Menu Fermer

XSinator : Faire un test XS-Leaks Browser de son navigateur WEB

Récemment, les chercheurs de sécurité de la sécurité de Ruhr-Universität Bochum (RUB) et de l’Université des sciences appliquées de Niederrhein ont découvert 14 nouveaux types d’attaques de fuites de cross-sites XS-Leak» contre les navigateurs Web modernes, y compris Google Chrome, Microsoft Edge, Safari et Mozilla Firefox.
Cela permet d’obtenir des informations sur les sites visités.

Ce tutoriel vous guide afin d’utiliser XSinator, un site qui vous permet de tester votre navigateur WEB et vos protections contre ce type de fuites de données.

XSinator : Faire un test XS-Leaks Browser de son navigateur WEB

Qu’est-ce que les fuites XS-Leak

Les fuites de cross-sites (XS-Leaks) décrivent un bogue côté client qui permet un attaquant pour collecter des informations. Ils constituent une menace importante pour la vie privée sur Internet puisque la simple visite d’une page Web peut révéler énormément d’informations, sur les sites ouverts.

Les catégories des fuites :

  • Code de statut. Un attaquant peut distinguer différents codes d’état de réponse HTTP (par exemple, erreurs de serveur, erreurs clientes, ou des erreurs d’authentification).
  • Utilisation de l’API. Permet à un attaquant de détecter l’utilisation des API Web à travers les pages, permettant à un attaquant d’inférer Si une page d’origine croisée utilise une API Web JavaScript spécifique.
  • Service Worker. Un attaquant est capable de détecter l’utilisation des Service Worker. Cela peut donc permettre de connaître les sites ouverts à un instant T
  • Redirection. Il est possible de détecter si une application Web a redirigé l’utilisateur à une page différente. Ceci n’est pas limité aux redirections HTTP mais inclut également les redirections déclenchées par JavaScript ou HTML.
  • Contenu de la page. Un attaquant peut détecter du contenu dans des documents ou des ressources HTML. La détection comprend des attributs HTML, des ressources intégrées et règles CSS.
  • Informations Audio ou Vidéo : Des informations sur les vidéos tels que la longueur ou les dimensions de la vidéo peuvent être récupérées par un attaquant
  • En-tête HTTP. Dans certains cas, la présence d’en-têtes HTTP peut être détectées. Cela comprend des en-têtes telles que des options x-images, du type de contenu et Disposition de contenu
14 nouveaux types d'attaques de fuites de cross-sites XS-Leak»

On peut imaginer le scénario suivant :

La victime (1) visites un site Web contrôlé par l’attaquant, qui (2) utilise une méthode pour demander de charger une ressource. L’attaquant utilise ensuite (3) une technique de fuite à (4) déterminer l’état de utilisateur de la victime.

Schéma d'une attaque utilisant les S Leaks

XSinator : Faire un test XS-Leaks Browser de son navigateur WEB

Le test XSinator comment ça marche ?

Le test XSinator permet de soumettre votre navigateurs internet à ces fuites de données afin de déterminer si votre navigateur internet est vulnérable.
Cela permet de tester vos protections contre ce type de fuites.
XSinator effectue une trentaines de tests de fuites et pour chacun d’eux vous indique si votre navigateur est vulnérable.
Le fonctionnement est simple puisque vous lancez le test et obtenez le résultat pour chaque fuite.

Enfin vous pouvez comparer votre navigateur WEB et sa configuration aux autres selon la version, plateforme.

Tester son navigateur internet contre les XS-Leaks

  • Accédez au site Xsinator
  • Puis cliquez sur Run your Browser
Tester son navigateur internet contre les XS-Leak Browser
  • Puis cliquez sur Run All Tests
Tester son navigateur internet contre les XS-Leak Browser
  • Ensuite patientez durant le test. Une popup s’ouvre alors, n’y touchez pas. De même si des propositions d’ouverture de fichiers s’ouvre, ne touchez à rien.
Tester son navigateur internet contre les XS-Leak Browser
  • Le résultat des tests s’affiche en ligne avec des couleurs :
    • Vert – votre navigateur internet est protégé contre le test XS-Leak
    • Jaune – le test ne s’applique pas
    • Rouge – votre navigateur internet est vulnérable au test XS-Leak
Résultats des fuites XS-Leak sur XSinator

XSinator collecte les résultats des tests afin d’effectuer un comparatif des navigateurs internet.
Vous pouvez aussi comparer votre résultat aux autres navigateurs internet :

  • Cliquez sur Compare your results
Comparer les résultats des X-Leaks
  • Votre navigateur internet se trouve dans la première colonne “Your Browser“. A droite, se trouvent tous les autres navigateurs internet par version. Enfin on retrouve le même code de couleurs vert, rouge ou jaune
Comparer les résultats des fuites X-Leaks
  • Au besoin, vous pouvez filtrer la comparaison à un navigateur internet spécifique et même par version et plateforme (Windows, Linux, MacOSX)
Comparer les résultats des fuites X-Leaks

Si vous êtes interresé par d’autres sites afin de tester vos protections :

Les navigateurs internet contre les XS-Leak

Le site fournit aussi un tableau indiquant les navigateurs internet vulnérables à telles ou telles fuites.

Comparatif des fuites XS-Leak sur les navigateurs internet

Voici les tests Xsinator sur Mozilla Firefox et Google Chrome sans aucune extension de protection.
Mozilla Firefox sans protection 16/37 (43% vulnérables aux fuites XS) :

Test XS-Leak avec Xsinator sur Mozilla Firefox

Google Chrome sans protection 22/37 (59% vulnérables aux fuites XS :

Test XS-Leak avec Xsinator sur Google Chrome

Sur Mozilla Firefox, avec uBlock actif, on tombe à 11/37

Test XS-Leak avec Xsinator sur Mozilla Firefox avec uBlock

Si on ajoute Privacy Possum à uBlock, on tombe à 10/37.

Test XS-Leak avec Xsinator sur Mozilla Firefox avec uBlock et Privacy Possum

Comment se protéger des fuites XS-Leaks

uBlock par défaut n’aide pas beaucoup puisqu’il s’agit principalement de bloquer des domaines à travers des sites noires. Toutefois, il pourrait bloquer les bouts de codes utilisées dans ces fuites mais probablement pas l’intégralité.
Enfin le filtrage dynamique peut aider.

Ensuite, on tombe sur les conseils habituels avec les extensions de protection de la vie privée.
La configuration du navigateur internet peut aider mais là malheureusement, il n’y a que Mozilla Firefox qui laisse vraiment la possibilité de configurer aux petits oignons.

Par exemple, avec le navigateur WEB Vivaldi (à base de Chromium) + uBlock et le filtrage dynamique et Trace réglé en optimal, on n’obtient plus que quatre résultats positifs.

Comment se protéger des fuites XS-Leaks

Mais c’est surtout sur la conception du navigateur internet qu’il faut travailler.
Très certainement que les éditeurs des navigateurs internet vont publier des mises à jour afin de limite ces fuites.