Comment protéger vos informations avec Local Sheriff

Article original : How to protect your information with Local Sheriff

Par Konark Modi

Les observer nous observer

Qu'est-ce qu'une URL TellTale ?

Une URL est l'information la plus couramment suivie. Le choix innocent de structurer une URL basée sur le contenu de la page peut faciliter l'apprentissage de l'historique de navigation, de l'adresse, des informations de santé ou d'autres détails sensibles d'un utilisateur. Elles contiennent des informations sensibles ou peuvent mener à une page qui contient des informations sensibles.

Nous appelons ces URLs des TellTaleURLs.

Examinons quelques exemples de telles URLs.

EXEMPLE #1 :

Site web : donate.mozilla.org (Corrigé)

Après avoir terminé le processus de paiement sur donate.mozilla.org, vous êtes redirigé vers une page de "merci". Si vous regardez attentivement l'URL montrée dans la capture d'écran ci-dessous, elle contient certaines informations privées comme email, pays, montant, méthode de paiement.

PII dans l'URL sur donate.mozilla.org

Maintenant, parce que cette page charge certaines ressources depuis des tiers et que l'URL n'est pas assainie, les mêmes informations sont également partagées avec ces tiers via le référent et comme valeur à l'intérieur de la charge utile envoyée aux tiers.

URL avec PII partagée lors du chargement des polices depuis Google Apis.

Dans ce cas particulier, il y avait 7 tiers avec lesquels ces informations étaient partagées.

Mozilla a été prompt à corriger ces problèmes, plus de détails peuvent être trouvés ici : _https://bugzilla.mozilla.org/showbug.cgi?id=1516699

EXEMPLE #2 :

Site web : trainline.eu, JustFly.com (Dernière vérification : août 2018)

Une fois que vous avez terminé un achat comme des billets de train ou des billets d'avion, vous recevez un email qui contient un lien pour gérer votre réservation. La plupart du temps, lorsque vous cliquez sur le lien, les détails de la réservation vous sont montrés - sans avoir à entrer d'autres détails comme le code de réservation, le nom d'utilisateur/mot de passe.

Cela signifie que l'URL elle-même contient un certain jeton qui est unique à l'utilisateur et fournit l'accès à la réservation de l'utilisateur.

Il se trouve que ces URLs sont également partagées avec des tiers, donnant à ces tiers des données hautement sensibles et l'accès à vos réservations.

JustFly.com divulguant l'ID de réservation à 10 domaines tiers.

trainline.eu partageant le jeton de réservation avec 17 domaines tiers.

URL avec jeton partagée via Ref et à l'intérieur de la charge utile.

EXEMPLE #3 :

Site web : foodora.de, grubhub.com (Dernière vérification : août 2018)

L'un des prérequis pour commander de la nourriture en ligne est d'entrer l'adresse où vous voulez que la nourriture soit livrée.

Certains sites populaires de livraison de nourriture convertissent l'adresse en valeurs précises de latitude-longitude et les ajoutent à l'URL.

L'URL est également partagée avec des tiers, divulguant potentiellement l'adresse de l'utilisateur.

Foodora divulguant les détails de l'adresse à 15 domaines tiers.

Pour être clair, ce ne sont pas seulement ces sites web qui souffrent de telles fuites. Ce problème existe partout - c'est une situation par défaut, pas une rareté. Nous l'avons vu avec Lufthansa, Spotify, Flixbus, Emirates, et même avec des prestataires médicaux.

Risques des URLs TellTale :

• Les sites web divulguent négligemment des informations sensibles à une pléthore de tiers.
• La plupart du temps sans le consentement des utilisateurs.
• Plus dangereusement : La plupart des sites web ne sont pas conscients de ces fuites lors de l'implémentation de services tiers.

Ces problèmes sont-ils difficiles à résoudre ?

En tant qu'ingénieur logiciel ayant travaillé pour certaines des plus grandes entreprises de commerce électronique, je comprends le besoin d'utiliser des services tiers pour optimiser et améliorer non seulement le produit numérique mais aussi la manière dont les utilisateurs interagissent avec le produit.

Ce n'est pas l'utilisation de services tiers qui est préoccupante dans ce cas, mais l'implémentation de ces services. Les propriétaires doivent toujours avoir le contrôle de leur site web et de ce que le site web partage avec les services tiers.

C'est ce contrôle qui doit être exercé pour limiter la fuite d'informations utilisateur.

Ce n'est pas une tâche mammouth, c'est juste une question d'engagement à préserver le droit fondamental à la vie privée.

Par exemple :

1. Les pages privées doivent avoir des balises meta noindex.
2. Limiter la présence de services tiers sur les pages privées.
3. Referrer-Policy sur les pages avec des données sensibles.
4. Implémenter CSP et SRI. Même avec une grande empreinte de services tiers, CSP, SRI ne sont pas activés sur la majorité des sites web.

Présentation de Local Sheriff :

Étant donné que de telles fuites d'informations sont dangereuses à la fois pour les utilisateurs et les organisations, pourquoi est-ce un problème si répandu ?

Une grande raison pour laquelle ces problèmes existent est le manque de sensibilisation.

Un bon point de départ pour les sites web est de voir quelles informations sont divulguées ou de détecter la présence de TellTaleURLs.

Mais afin de découvrir si cela se produit avec les sites web que vous maintenez ou visitez, vous devez apprendre à utiliser certains outils pour inspecter le trafic réseau, comprendre la relation premier tiers - tiers, puis vous assurer d'avoir ces outils ouverts pendant le processus de transaction.

Pour aider à combler cette lacune, nous voulions construire un outil avec les directives suivantes :

• Facile à installer.
• Surveille et stocke toutes les données échangées entre les sites web et les tiers - localement sur la machine de l'utilisateur.
• Aide à identifier les utilisateurs que les entreprises suivent sur Internet.
• Interface pour rechercher les informations divulguées aux tiers.

Étant donné les directives ci-dessus, une extension de navigateur semblait être un choix raisonnable. Après avoir installé Local-Sheriff, en arrière-plan :

1. En utilisant l'API WebRequest, elle surveille l'interaction entre le premier tiers et le tiers.
2. Classe ce qui est premier tiers et tiers dans l'URL.

3. Est livrée avec une copie de la base de données de WhoTracksMe. Pour mapper quel domaine appartient à quelle entreprise.

4. Fournit une interface où vous pouvez rechercher des valeurs que vous pensez être privées et voir quels sites web les divulguent à quels tiers. Par exemple : nom, email, adresse, date de naissance, cookie, etc.

Revisiter l'EXEMPLE #1

Site web : donate.mozilla.org

• L'utilisateur a installé Local-Sheriff et fait un don à mozilla.org.

PII dans l'URL sur donate.mozilla.org

• Clique sur l'icône pour ouvrir l'interface de recherche.

Icône Local Sheriff.

• Entre l'email utilisé sur le site donate.mozilla.org.

Interface de recherche Local-Sheriff

Il peut être vu que l'adresse email utilisée au moment du don a été partagée avec ~7 domaines tiers.

Vous pouvez l'essayer vous-mêmes en l'installant :

• Firefox : https://addons.mozilla.org/de/firefox/addon/local-sheriff/
• Chrome : https://chrome.google.com/webstore/detail/local-sheriff/ckmkiloofgfalfdhcfdllaaacpjjejeg

Ressources :

• Plus de détails : https://www.ghacks.net/2018/08/12/local-sheriff-reveals-if-sites-leak-personal-information-with-third-parties/
• Code source : https://github.com/cliqz-oss/local-sheriff
• Conférences : Defcon 26 Demo Labs _, FOSDEM 2019_
• Code : https://github.com/cliqz-oss/local-sheriff
• Chrome store : https://chrome.google.com/webstore/detail/local-sheriff/ckmkiloofgfalfdhcfdllaaacpjjejeg

Merci d'avoir lu et partagé ! :)

Si vous avez aimé cette histoire, n'hésitez pas à ??? quelques fois (Jusqu'à 50 fois. Sérieusement).

Bon piratage !

- Konark Modi

Crédits :

• _Un merci spécial à Remi , Pallavi pour avoir révisé cet article :)_
• Le titre « Les observer nous observer » provient d'une conférence conjointe entre Local Sheriff et Trackula à FOSDEM 2019.