Partager la publication "JavaScript : quand une faille dévoile votre historique internet"
Des chercheurs en informatique ont réussi à élaborer une nouvelle attaque par fingerprinting permettant de deviner l’historique de navigation d’un utilisateur grâce à une faille sur JavaScript.
Vous pensez qu’en utilisant un navigateur comme Tor personne ne pourra accéder à votre historique de navigation ? Eh bien, détrompez-vous ! Ce type de navigateur est certes performant pour la protection de la vie privée. Toutefois, une faille sur JavaScript réussira à vous trahir, quel que soit le navigateur que vous utilisez. Du moins, c’est le résultat d’une étude menée par une équipe de chercheurs provenant de l’Université Ben-Gurion de Negev (Israël), l’Université d’Adélaïde (Australie) et l’Université de Princeton (Etats-Unis). Elle a élaboré un tout nouveau genre d’attaque par fingerprinting en exploitant la faille découverte sur JavaScript.
Une faille de JavaScript donne accès à tout l’historique de l’utilisateur
Pour comprendre la technique utilisée par les chercheurs, il faudra avant tout comprendre ce qu’est une attaque par fingerprinting. Il s’agit d’une méthode qui consiste à analyser le trafic d’un utilisateur afin d’avoir accès à son historique de navigation. La méthode utilisée par les chercheurs s’apparente à celle-ci. Ils exécutent un code malicieux en JavaScript sur une page web. Un code qui leur permet d’exploiter le cache commun des navigateurs de l’appareil et de transmettre les données de l’analyse du trafic sur ceux-ci. Une fois que c’est fait, les chercheurs ont à leur disposition une quantité importante de données formant ce qu’ils appellent « Memorygram ». Ce dernier renferme des informations sur le Ping, le temps de chargement des pages, la durée d’accès au cache, etc. Chaque « Memorygram » se rapporte à un site en particulier, ce qui permet aux chercheurs de savoir quel site l’utilisateur a visité.
Que pensez-vous de cette faille sur JavaScript et de la technique d’attaque par fingerprinting développée par ces chercheurs ? N’hésitez pas à partager votre avis dans les commentaires.
