0.0.1 quantserve.com
      127.0.0.1 flash.quantserve.com
      ou enlever flash.
      • [^] # Re: flash cookies LSO

        Posté par . Évalué à  3 .

        Il te reste NoScript et Ghostery. Avec NoScript, tu exécutes les flash un par un, donc tu ne récupères les cookies que des sites auxquels tu fais assez confiance pour lancer des vidéos flash. Avec Ghostery, même quand tu as activé les scripts avec NoScript, tu filtres les scripts identifiés comme problématiques pour les données personnelles (et seulement ceux-là).
        • [^] # Re: flash cookies LSO

          Posté par . Évalué à  4 .

          Avec NoScript, tu exécutes les flash un par un, donc tu ne récupères les cookies que des sites auxquels tu fais assez confiance pour lancer des vidéos flash.
          Quelle est la différence entre NoScript et FlashBlock qui permet ça?
          Parce que je me disais que FlashBlock bloquait tout flash, or je me retrouve avec des LSO quand même.
          • [^] # Re: flash cookies LSO

            Posté par . Évalué à  4 .

            Je ne suis pas compétent pour confirmer, mais ce point est abordé dans la FAQ de Betterprivacy.

            https://addons.mozilla.org/en-US/firefox/addon/6623/ (cherche « flashblock »)
            • [^] # Re: flash cookies LSO

              Posté par . Évalué à  7 .

              FlashBlock bloque 99 % (ou même 99.999 %) des utilisations ultra-chiantes de Flash. les rares fois où il est utile (site de videos...), un click et ça joue. si un site merdouille pour cause de check de referer dans le .swf, on peut même le whitelister.

              il ne bloque pas certains usages (au sens codage HTML) de Flash, comme visible ici :

              http://netticat.ath.cx/Misc/overrideflashblockdemo.htm

              les gus qui exploitent les failles du player Flash d'Adobe pour véroler du Windows le savent très bien.

              donc euh bon ben FlashBlock bloque des régies de pubs et des traquers. niveau sécurité il limite la casse (et accessoirement évitera souvent Firefox de ramer ou planter comme une grosse merde) mais n'est pas infaillible du tout.
              • [^] # Re: flash cookies LSO

                Posté par . Évalué à  2 .

                En revanche override flashblock échoue trivialement avec NoScript.

                Bon utiliser NoScript cela demande quelques jours pour mettre en liste blanche les sites qu'on consulte et qui en ont besoin (p.ex. linuxfr pour poster des commentaires) mais ensuite pour le flash c'est la même chose, un clic et c'est parti. Et franchement pour la sécurité y'a pas mieux.
              • [^] # Re: flash cookies LSO

                Posté par . Évalué à  2 .

                en fait on peut facilement arriver à un résultat du type "click to run that plugin" sur n'importe quel plugin en éditant le flashblock.css contenu dans flashblock.jar

                (perso je trouve NoScript très bourrin et je ne l'utilise pas, de plus j'ai une confiance limitée dans son auteur)
  • # panopticlick

    Posté par . Évalué à  5 .

    a mettre en // avec https://panopticlick.eff.org/ qui montre comment en exploitant les infos fournies par le navitageur, on peut creer une sorte d'empreinte.
  • # Gné ?

    Posté par (page perso) . Évalué à  6 .

    Bon j'ai un niveau acceptable en informatique quand même, mais là j'ai rien compris :

    « le logiciel « est capable d’utiliser jusqu’à 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique »

    Ça OK, j'ai à peu près compris - mais on ne nous dit pas à quoi ça peut bien servir. C'est plutôt méchant donc ? Un cadriciel d'espionnage, c'est donc un spyware, terme plus répandu.

    « mais néanmoins délicieux cookie, à la moderne, mais lente webdatabase, en passant par le sympathique LSO. »

    Alors là, j'avoue que le jus de boudin est limpide à côté. C'est dépêche est absconse pour moi, mais j'ai peut-être un niveau insuffisant. On a tendance à faire un parallèle avec les tentatives liberticides d'en ce moment, filtrage, mouchard d'HADOPI, etc. mais ça reste vague. Quelles applications pour ce soft par exemple ?
    • [^] # Re: Gné ?

      Posté par . Évalué à  10 .

      Ce n’est pas toi, c’est juste un journal (mal) rédigé à «la rache»
      Ce qu’il faut retenir, c’est que les régies de pub vont avoir accès à de nouvelles techniques pour suivre les gens sur internet.
      En gros: des sites ont recours à des régies de pub, dont le rôle est de trouver des annonceurs, et d’afficher les pubs sur les sites en question.
      En étant capables de mieux cibler les internautes, elles peuvent vendre leurs prestations plus chères aux annonceurs, et promettre plus de gains aux «afficheurs». Pour être capable de mieux cibler l’affichage des pubs, elles ont besoins d’identifier un internaute, et idéalement (pour elles), de connaitre ses habitudes, d’ou l’usage de cookies contenant un identifiant unique, permettant ainsi a la régie de savoir qui est cette personne qui accède au site, et quoi lui envoyer comme pub. Le problème est que de plus en plus de gens refusent, ou effacent les cookies, ce qui emmerde profondément les régies, puisque ça réduit la valeur du visiteur. Pour contourner ce problème, certaines régies ont commencé à détourner de leur usage original certaines fonctionnalités présentes dans les navigateurs modernes pour y stocker une copie de sauvegarde de l’identifiant unique du «naviguant», et le cas échéant le ressortir. La librairie mentionnée dans la dépêche est un florilège des méthodes utilisables.

      Depending on the time of day, the French go either way.

    • [^] # Re: Gné ?

      Posté par (page perso) . Évalué à  3 .

      Quelles applications pour ce soft par exemple ?

      Toutes les applications des cookies classique mais en permettant d'éviter que l'utilisateur supprime ses cookies. Donc tout ce concerne l'identification unique d'une personne.

      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Gné ?

        Posté par . Évalué à  6 .

        Au passage j’aimerais noter qu’en soi les cookies n’ont rien de maléfique. Sauf faille dans le navigateur, ils ne peuvent être lus que par le site qui les a créés, et ne peuvent pas contenir beaucoup d’information. Ils sont très pratiques pour ne pas avoir à saisir à chaque fois ses identifiants quand on visite un site (la case «Connexion automatique « sur linuxfr) par exemple.

        Depending on the time of day, the French go either way.

        • [^] # Re: Gné ?

          Posté par (page perso) . Évalué à  2 .

          Merci pour cette super explication, c'est beaucoup plus clair.
        • [^] # Re: Gné ?

          Posté par . Évalué à  5 .

          Oui mai sil y a des moyens "simple" de contourner cette limitation (sic).

          Les deux plus grands exemples étant google analytics et le fameux bouton like de facebook. Ces deux systèmes pour peux que vous ayez un cookie actif pour respectivement GMail et Facebook font le lien entre votre compte chez eux et la page que vous visitez à coup d'iframe avec la complicité ( souvent par ignorance ) des webmasters.
          • [^] # Re: Gné ?

            Posté par . Évalué à  5 .

            un autre gros enculé dans le genre, c'est AddThis.

            ils se sont pris un gros procès le mois dernier justement pour le coup de "réssuciter les cookies" : les cookies éventuellement effacés du navigateur étaient regénérés à partir des cookies stockés par Flash.

            et des éditeurs comme Disney ou Warner Bros se servaient joyeusement de cette "fonctionnalité".
  • # Rhaa, l'affiche

    Posté par . Évalué à  5 .

    Voilà, j'écris un journal tout pourri, et il se retrouve dépêchéisé, la honte...
    Quelques ajouts que j’aurais aimé faire au journal:
    Evercookie est une librairie plutôt qu’un Framework.
    Samy Kamkar avait en 2005 découvert une faille (un classique XSS), sur le site MySpace, lui permettant de se faire un million d’amis en une vingtaine d’heures.
    En fait, c’est 8 méthodes pour l’instant, mais il travaille sur l’ajout de techniques supplémentaires.

    Depending on the time of day, the French go either way.

    • [^] # Re: Rhaa, l'affiche

      Posté par (page perso) . Évalué à  3 .

      (merci pour le journal)

      Dans la série « J'ai oublié », j'ai oublié de mentionner dans la dépêche les 3 autres pistes qu'il compte ajouter (Silverlight Isolated Storage, window.name caching, Java unique key).
      Et panopticlick de l'EFF https://panopticlick.eff.org/ (cité plus haut dans les commentaires) parce que l'idée ne met venue après avoir posté la dépêche.
      • [^] # Re: Rhaa, l'affiche

        Posté par . Évalué à  2 .

        Je t'en prie, mais je m'excuse pour sa piètre rédaction.

        PS:Le drapal pour le lien vers evercookie n'est pas le bon (En_US).

        Depending on the time of day, the French go either way.

  • # ATTENTION

    Posté par (page perso) . Évalué à  4 .

    D'après Bruce Schneier, http://www.schneier.com/blog/archives/2010/09/evercookies.ht(...) , quand vous visitez le site http://samy.pl/evercookie/ (lien n°2 de cette dépêche, que 81 d'entre vous ont déjà cliqué), vous en récupérez un sur votre machine. Bonne chance pour le dégager !
    • [^] # Re: ATTENTION

      Posté par . Évalué à  3 .

      c'est un peu l'interet de sa demo - et voir comment/où le navigateur et l'OS les stockent
      • [^] # Re: ATTENTION

        Posté par (page perso) . Évalué à  3 .

        Certes, mais ça devrait être précisé dans la dépêche et peut-être même dans le titre du lien.
    • [^] # Re: ATTENTION

      Posté par . Évalué à  1 .

      Et vive NoScript !! Veni, vidi, pas d'evercookie. :)
  • # Forcer le mode HTTPS

    Posté par (page perso) . Évalué à  0 .

    C'est une option de LinuxFr? Je ne la trouve aps dans les préférences du site...
    • [^] # Re: Forcer le mode HTTPS

      Posté par . Évalué à  2 .

      https://www.eff.org/https-everywhere
      (addon qui force le HTTPS sur tous les sites, pour FF)

      Depending on the time of day, the French go either way.

    • [^] # Re: Forcer le mode HTTPS

      Posté par (page perso) . Évalué à  5 .

      Il suffit de se loguer en HTTPS (ce que tout le monde devrait faire) pour forcer la navigation en HTTPS.
      • [^] # Re: Forcer le mode HTTPS

        Posté par . Évalué à  1 .

        ce que tout le monde devrait faire
        Dans quel but ?
        Parce que bon, si mon voisin bricole mon réseau et espionne mes allées-venues sur linuxfr, ce n'est vraiment pas grave (de mon point de vue). Et s'il modifie mes contributions, je préfère m'en rendre compte plutôt que tenter de me blinder et lui laisser le temps d'apprendre de meilleurs coups.

        Ca risque de ne pas être mon voisin vu que je suis en filaire, mais ça pourrait être une personne ayant quelque part accès au réseau en moi et la machine linuxfr. Cette personne pourrait même récupérer mon mot de passe, whaou, terrible. Mon mot de passe sur linuxfr.
        Encore une fois, je préfère m'en rendre compte. Le principe est le même pour les pots de miel.

        Pour mes connexions à mes (très nombreux) comptes en banque (dans des paradis fiscaux), c'est une autre histoire.
        • [^] # Re: Forcer le mode HTTPS

          Posté par . Évalué à  1 .

          Cette personne pourrait même récupérer mon mot de passe, whaou, terrible. Mon mot de passe sur linuxfr.
          Ton mot de passe, ton adresse mail et ton pseudo.

          Pour peu que tu utilises ce mot de passe ailleurs.. ;+)

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Forcer le mode HTTPS

            Posté par . Évalué à  2 .

            Ca risque rien alors. Mon mot de passe est undeuxtrois et je ne l'utilise qu'ici.

            Sinon, ta réponse ne me donne pas franchement d'arguments par rapport à ce que j'ai écrit.
            • [^] # Re: Forcer le mode HTTPS

              Posté par . Évalué à  2 .

              Ca risque rien alors. Mon mot de passe est undeuxtrois : faux! Enfin plus maintenant.
        • [^] # Re: Forcer le mode HTTPS

          Posté par (page perso) . Évalué à  5 .

          Si tu ne chiffres que tes connexions importantes, il est beaucoup plus facile de les espionner que si elles sont noyées parmi nombre d'autres connexions triviales mais chiffrées également.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question. | Free Softwares Users Group Arlon, Belgique : http://fsugar.be/

          • [^] # Re: Forcer le mode HTTPS

            Posté par . Évalué à  3 .

            C'est valable pour les mails, ou l'on ne sait pas si tu parles de quelque chose d'important ou pas, mais pour les connections a des sites ouebe, on sait si tu accedes a ubs.com, ou linuxfr.org.

            Depending on the time of day, the French go either way.

            • [^] # Re: Forcer le mode HTTPS

              Posté par . Évalué à  8 .

              Ce que tu dis est valable dans le cas d'un espionnage ciblé (typiquement, ton voisin qui sniffe ton WiFi).

              Par contre, dans un contexte de flicage et filtrage d'Internet, plus il y a de flux chiffrés, plus ça rend délicat le fait de faire du "DPI", de la surveillance d'usages et de contenus, et mieux c'est.
              Ça coûte toujours moins cher de chiffrer que de surveiller des gens qui chiffrent, donc chiffrons, même si ce n'est pas nécessaire.

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Forcer le mode HTTPS

              Posté par . Évalué à  2 .

              Et qui te dit que les admins DLFP ne s'échangent pas des informations confidentielles sur https://linuxfr.org/Admin/Confidentiel ? On verra qu'il accède à linuxfr.org, mais pas ce qui est fait derrière. (bon, on peut aussi déduire des infos de la taille des données échangées, mais c'est exactement pareil que pour un mail chiffré, "on" sait à qui il est destiné, et sa taille)

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

              • [^] # Re: Forcer le mode HTTPS

                Posté par . Évalué à  1 .

                c'est exactement pareil que pour un mail chiffré, "on" sait à qui il est destiné, et sa taille
                Rien ne t'empêche de rajouter du bruit en début et fin de mail. Ça évite en plus d'éventuelles attaques par message clair connu, et si quelqu'un t'espionne et stocke toutes tes communications, ça lui fait toujours ça de plus en place perdue.
        • [^] # Re: Forcer le mode HTTPS

          Posté par (page perso) . Évalué à  2 .

          > Dans quel but ?

          Parce que sinon on peut récupérer ton adresse de courriel (et donc souvent tes nom et prénom, associés à ton pseudo), connaître ton ou tes adresses IP (et savoir quelle version éventuellement trouée d'un navigateur tu utilises), écrire des choses à ton nom, inférer tes comptes / mots de passe sur d'autres sites, lire tes éventuels messages perso sur la messagerie interne du site, faire de toi un délinquant hadopiesque, etc.

          ça ne coûte rien d'être en HTTPS pour linuxfr.org, et ça habitue à ne pas faire n'importe quoi en wifi et en général.
        • [^] # Re: Forcer le mode HTTPS

          Posté par . Évalué à  1 .

          Dans quel but ?
          Parce que bon, si mon voisin

          regarde par ma fenêtre et espionne mes allées et venues entre mon PC, ma pizza et mes bières...

          Sans rire, tu ne mets pas de rideaux à tes fenêtres ?
  • # virtualisation

    Posté par . Évalué à  3 .

    Une méthode pour éviter tout cela : faire tourner le navigateur dans une machine virtuelle non persistante (rien n'est gardé après reboot).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.