Un petit changement pour les passionnés de la protection de la vie privée sur Internet

Ces passionnés ont installé des extensions sur leur navigateur préféré pour surveiller et bloquer les cookies traceurs et supports de publicités non-désirées. Sur Firefox, un des outils de surveillance des traceurs s’appelle Privacy Badger. Cette extension américaine open source est recommandée par Firefox. On peut donc l’utiliser en confiance.

La semaine dernière, un bouton est apparu sous l’icône de Privacy Badger : Privacy Badger Is Changing to Protect You Better (Privacy Badger évolue pour mieux vous protéger). Ce bouton renvoyait sur à l’URL suivante :

https://www.eff.org/deeplinks/2020/10/privacy-badger-changing-protect-you-better

On y découvrait des explications très complètes sur le mode de fonctionnement de Privacy Badger et sur le motif du changement dans ce mode. Pas de chance, tout le texte est en anglais. Mais comme Cenabumix est curieux, voici la traduction française. Elle révèle un mode de protection pointu contre les traceurs et une surprise !

-> Privacy Badger se maintient au « top » de la neutralisation des traceurs, au besoin en revenant à une liste de traceurs définie chez la fondation EFF (Electronic Frontier Foundation qui gère Privacy Badger), alors que la méthode actuelle est l’apprentissage local des traceurs à bloquer, sur l’ordinateur de l’utilisateur. On peut se demander si la méthode de la liste pré-définie (aux USA) est la meilleure pour un utilisateur moyen. Une option permet toutefois de rester en méthode actuelle.

-> ceux qui permettent à l’EFF de découvrir la faille de sécurité sont une équipe de Google !

Bonne lecture !

Privacy Badger évolue pour mieux vous protéger

[traduction de la publication du 7 octobre sur le site de l’EFF mentionné ci-dessus]

Privacy Badger a été créé pour protéger les utilisateurs contre un suivi omniprésent et non consensuel, et pour le faire automatiquement, sans avoir recours à des listes de traceurs connus éditées par des humains. Si nos objectifs restent les mêmes, notre approche change. Il est temps que Privacy Badger évolue.

Grâce aux divulgations de l’équipe de sécurité de Google, nous allons modifier le fonctionnement par défaut de Privacy Badger afin de mieux vous protéger. Privacy Badger permettait de vous renseigner sur les traceurs lorsque vous naviguiez sur le Web. Désormais, nous désactivons par défaut l' »apprentissage local », car il peut vous rendre plus identifiable auprès des sites Web ou d’autres acteurs. Si vous le souhaitez, vous pouvez toujours choisir l’option « apprentissage local » et vivre exactement la même expérience Badger qu’auparavant. Quoi qu’il en soit, tous les utilisateurs continueront à bénéficier des connaissances actualisées de Privacy Badger sur les traceurs sur le web, ainsi que de ses autres fonctions de préservation de la vie privée, comme la protection des liens sortants et le remplacement des widgets.

L’équipe de sécurité de Google nous a contactés en février 2020 pour nous communiquer un ensemble de divulgations de sécurité liées à la fonction d’apprentissage local de Privacy Badger. La première était un grave problème de sécurité ; nous avons immédiatement supprimé la fonction concernée. L’équipe nous a également avertis d’une série d’attaques qui ont été rendues possibles par l’apprentissage de Privacy Badger. En quelques mots : puisque Privacy Badger adapte son comportement en fonction de la façon dont les sites que vous visitez se comportent, un attaquant spécialisé pourrait manipuler la façon dont Privacy Badger agit : ce qu’il bloque et ce qu’il permet. En théorie, cela peut être utilisé pour identifier les utilisateurs (une forme d’empreinte digitale) ou pour extraire certains types d’informations des pages qu’ils visitent. Cela est similaire à l’ensemble de vulnérabilités que la fonction de prévention de suivi intelligent de Safari a révélé et corrigé à la fin de l’année dernière.

Pour être clair : les informations que l’équipe de Google nous a communiquées sont purement des concepts, et nous n’avons trouvé aucune preuve que des utilisateurs de Privacy Badger aient été victimes de ces techniques dans la réalité. Mais par mesure de précaution, nous avons décidé de désactiver par défaut la fonction d’apprentissage local de Privacy Badger. Dorénavant, Privacy Badger s’appuiera uniquement sur sa liste de domaines de suivi pré-établie « Badger Sett » pour effectuer le blocage par défaut. En outre, la base de données de suivi de Privacy Badger sera régulièrement mise à jour avec les dernières définitions pré-établies. Cela signifie qu’à l’avenir, tous les Badgers de la vie privée s’appuieront par défaut sur la même liste de traceurs pour effectuer le blocage.

Comment Privacy Badger apprend-il ?

Depuis le début, Privacy Badger a reconnu les traceurs par leur comportement sournois et leur intrusion dans la vie privée. Privacy Badger est programmé pour rechercher des actions spécifiques aux heuristiques de suivi qui indiquent que quelqu’un essaie de vous identifier et de vous suivre. Actuellement, Privacy Badger recherche les cookies tiers, les « supercookies » de stockage local HTML5 et les empreintes digitales sur toile. Lorsque l’apprentissage local est activé, Privacy Badger examine chaque site que vous visitez lorsque vous naviguez sur le Web et se demande : « Est-ce que quelque chose ici ressemble à un traceur ? Si c’est le cas, il enregistre le domaine du traceur et le domaine du site web où le tracueur a été vu. Si Privacy Badger voit le même traceur sur trois sites différents, il commence à le bloquer.

Mais depuis un certain temps déjà, Privacy Badger ne se contente pas d’apprendre dans votre navigateur : il est aussi préchargé avec des données sur les traceurs courants sur le Web. Badger Sett est une version automatisée de Privacy Badger que nous utilisons quotidiennement pour visiter des milliers de sites parmi les plus populaires sur le Web. Chaque nouvelle installation de Privacy Badger est accompagnée de la liste des traceurs collectés lors de la dernière analyse de Badger Sett. De cette façon, lorsque vous l’installez pour la première fois, il commence immédiatement à bloquer les traceurs connus.

Quelles ont été les divulgations ?

La première divulgation de l’équipe de sécurité de Google était une faille de sécurité basée sur une fonctionnalité que nous avions ajoutée en juillet 2019 : la détection du partage de cookies de première à tierce partie (partage de cookies de pixels). En raison de la façon dont Privacy Badger vérifiait les chaînes de cookies de première partie par rapport aux URL de requête tierce partie sortantes, il aurait été possible, dans certaines circonstances, pour un attaquant d’extraire les valeurs des cookies de première partie en émettant des milliers de requêtes consécutives vers un ensemble de domaines tiers contrôlés par l’attaquant. Nous avons immédiatement supprimé l’heuristique du cookie de première partie à tierce partie de l’apprentissage local de Privacy Badger afin de corriger la vulnérabilité. (Nous avons continué à utiliser cette heuristique pour la préformation dans le cadre de Badger Sett, où elle n’expose aucune information sensible).

La deuxième divulgation décrit un ensemble d’attaques qui peuvent être menées contre tout type de bloqueur d’apprentissage heuristique. Ces attaques sont basées sur la capacité de l’adversaire à forcer l’instance de Privacy Badger d’un utilisateur particulier à identifier des domaines arbitraires comme traceurs (état de réglage), ainsi que de la capacité à déterminer quels domaines le Privacy Badger d’un utilisateur a appris à bloquer (relecture de l’état). Les divulgations étaient similaires à celles que Google avait déjà signalées à propos de la fonction de protection de suivi intelligent (ITP) d’Apple. Une attaque pourrait se dérouler comme suit : un utilisateur de Privacy Badger visite une page web malveillante. L’attaquant utilise alors un script pour que le Privacy Badger de l’utilisateur apprenne à bloquer une combinaison unique de domaines comme fp-1-example.com et fp-24-example.com. Si l’attaquant peut intégrer ce code sur d’autres sites web, il peut relire cette empreinte digitale pour suivre l’utilisateur sur ces sites. Dans certains cas, la capacité à détecter si un domaine particulier a été bloqué (comme un serveur de contenu dédié pour une banque) pourrait révéler si un utilisateur a visité des sites particuliers, même si l’attaquant n’exécute pas de code sur ces sites. Vous trouverez plus d’informations sur ce type d’attaque dans le document des chercheurs https://research.google/pubs/pub48871/ (document en anglais) Comme Privacy Badger apprend à peu près de la même manière que l’ITP de Safari, il était vulnérable à la même catégorie d’attaques.

Qu’est-ce qui change ?

Comme l’acte de blocage des demandes est intrinsèquement observable par les sites Web (c’est la façon dont le Web fonctionne), la meilleure façon de prévenir cette classe d’attaques est que Privacy Badger désactive l’apprentissage local par défaut et utilise la même liste de blocage pour tous ses utilisateurs. Les sites web seront toujours en mesure de détecter si un domaine donné a été bloqué ou non lors de votre visite. Mais les sites web ne devraient pas pouvoir définir l’état de Privacy Badger [apprentissage local ou non], ni faire la distinction entre les différents utilisateurs de Privacy Badger par défaut. Avant aujourd’hui, chaque utilisateur de Privacy Badger commençait avec un ensemble de traceurs connus (grâce à Badger Sett), puis continuait à trouver des informations sur de nouveaux traceurs au fil du temps. Une nouvelle installation de Privacy Badger commençait avec les données du dernier scan Badger Sett disponible, mais les mises à jour ultérieures ne modifiaient en rien la liste des traceurs.

Désormais, par défaut, Privacy Badger ne sera plus informé des nouveaux traceurs basés sur votre navigation. Tous les utilisateurs (avec les paramètres par défaut) utiliseront la même liste de blocage des traceurs, générée par Badger Sett. Lors des prochaines mises à jour de Privacy Badger, nous prévoyons de mettre à jour les listes de traceurs de chacun avec les nouvelles données compilées par Badger Sett. Cela signifie que les utilisateurs qui n’optent pas pour l’apprentissage local continueront à recevoir des informations sur les nouveaux traceurs que nous découvrons, ce qui permettra de garder leur Badger à jour.

Pour ceux qui choisissent de revenir à l’apprentissage local, Privacy Badger fonctionnera exactement comme par le passé. Ces utilisateurs continueront à bloquer les traceurs en fonction de ce que leur propre instance Privacy Badger apprend, et ils ne recevront pas de mises à jour automatiques de la liste des traceurs de l’EFF.

Les traceurs inclus dans la liste générale Badger Sett sont compilés en utilisant les mêmes techniques que Privacy Badger a toujours utilisées : navigation vers de vrais sites web, observation du comportement des domaines tiers sur ces sites, et enregistrement des traceurs parmi eux. Quelle que soit la façon dont vous choisissez d’utiliser Privacy Badger, il continuera à s’adapter à l’état des traceurs sur le Web.

Pourquoi l’apprentissage local est-il toujours une option ?

Privacy Badger est conçu comme un outil sans configuration nécessaire. C’est une sorte d’outil à installer et à oublier. Nous nous sentons à l’aise de désactiver l’apprentissage local parce que nous pensons que la majorité de la protection de Privacy Badger est déjà assurée par la liste pré-formée, et nous ne voulons pas exposer les utilisateurs à un risque potentiel sans leur consentement éclairé. Mais nous laissons l’apprentissage local en option parce que nous pensons qu’il représente un compromis raisonnable que les utilisateurs devraient pouvoir faire eux-mêmes.

Le principal risque de l’apprentissage local est qu’un acteur malveillant puisse manipuler l’état de Privacy Badger afin de créer un identifiant unique, une sorte d’empreinte digitale spécifique à Privacy Badger. Un traceur qui fait cela peut ensuite identifier l’utilisateur sur des sites où le traceur peut exécuter JavaScript. En outre, l’apprentissage local permet une forme limitée de reniflage de l’historique où l’attaquant peut essayer de déterminer si un utilisateur de Privacy Badger a déjà visité un site web particulier en voyant combien de frappes il faut pour que Privacy Badger apprenne à bloquer un domaine tiers (légitime) qui n’apparaît que sur ce site. Nous considérons qu’il s’agit là de préoccupations sérieuses, mais pas d’obstacles rédhibitoires à l’apprentissage local.

Il existe déjà de nombreux autres types d’informations que votre navigateur divulgue et qui peuvent être utilisées pour la prise « d’empreintes digitales ». La plupart des logiciels « lecteurs d’empreintes digitales » utilisent une combinaison de techniques, souvent regroupées en un seul script (comme FingerprintJS). Il suffit de détecter l’une des techniques utilisées pour que Privacy Badger signale le domaine comme étant un lecteur d’empreintes digitales. Par rapport aux méthodes existantes disponibles pour les acteurs malveillants, l’apprentissage local de Privacy Badger par les empreintes digitales est susceptible d’être moins fiable, plus gourmand en ressources et plus visible pour les utilisateurs. À l’avenir, il ne s’appliquera qu’au petit sous-ensemble d’utilisateurs du Web qui ont installé Privacy Badger et activé l’apprentissage local. De plus, si elles sont prises, les entreprises malveillantes seront confrontées à des atteintes à leur réputation pour avoir contourné les protections de la vie privée des utilisateurs.

Le risque de « renifler l’historique » n’est pas non plus unique à Privacy Badger. Les attaques connues de reniflage de l’historique demeurent dans Firefox et Chrome. L’exploitation de Privacy Badger pour vérifier des éléments de l’historique des utilisateurs sera limitée aux utilisateurs de Privacy Badger dont l’apprentissage local est activé, et aux sites Web qui utilisent des domaines tiers uniques. Ce risque est ensuite limité par la formation préalable de Privacy Badger (l’utilisateur a-t-il visité le domaine, ou le domaine a-t-il été visité lors du scan préalable Badger Sett ?) et par la liste de domaines de Privacy Badger qui appartiennent à la même entité (les domaines de cette liste seront toujours considérés comme des domaines de première partie par Privacy Badger et donc immunisés contre cet exploitation malveillante). Les attaques existantes par reniflage de l’historique du navigateur ne sont pas liées à ces limitations.

Certains utilisateurs pourraient souhaiter revenir à l’apprentissage local. La liste pré-formée est conçue pour connaître les traceurs présents sur des milliers de sites parmi les plus connus du Web, mais elle ne capture pas la « longue traîne » du traçage sur les sites moins connus. Si vous naviguez régulièrement sur des sites web négligés par les listes de bloqueurs de publicités/traqueurs, ou si vous préférez une approche plus pratique, vous pouvez visiter la page des options de votre Privacy Badger et cocher la case pour apprendre à bloquer les nouveaux traceurs.

L’avenir

Privacy Badger est toujours accompagné de tous ses avantages existants en matière de protection de la vie privée, comme la protection du suivi des liens sortants sur Google et Facebook et le remplacement des widgets tiers potentiellement utiles par des clics.

Dans les mois à venir, nous nous efforcerons d’étendre la portée de Badger Sett au-delà des sites web américains afin de capturer davantage de traceurs dans nos listes préformées. Nous continuerons à améliorer le remplacement des widgets et nous ajouterons de nouveaux mécanismes de détection des traceurs.

À plus long terme, nous nous pencherons sur l’apprentissage communautaire dans le respect de la vie privée. L’apprentissage communautaire permettrait aux utilisateurs de partager localement les traceurs dont leurs Badgers ont connaissance afin d’améliorer la liste des traceurs pour tous les utilisateurs de Privacy Badger.