JavaScript : cette faille permet d’espionner votre historique internet y compris sur Tor

 

Une faille de JavaScript permet d’espionner toutes les pages ouvertes sur tous vos navigateurs, même si vous protégez votre connexion internet derrière une connexion chiffrée. Au lieu d’espionner directement les sites, le code devine votre historique de manière discrète grâce à une intelligence artificielle, à partir de données comme le temps de chargement des pages. Même les connexions effectuées via Tor sont vulnérables, ce qui rend cette faille particulièrement dangereuse.

tor faille javascript

Une faille de JavaScript permet de deviner l’ensemble de l’historique de navigation d’une victime, sur tous les navigateurs que cette dernière utilise. Des chercheurs de l’Université Ben-Gurion de Negev (Israël), Université d’Adélaïde (Australie) et de l’Université de Princeton (Etats-Unis) ont mis au point un nouveau type d’attaque par fingerprinting – une technique qui espionne l’historique de visites web d’une cible par l’analyse statistique de son traffic, comme par exemple le temps de chargement des pages – reposant sur une faille de JavaScript.

Une faille de JavaScript permet d’espionner les utilisateurs de Tor

Selon les chercheurs, il est possible d’exécuter un code malicieux en JavaScript à partir d’une page web. Ce code est conçu pour exploiter le cache commun des navigateurs de l’ordinateur et transmet des données tirées de l’analyse du trafic sur tous les navigateurs. Les chercheurs se retrouvent alors avec une quantité de donnée insondable sur le Ping, temps de chargement des pages, la latence d’accès au cache… autant de traces qui forment ce que les chercheurs appellent un Memorygram. Autrement dit une empreinte de cette visite.

Bien sûr, les chercheurs savent déjà quels sites donnent tel Memorygram. Ils peuvent donc ainsi déduire que le site en question a été visité. Pour les aider à profiler les sites internet, les chercheurs utilisent le machine learning et l’intelligence artificielle. Le résultat est une attaque aussi sophistiquée que discrète. Mais les chercheurs montrent aussi longuement que cette attaque fonctionne également dans Tor, le navigateur conçu pour protéger la vie privée. Les chercheurs évoquent plusieurs pistes qui permettraient de colmater cette faille de JavaScript.

Les utilisateurs de Tor doivent néanmoins, en l’attente d’une solution fiable, préférer la désactivation de JavaScript sur l’ensemble de leurs navigateurs, compte-tenu des risques. Pour ceux que cela intéresse, les chercheurs expliquent avec un luxe de détails leur exploitation de cette faille dans leur papier scientifique (en anglais).

Lire aussi : le réseau 5G du futur est truffé de failles de sécurité



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
antenne 5G
Huawei banni du Royaume-Uni à partir de septembre 2021

Huawei subit aujourd’hui un nouveau coup dur. La société chinoise a en effet été bannie du Royaume-Uni. Il lui sera donc impossible d’installer de nouvelles antennes 4G ou 5G dans le pays. Une décision attendue, Huawei étant dans le collimateur…

top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…