Cybersécurité
Nouvelle attaque « Clone » et abuse de votre ID en ligne unique via la fingerprinting du navigateur
Les chercheurs ont développé une méthode pour copier les caractéristiques d’un navigateur web d’une victime en utilisant des techniques de fingerprinting du navigateur, et par la suite « usurper » l’identité de la victime.
La technique a de multiples implications en matière de sécurité : l’attaquant peut effectuer des activités en ligne nuisibles ou même illégales, avec le « dossier » de ces activités attribué à l’utilisateur ; et les défenses d’authentification à deux facteurs peuvent être compromises, car un site d’authentification pense que l’utilisateur a été reconnu avec succès, sur la base du profil de fingerprinting du navigateur volé.
En outre, le « clone fantôme » de l’attaquant peut visiter des sites qui modifient le type de publicités livrées à ce profil d’utilisateur, ce qui signifie que l’utilisateur commencera à recevoir du contenu publicitaire sans rapport avec ses activités de navigation réelles. De plus, l’attaquant peut en déduire beaucoup sur la victime en fonction de la manière dont d’autres sites (ignorants) répondent à l’ID de navigateur contrefait.
Le document est intitulé Gummy Browsers : Spoofing ciblé de navigateur contre les techniques de fingerprinting de pointe, et provient de chercheurs de l’Université Texas A&M et de l’Université de Floride à Gainesville.
Vue d’ensemble de la méthodologie Gummy Browsers. Source : https://arxiv.org/pdf/2110.10129.pdf
Gummy Browsers
Les « navigateurs gummy » éponymes sont des copies clonées du navigateur de la victime, nommés d’après l’attaque « Gummy Fingers » signalée au début des années 2000, qui répliquait les empreintes digitales réelles de la victime avec des copies en gélatine pour contourner les systèmes d’identification par empreintes digitales.
Les auteurs déclarent :
‘L’objectif principal de Gummy Browsers est de tromper le serveur web pour qu’il croie qu’un utilisateur légitime accède à ses services afin qu’il puisse apprendre des informations sensibles sur l’utilisateur (par exemple, les intérêts de l’utilisateur en fonction des publicités personnalisées), ou contourner divers schémas de sécurité (par exemple, l’authentification et la détection de la fraude) qui reposent sur la fingerprinting du navigateur.’
Ils poursuivent :
‘Malheureusement, nous identifions un vecteur de menace important contre de tels algorithmes de liaison. Plus précisément, nous constatons qu’un attaquant peut capturer et usurper les caractéristiques du navigateur d’une victime, et donc peut « présenter » son propre navigateur comme celui de la victime lors de la connexion à un site Web.’
Les auteurs soutiennent que les techniques de clonage de fingerprinting du navigateur qu’ils ont développées menacent ‘un impact dévastateur et durable sur la vie privée et la sécurité en ligne des utilisateurs’.
Lors du test du système contre deux systèmes de fingerprinting, FPStalker et Panopticlick de la Electronic Frontier Foundation, les auteurs ont constaté que leur système pouvait simuler avec succès les informations utilisateur capturées presque tout le temps, malgré le fait que le système ne prenait pas en compte plusieurs attributs, notamment la fingerprinting de la pile TCP/IP , les capteurs matériels et les solveurs DNS.
Les auteurs soutiennent également que la victime sera complètement inconsciente de l’attaque, ce qui rend difficile de la contourner.
Méthodologie
Les profils de fingerprinting du navigateur sont générés par de multiples facteurs de la configuration du navigateur web de l’utilisateur. Ironiquement, de nombreuses défenses conçues pour protéger la vie privée, y compris l’installation d’extensions de blocage des publicités, peuvent en fait rendre l’empreinte du navigateur plus distincte et plus facile à cibler.
La fingerprinting du navigateur ne dépend pas des cookies ou des données de session, mais offre plutôt une vue d’ensemble largement inévitable de la configuration de l’utilisateur à tout domaine que l’utilisateur parcourt, si ce domaine est configuré pour exploiter ces informations.
En dehors des pratiques ouvertement malveillantes, la fingerprinting est généralement utilisée pour cibler les publicités auprès des utilisateurs, pour la détection de la fraude, et pour l’authentification de l’utilisateur (une raison pour laquelle l’ajout d’extensions ou d’autres modifications apportées au navigateur peut amener les sites à exiger une réauthentification, sur la base du fait que le profil du navigateur a changé depuis la dernière visite).
La méthode proposée par les chercheurs ne nécessite que la victime visite un site Web configuré pour enregistrer son empreinte de navigateur – une pratique que récemment une étude a estimé est répandue sur plus de 10 % des 100 000 premiers sites Web, et qui fait partie de l’apprentissage fédéré de cohortes (FLOC) de Google, l’alternative proposée par le géant du Web au suivi basé sur les cookies. C’est également une technologie centrale dans les plateformes d’adtech en général, atteignant donc beaucoup plus de 10 % de sites identifiés dans l’étude mentionnée ci-dessus.
Facettes typiques qui peuvent être extraites du navigateur d’un utilisateur sans avoir besoin de cookies.
Les identificateurs qui peuvent être extraits d’une visite utilisateur (collectés via les API JavaScript et les en-têtes HTTP) dans un profil de navigateur clonable incluent les paramètres de langue, le système d’exploitation, les versions et les extensions du navigateur, les plugins installés, la résolution d’écran, le matériel, la profondeur de couleur, le fuseau horaire, les horodatages, les polices installées, les caractéristiques du canevas, la chaîne d’agent utilisateur, les en-têtes de requête HTTP, l’adresse IP et les paramètres de langue du périphérique, entre autres. Sans accès à la plupart de ces caractéristiques, une grande partie de la fonctionnalité Web attendue ne serait pas possible.
Extraction d’informations via les réponses des réseaux publicitaires
Les auteurs notent que les données publicitaires sur la victime sont assez faciles à exposer en usurpant son profil de navigateur, et peuvent être utilement exploitées :
‘[Si] la fingerprinting du navigateur est utilisée pour des publicités personnalisées et ciblées, le serveur Web, qui héberge un site Web innocent, pousserait les mêmes ou des publicités similaires vers le navigateur de l’attaquant comme celles qui auraient été poussées vers le navigateur de la victime, car le serveur Web considère le navigateur de l’attaquant comme celui de la victime. Sur la base des publicités personnalisées (par exemple, liées à des produits pour femmes enceintes, des médicaments et des marques), l’attaquant peut déduire diverses informations sensibles sur la victime (par exemple, le sexe, le groupe d’âge, l’état de santé, les intérêts, le niveau de salaire, etc.), voire même construire un profil de comportement personnel de la victime.
‘La fuite de ces informations personnelles et privées peut constituer une menace effrayante pour la vie privée de l’utilisateur.’
Puisque les empreintes digitales du navigateur changent avec le temps, maintenir l’utilisateur qui revient sur le site d’attaque permettra de garder le profil cloné à jour, mais les auteurs soutiennent qu’un clonage unique peut toujours permettre des périodes d’attaque efficace à long terme.
Usurpation d’authentification utilisateur
Faire en sorte qu’un système d’authentification renonce à l’authentification à deux facteurs est un avantage pour les cybercriminels. Comme le notent les auteurs du nouveau document, de nombreux cadres d’authentification actuels (2FA) utilisent un profil de navigateur « reconnu » pour associer le compte à l’utilisateur. Si le système d’authentification du site est satisfait que l’utilisateur tente de se connecter à partir d’un appareil qui a été utilisé lors de la dernière connexion réussie, il peut, pour des raisons de commodité utilisateur, ne pas exiger une authentification à deux facteurs.
Les auteurs observent que Oracle, InAuth et SecureAuth IdP pratiquent tous une forme ou une autre de ce « saut d’étape », basée sur le profil de navigateur enregistré de l’utilisateur.
Détection de la fraude
Divers services de sécurité utilisent la fingerprinting du navigateur comme outil pour déterminer la probabilité qu’un utilisateur s’engage dans des activités frauduleuses. Les chercheurs notent que Seon et IPQualityScore sont deux de ces sociétés.
Ainsi, il est possible, grâce à la méthodologie proposée, de caractériser injustement l’utilisateur comme un fraudeur en utilisant le « profil fantôme » pour déclencher les seuils de tels systèmes, ou d’utiliser le profil volé comme « barbe » pour de véritables tentatives de fraude, déviant l’analyse forensique du profil loin de l’attaquant et vers la victime.
Trois surfaces d’attaque
Le document propose trois façons dont le système Gummy Browser pourrait être utilisé contre une victime : Acquérir-Une-Fois-Usurper-Une-Fois implique d’acquérir l’ID de navigateur de la victime pour soutenir une attaque unique, telle qu’une tentative d’accéder à un domaine protégé sous le déguisement de l’utilisateur. Dans ce cas, « l’âge » de l’ID est sans importance, puisque les informations sont utilisées rapidement et sans suivi.
Dans une deuxième approche, Acquérir-Une-Fois-Usurper-Fréquemment, l’attaquant cherche à développer un profil de la victime en observant comment les serveurs Web répondent à leur profil (c’est-à-dire les serveurs de publicités qui livrent des types spécifiques de contenu en supposant un « utilisateur familier » qui a déjà un profil de navigateur associé).
Enfin, Acquérir-Fréquemment-Usurper-Fréquemment est un stratagème à long terme conçu pour mettre régulièrement à jour le profil de navigateur de la victime en faisant revenir la victime sur le site d’exfiltration innocent (qui peut avoir été développé comme un site Web ou un blog, par exemple). De cette façon, l’attaquant peut exécuter un spoofing de détection de la fraude sur une période plus longue.
Extraction et résultats
Les méthodes de spoofing utilisées par Gummy Browsers comprennent l’injection de script, l’utilisation des paramètres et des outils de débogage du navigateur, et la modification de script.
Les caractéristiques peuvent être exfiltrées avec ou sans JavaScript. Par exemple, les en-têtes d’agent utilisateur (qui identifient la marque de navigateur, telle que Chrome, Firefox, etc.), peuvent être dérivées des en-têtes HTTP, qui sont certaines des informations les plus basiques et non bloquables nécessaires à la navigation Web fonctionnelle.
Lors du test du système Gummy Browser contre FPStalker et Panopticlick, les chercheurs ont obtenu une « propriété » (d’un profil de navigateur approprié) moyenne de plus de 0,95 sur trois algorithmes de fingerprinting, ce qui a abouti à un clone fonctionnel de l’ID capturé.
Le document souligne la nécessité pour les architectes de systèmes de ne pas s’appuyer sur les caractéristiques du profil de navigateur comme jeton de sécurité, et critique implicitement certains des plus grands cadres d’authentification qui ont adopté cette pratique, en particulier lorsqu’elle est utilisée comme méthode pour maintenir la « convivialité » de l’utilisateur en obviant ou en reportant l’utilisation de l’authentification à deux facteurs.
Les auteurs concluent :
‘L’impact de Gummy Browsers peut être dévastateur et durable sur la sécurité et la vie privée en ligne des utilisateurs, en particulier étant donné que la fingerprinting du navigateur commence à être largement adoptée dans le monde réel. À la lumière de cette attaque, notre travail soulève la question de savoir si la fingerprinting du navigateur est sûre pour être déployée à grande échelle.’
