ÉCOUTER MAINTENANT
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Avec Doug Aamoth et Paul Ducklin.
Musique d'intro et d'outro par Edith Mud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG AMOTH. Romance, escroqueries, bugs, vers et ransomware REvil.
Tout cela et plus encore sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast, tout le monde.
je suis Doug; c'est Paul...
PAUL DUCLIN. Bravo, Doug… en bonne voie cette semaine !
DOUG. Pourquoi, merci ! La semaine dernière, je me suis trompé...
CANARD. Vous ne vous êtes pas trompé.
DOUG. Mais il m'a fallu 65 épisodes pour faire cette erreur, donc je suis assez fier de moi.
Cela pourrait se reproduire, mais…
CANARD. C'est vrai : nous sommes sur la Route 66 aujourd'hui !
DOUG. Nous sommes.
CANARD. C'est un gros problème, Doug.
DOUG. Oui.
Et tout comme la Route 66, nous avons beaucoup d'attractions à regarder cette semaine - un dossier complet.
CANARD. [RIRES À SEGUE] J'adore ton travail !
DOUG. Nous aimons commencer le spectacle avec un Fait amusant.
Et généralement, le fait amusant est lié à la Cette semaine dans l'histoire de la technologie segment.
Pas cette semaine, cependant, car il fait très froid ici et beaucoup de gens portent des chapeaux d'hiver. Je regardais un groupe de personnes et j'ai pensé : « Qu'est-ce que c'est que ces pompons sur le dessus des chapeaux ? D'où vient cela?"
Alors j'ai regardé, et si jamais vous vous demandez pourquoi certains chapeaux d'hiver ont ces pompons moelleux sur le dessus, apparemment ils étaient portés par les marins français dans les temps anciens pour protéger leur tête contre les plafonds bas des navires lorsqu'ils étaient à mer.
Ils étaient particulièrement efficaces dans les eaux agitées.
Donc, si vous avez un pompon sur le dessus de votre chapeau, vous avez un marin français à remercier pour cela.
CANARD. Oh, donc c'était en fait du rembourrage?
DOUG. Oui.
J'ai un plafond très bas dans notre sous-sol et dans notre buanderie, alors peut-être que je vais mettre un bonnet à pompons et me promener et voir si ça aide, parce que je me suis pas mal cogné la tête.
CANARD. Vous pouvez simplement coller un tapis de souris avec du ruban adhésif… vous savez, le mettre sur votre tête et le coller sous votre menton.
DOUG. [RIRES] Je ne sais pas s'ils avaient du néoprène à l'époque, mais c'est une bonne idée.
Eh bien, parlons-en… nous avons beaucoup d'histoires à couvrir.
Le premier : nous avons effectivement mis fin aux rançongiciels avec le prétendu buste de l'équipe du rançongiciel REvil en Russie.
[SARCASTIQUE] C'est la fin des rançongiciels tels que nous les connaissons, n'est-ce pas ?
CANARD. Eh bien, même le Bureau fédéral de la sécurité de Russie, le FSB, n'a pas vraiment dit cela, bien qu'il ait effectivement fait faillite.
Il y a eu beaucoup de critiques par le passé…
… Les Russes, je pense, comme les Allemands et les Français, et tout un tas de pays, n'extradent pas leurs propres citoyens. Donc, si vous voulez que des personnes dans ces pays soient poursuivies pour des crimes qu'elles ont commis contre un autre pays, vous devez essentiellement fournir au pays les preuves dont il a besoin.
Et il y a beaucoup de critiques selon lesquelles la Russie ne semble pas très disposée à le faire.
Dans ce cas, il semble que oui : apparemment, 25 adresses ont été perquisitionnées dans différentes villes.
Ils ont mentionné 14 personnes ciblées, bien qu'ils ne disent pas combien d'entre eux ont finalement été arrêtés.
Mais il y a eu quelques arrestations ; plus 20 voitures de luxe remorquées, apparemment achetées avec le produit du crime. Et comme nous l'avons déjà dit, il y a probablement un tas de données médico-légales dans la voiture de luxe moyenne ces jours-ci, en termes de système de divertissement, de navigation par satellite, de téléphones intégrés à la voiture et de tout ce genre de choses.
Et ils ont obtenu entre 6,000,000 7,000,000 XNUMX et XNUMX XNUMX XNUMX de dollars en roubles, dollars américains, euros et crypto-monnaies.
Le FSB était donc assez optimiste quant à ce qu'il avait accompli, déclarant qu'à la suite du raid, "ce cyber gang a cessé d'exister et son infrastructure criminelle a été neutralisée". Donc, c'est REvil.
Ils n'ont pas dit : « C'est la fin des rançongiciels tels que nous les connaissons », car ce n'est manifestement pas le cas.
Il y a deux problèmes, même si REvil a vraiment coulé sans laisser de trace maintenant : [a] il y a beaucoup d'autres gangs de rançongiciels d'où vient REvil ; et [b], malheureusement, il existe de nombreux autres types de cybercriminalité impliquant des escrocs qui ne s'intéressent guère aux rançongiciels, mais qui sont toujours capables de faire beaucoup de mal, même s'ils ne sont pas REvil.
DOUG. Oui monsieur!
Mais un pas dans la bonne direction quand même ?
CANARD. Oui, je ne pense pas qu'on puisse se plaindre !
Mais il s'agit toujours de : patcher tôt, patcher souvent ; ne baissez pas votre garde; mieux vaut prévenir que guérir; et investissez dans vos utilisateurs.
DOUG. Nous avons plus de conseils dans notre État du ransomware 2021 rapport, qui est lié à l'article intitulé L'équipage de REvil Ransomware aurait été arrêté en Russie, selon le FSB sur nakedsecurity.sophos.com.
Passons à un autre buste : un escroc amoureux qui a ciblé près de 700 femmes s'est fait 28 mois de prison.
CANARD. Comme le souligne la National Crime Agency du Royaume-Uni, en ce qui concerne les escroqueries amoureuses en général, ils disent : « Nous voulons encourager tous ceux qui pensent avoir été victimes d'une escroquerie amoureuse à ne pas se sentir gênés ou honteux, mais veuillez signaler ce."
La National Crime Agency ne peut pas prouver que quelqu'un ne lui a pas dit : « Hé, j'ai envoyé de l'argent à cette personne et je pense maintenant que je n'aurais pas dû », parce que s'ils insistent sur le fait qu'ils ont envoyé l'argent de leur plein gré, et ils ne considèrent pas qu'ils ont été fraudés, alors je suppose qu'il n'y a pas eu de fraude.
Et c'est le problème avec un cybercrime comme celui-ci.
DOUG. Oui, nous avons un commentaire déchirant sur l'article et un autre commentaire édifiant à la toute fin.
Un de nos lecteurs pense que sa mère se fait arnaquer, et elle ne réagit pas bien lorsque sa famille essaie de l'en dissuader ; et puis nous en avons un autre où ils ont attrapé un escroc en flagrant délit, ce qui était une histoire assez intéressante.
CANARD. Malheureusement, ces crimes ne laissent pas seulement les gens au cœur brisé et sans ressources. Ils peuvent également vous laisser avec une faille géante dans votre cercle familial.
Ce type a dit : "Ma mère a arrêté de me parler parce que je ne crois pas que ce soit l'amour de sa vie."
Le seul conseil que nous pouvons vraiment vous donner est que si vous avez ne serait-ce qu'une idée que vous pourriez être impliqué dans une arnaque, peu importe à quel point cela va être déchirant de devoir l'admettre, ne "montrez pas la main" à vos amis. et votre famille s'ils essaient de vous avertir.
Ils ont peut-être tort, mais ils pourraient très, très bien avoir raison… alors donnez-leur une audience équitable.
DOUG. OK, nous avons des conseils dans l'article et une vidéo utile intitulée Escroqueries amoureuses : que faire ?.
Nous avons parlé d'écouter vos amis et votre famille s'ils essaient de vous avertir ; nous avons aussi des choses comme : envisagez de le signaler à la police ; ne vous blâmez pas si vous vous faites avoir; cherchez un groupe de soutien; et surtout, sortez dès que vous vous rendez compte qu'il s'agit d'une arnaque.
CANARD. Oui, mon conseil là-bas, très particulièrement, est le suivant : ne dites pas à l'escroc : « Oh, je commence à vous soupçonner. Je vais vous donner une dernière chance de faire vos preuves.
N'oubliez pas que s'il s'agit d'un escroc, il vous a déjà entraîné jusqu'ici.
Pensez-vous qu'ils vont avoir trop de problèmes avec une petite objection que vous soulevez maintenant?
Si vous avez décidé qu'il s'agissait d'une arnaque, ne leur dites pas - coupez simplement le contact, puis allez chercher un groupe de soutien local.
Et, soit dit en passant, soyez très prudent, si vous rompez la connexion avec les escrocs, si vous êtes soudainement contacté par quelqu'un prétendant représenter un groupe de soutien, ou des forces de l'ordre, ou une entreprise qui peut vous aider à récupérer votre argent frauduleux.
Parce que c'est la « contre-arnaque » classique.
Lorsque les escrocs réalisent que vous avez vraiment décidé qu'ils sont des escrocs, ils arrivent en essayant de se faire passer pour les anti-escrocs !
Il existe de nombreux cas de personnes se faisant arnaquer deux fois. Si vous envisagez de vous retirer d'une arnaque, ne traitez qu'avec des personnes que vous connaissez réellement, que vous pouvez rencontrer et en qui vous pouvez avoir confiance en face à face.
Ne vous contentez pas d'accepter l'aide de quiconque propose une offre en ligne - ce pourrait être les escrocs qui reviennent.
DOUG. [SAD] Merveilleux. Les joies du comportement humain.
C'est Un escroc amoureux qui a ciblé 670 femmes écope de 28 mois de prison sur nakedsecurity.sophos.com.
Nous passons des vers humains aux vers Windows : un trou HTTP Windows wormable.
Que devons-nous savoir à ce sujet, Paul ?
CANARD. C'était un début fascinant pour 2022, n'est-ce pas? C'était l'un des nombreux bugs de sécurité corrigés dans le patch de ce mois-ci mardi…
DOUG. C'était un grand!
CANARD. Je pense qu'il y avait 102 bugs!
Mais l'un d'entre eux ne semblait pas trop dangereux au début, peut-être parce qu'il ne disait pas : "Ce bogue se trouve dans le serveur Web Microsoft que tout le monde connaît".
Il vient d'être décrit comme Vulnérabilité d'exécution de code à distance de la pile de protocole HTTP, ou CVE-2022-21907.
Alors vous pensez en quelque sorte : « Oh, c'est un truc de code de bas niveau ; ne s'applique probablement pas à moi, car je n'exécute pas IIS.
Et dans ce sens, c'était un peu comme le problème que nous avons eu avec Log4j, où tout le monde disait : "Je n'ai pas de serveurs Java."
Et nous avons dit : non, il ne s'agit pas de serveurs ; il s'agit d'applications écrites en Java.
« Je n'en ai pas beaucoup… » Êtes-vous sûr ?
"Eh bien, j'en ai quelques-uns, mais peu d'entre eux exécutent Log4j…" Êtes-vous sûr ?
Et puis, comme nous l'avons dit dans quelques podcasts précédents, lorsque les gens cherchaient Lg4j, ils trouvaient: "Mon Dieu, il y en a beaucoup plus que je ne le pensais."
Le problème ici est très similaire, à savoir que HTTP.sys est un pilote de bas niveau qui fournit des services HTTP lorsque vous avez besoin d'un programme qui acceptera et répondra aux requêtes Web, *y compris IIS*.
En fait, IIS est implémenté au-dessus de ce HTTP.sys, mais ce n'est qu'une des dizaines, des centaines ou des milliers d'applications que vous pourriez avoir et qui pourraient utiliser cette chose.
Tout programme que vous avez, que vous le réalisiez ou non, qui contient une sorte de console Web, ou d'interface Web, ou de port Web auquel vous pouvez vous connecter, pourrait être à risque de ce bogue si vous n'avez pas corrigé.
Et ce qui a excité tout le monde, c'est, comme l'a dit Microsoft dans sa liste de questions fréquemment posées pour ce correctif particulier, "Est-ce que ce correctif est vermifuge ?", ce qui signifie que quelqu'un pourrait l'utiliser pour écrire un virus à propagation automatique...
DOUG. Oui!
CANARD. Ils n'ont vraiment mis qu'un seul mot!
DOUG. [RIRES] "Oui. Arrêt complet."
CANARD. Et ils ont dit: "Microsoft recommande de donner la priorité aux correctifs des serveurs concernés."
Maintenant, mon opinion est que la formulation de cela était quelque peu malheureuse, car elle vous amène à en déduire que cela n'affecte que les serveurs. Où d'autre auriez-vous un service HTTP à l'écoute que sur un serveur ?
Bien sûr, la réponse est : des tas et des tas de programmes de nos jours utilisent HTTP comme interface graphique, n'est-ce pas ? Beaucoup ont une console Web, même s'il s'agit de programmes conçus pour un utilisateur final.
Le bogue est une fonction d'un pilote de bas niveau dans Windows lui-même, et c'est ce qui doit être corrigé.
Je suppose que la bonne nouvelle est qu'une fois que vous avez fait ce correctif, chaque programme qui dépend de HTTP.sys est implicitement corrigé avec lui car ils reposent tous sur le même pilote de bas niveau.
DOUG. D'accord, quoi… jouer l'avocat du diable. Que dois-je faire si je ne peux pas patcher immédiatement pour une raison quelconque ?
CANARD. Je suis venu avec un correctif qui a fonctionné dans mes tests limités. Très simple.
Vous allez simplement dans votre registre (nous avons un script sur Naked Security qui vous montre comment faire cela), et vous changez ce qu'on appelle le "code de démarrage" pour le service HTTP Windows à partir de la valeur 3, ce qui signifie démarrer au besoin, à la valeur 4.
Il faut juste savoir que 4 signifie désactivée; ne peut pas démarrer.
Et cela résout essentiellement ce problème, car aucun logiciel ne peut réellement lancer ce pilote, donc rien ne peut réellement l'utiliser, donc le bogue ne peut pas être chatouillé.
Le revers de la médaille est qu'aucun logiciel ne peut utiliser ce service HTTP, donc s'il s'avère que vous * avez * une application où, sans que vous vous en rendiez compte, une partie de son administration repose sur une console Web ou une API Web… alors ça ne marchera pas non plus.
Ce n'est donc pas une solution permanente; c'est juste une solution de contournement.
Vous devez finalement corriger ce fichier HTTP.sys dans le cadre de la mise à jour Patch Tuesday.
DOUG. D'accord, c'est Trou Wormable Windows HTTP – ce que vous devez savoir sur nakedsecurity.sophos.com.
Maintenant, il est temps Cette semaine dans l'histoire de la technologie.
De peur que vous pensiez que nous ne parlerions des vers qu'une seule fois dans cet épisode… cette semaine, le 20 janvier 1999, le monde a découvert le ver HAPPY99, également connu sous le nom de Ska ou Iworm. HAPPY99 a été signalé par plusieurs éditeurs d'antivirus comme étant un gros casse-tête.
CANARD. Croyez-moi, c'était vraiment énorme.
Et il y avait une astuce que vous aimerez à contrecœur, Doug.
Les escrocs ont fait ce que vous appelez le « truc B » : le meilleur/brillant.
Ils ont évité de faire des fautes d'orthographe ou des fautes de frappe ou d'écrire un mauvais anglais.
Ils ont évité tous ces problèmes simplement en n'ayant pas de texte.
DOUG. Aaargh.
CANARD. Génialement simple, n'est-ce pas ?
DOUG. Arrrrgh !
CANARD. Si vous n'avez aucun caractère, alors vous devez, ipso facto, sans fautes d'orthographe, fautes de frappe, grammaires, etc.
C'est simplement arrivé; c'était un exécutable; il a dit HAPPY99.EXE; et si vous l'avez exécuté, il vous a montré un petit feu d'artifice.
DOUG. [DOWNCAST] Oui, en effet.
Très bien, eh bien, nous avons deux articles sur la sécurité sérieuse en ligne.
Le premier concerne un Linux bogue de chiffrement complet du disque cela a été corrigé. Mais que s'est-il passé avant qu'il ne soit réparé ?
CANARD. Habituellement, sous Linux, lorsque vous effectuez un cryptage complet du disque, c'est ce qui garantit que si quelqu'un vole votre ordinateur portable une fois qu'il est éteint, le disque n'est qu'un chou déchiqueté à moins que vous ne mettiez un mot de passe…
… sous Linux, vous utilisez probablement une chose appelée LUKS, Configuration de la clé unifiée Linux. Et pour vous aider à gérer LUKS, il existe un programme appelé cryptsetup.
Malheureusement, comme cela arrive souvent avec le chiffrement complet du disque parce qu'il est si utile, cryptsetup a énormément de fonctionnalités - probablement beaucoup plus que vous ne l'auriez jamais imaginé.
Et l'une des choses que cryptsetup peut faire - l'option s'appelle rechiffrer.
Cela signifie qu'au lieu de simplement changer le mot de passe qui déchiffre la clé de chiffrement principale, il déchiffre et rechiffre en fait tout votre disque dur * pendant que vous l'utilisez *, vous n'avez donc pas à déchiffrer le tout et risquer d'avoir il non crypté pendant un certain temps.
Tout cela semble fantastique, sauf que ce que l'équipe de cryptsetup a fait est : ils ont pensé : "Hé, nous pourrions utiliser le même code si quelqu'un a besoin de décrypter le disque", comme s'ils voulaient réellement supprimer le cryptage pour une raison quelconque.
Ou s'ils ont un disque qui, d'une manière ou d'une autre, n'a jamais été crypté et qu'ils veulent maintenant rajouter le cryptage.
Alors ils ont pensé: «Eh bien, ce ne sont que des cas particuliers de rechiffrement. Alors truquons le système au lieu de les écrire comme des utilitaires séparés.
Faisons-les simplement comme des "cas déviants" de réinfection…
DOUG. [DES RIRES]
CANARD. Pour faire court, il s'avère que si vous utilisez décrypter or crypter fonctions, plutôt que les rechiffrer fonction, alors cryptsetup ne prend pas suffisamment soin de ce que vous pourriez appeler les métadonnées - les données temporaires - qui enregistrent la distance parcourue.
Ainsi, quelqu'un qui a accès à votre ordinateur *mais ne connaît pas votre mot de passe* peut modifier votre disque dur et tromper le système en lui faisant croire : "Oh, j'étais au milieu du décryptage, mais il s'est cassé à mi-chemin".
Si vous essayiez de faire cela lorsque la personne était en train de *rechiffrer*, cela irait, "Uh oh! Quelqu'un a trafiqué votre disque : vous devez enquêter ! ».
Mais ces vérifications, si vous utilisiez le *decrypt* pur, n'étaient pas faites.
Ainsi, quelqu'un pourrait obtenir votre ordinateur pendant que vous ne regardiez pas, le manipuler, puis lorsque vous redémarrez et entrez votre mot de passe, au moins une partie du disque peut être déchiffrée.
Et vous ne vous en rendriez pas compte, mais vous vous retrouveriez avec au moins un petit morceau de votre disque déchiffré.
Ce qui signifie que si vous comptez sur le chiffrement intégral du disque pour dire au régulateur : « Au fait, si cet ordinateur portable est volé, je peux vous promettre qu'il n'y a aucune donnée en clair ici »…
… eh bien, vous ne dites peut-être pas la vérité, car il peut y avoir un petit, moyen ou grand morceau de données qui * a * été déchiffré sans que vous vous en rendiez compte.
Et c'est de pire en pire !
Ce qu'une personne pourrait faire est la suivante : elle pourrait décrypter une partie de votre disque et revenir plus tard. Si vous ne l'avez pas remarqué, ils pourraient fouiller dans ces données décryptées, qui ne sont plus protégées en intégrité ; c'est juste du texte en clair.
Ils pourraient apporter des modifications astucieuses : peut-être qu'ils pourraient changer un nom de fichier, ou, s'ils pouvaient trouver des fragments de quelque chose qui ressemblait à votre historique de navigation, ils pourraient insérer un historique de navigation qui vous ferait ressembler à une personne très méchante.
Ensuite, ils pourraient exécuter le bogue à l'envers ! Ils pourraient dire : « Vous devez rechiffrer ce truc.
Et la prochaine fois que vous démarrerez et saisirez votre mot de passe, votre disque se "réparera" en chiffrant à nouveau les éléments qui ont été déchiffrés par inadvertance, mais *avec des modifications non autorisées*.
DOUG. Ooooooooooh.
CANARD. Cela ressemble donc à "Eh bien, ce n'est pas vraiment un bug, n'est-ce pas?"
Mais ce que cela signifie, c'est que quelqu'un qui a à cœur vos pires intérêts (par exemple, quelqu'un qui veut vous gazer), s'il a accès à votre ordinateur quand vous ne regardez pas, il pourrait, *sans jamais avoir à trouver votre mot de passe* , vous assemblez des données sur votre disque chiffrées avec votre mot de passe.
Alors ils pourraient dire : « Comment diable ai-je pu faire ça ? Je ne connais pas le mot de passe. Je peux prouver que je ne connais pas le mot de passe, au-delà de tout doute raisonnable, en tout cas. S'il est crypté avec votre mot de passe, eh bien, alors * vous * devez l'avoir fait.
DOUG. Oui.
CANARD. Et c'était une petite échappatoire qui signifiait que cette hypothèse ne tenait pas nécessairement…
…et donc vous devriez obtenir la dernière version du programme cryptsetup, car il ajoute les vérifications qui auraient dû être dans les fonctions pure decrypt et pure encrypt.
Il ajoute des contrôles d'intégrité qui garantissent que personne n'essaie de déclencher le décryptage ou le cryptage sans avoir réellement connu le mot de passe à l'avance.
Si vous avez cryptsetup, la version que vous voulez est 2.4.3 ou plus tard.
DOUG. Très bien, vous pouvez en savoir plus à ce sujet - l'article est sur Naked Security à Serious Security : bogue de chiffrement intégral du disque Linux corrigé - correctif maintenant.
Bon, ça fait du bien de retrouver un rythme, une cadence, là où une autre semaine passe…
… et nous avons maintenant un bogue de pomme parler de.
CANARD. [RIRES] Je me demandais où tu voulais en venir, Doug !
Oui, c'est un bogue d'Apple. Et ennuyeux, c'est un bogue dans Safari, ou peut-être plus important encore, dans WebKit, qui est ce que vous pourriez appeler le moteur de navigateur utilisé par Safari.
DOUG. [IRONIQUEMENT] Alors je crois que je vais simplement télécharger Firefox pour mon iPad et tout ira bien, Paul. À droite?
CANARD. Eh bien, c'est le problème. S'il ne s'agit pas de macOS, mais plutôt d'iOS ou d'iPadOS, Apple exige que toutes les applications de navigation Web utilisent WebKit.
Donc, dans iOS et iPadOS, vous n'avez pas vraiment de solution de contournement. Ou plus important encore, si vous pensez, "Oh, je vais juste aller chercher Firefox", cela ne vous sauvera pas de ce bogue.
DOUG. Alors, qu'est-ce qui cause réellement le problème ici?
CANARD. Il est Caractéristique et complexité considérées comme nuisibles encore une fois, Doug.
DOUG. Quoi encore?
CANARD. Encore encore.
DOUG. Cela devient un thème !
CANARD. Comme nos auditeurs le savent sûrement, ce qu'on appelle données HTTP avec état - en d'autres termes, des choses dont votre navigateur se souvient pour que lorsque vous revenez sur un site Web, le site Web puisse dire que c'est vous qui revenez…
Évidemment, c'est bon pour le suivi, mais c'est aussi bon pour des choses comme « Dois-je utiliser les grosses polices ou les petites polices ? Dois-je être en mode téléphone mobile ou en mode bureau ? » Toutes ces choses que vous souhaitez conserver entre une visite sur le site Web et la suivante.
…traditionnellement, ceux-ci étaient gérés par des objets de données appelés biscuits.
Et sans cookies, nous n'aurions jamais pu avoir de sites Web qui vous permettaient de vous connecter, car le site Web ne serait pas en mesure de se rappeler : "Hé, c'est la même personne qui revient".
Mais il s'avère que les cookies sont inefficaces, car lorsque vous envoyez des cookies, vous devez envoyer tous les cookies jamais définis par un site Web, chaque fois que vous vous connectez à une page du site Web, même si cette page n'en a pas besoin.
Et par conséquent, la plupart des navigateurs ont une limite stricte sur la quantité de données de cookies que vous pouvez avoir.
Alors devinez ce qui s'est passé ? Les navigateurs se sont réunis et ont dit : "Hé, faisons un truc qui s'appelle espace archivage sur le Web», qui sont comme de gros cookies auxquels vous pouvez accéder avec JavaScript. Vous accédez uniquement au stockage Web avec JavaScript à partir d'une page Web particulière, lorsque vous savez que vous avez besoin des données.
Vous aviez donc des cookies et un stockage Web ; deux technologies différentes. L'un ne nécessitait pas de JavaScript ; l'un d'eux nécessitait JavaScript. L'un était limité dans la quantité de données d'état qu'il pouvait enregistrer; l'autre était beaucoup plus flexible et vous permettait de sauvegarder des objets beaucoup plus gros.
Mais même le stockage Web n'était pas assez bon, Doug, car le plus drôle semble être que plus nous adoptons le cloud, plus nous nous attendons à ce que notre navigateur se comporte comme s'il s'agissait d'une application installée localement.
Alors, le long est venu une chose appelée BD indexée, qui est, si vous le souhaitez, un TROISIÈME type de cookie.
Nous avons biscuits qui vont dans les en-têtes Web ; nous avons espace archivage sur le Web, qui est une sorte de petite mini-base de données lâche et informelle à laquelle JavaScript peut accéder ; et nous avons BD indexée, qui est presque, mais pas tout à fait, une base de données SQL côté navigateur.
Il n'utilise pas réellement SQL, mais il vous permet de stocker des blocs de données beaucoup plus volumineux, tels que des documents entiers ou des ensembles entiers de documents, si vous faites un système de gestion de contenu, ou des images massives, si vous écrivez un nuage programme de traitement d'image basé sur , par exemple.
Vous avez des cookies pour de petites quantités de données ; stockage Web où vous avez besoin d'un peu plus; et IndexedDB où vous voulez des quantités importantes de données structurées.
Parce que quand deux choses peuvent faire quelque chose de mal…
DOUG. [DES RIRES]
CANARD. … trois choses peuvent le faire encore [PAUSE] mieux, apparemment.
Et le problème c'est - c'est vraiment tout petit - que sur Safari, ou sur WebKit, il y a une fonction spéciale qui s'appelle indexedDB.databases qui, lorsque vous l'appelez, vous donne une liste de toutes les bases de données IndexedDB actuellement actives connues du navigateur.
Mais il donne à n'importe quelle page Web, n'importe quel onglet, n'importe quelle fenêtre, n'importe quel site Web, un accès à la liste complète des * noms * de base de données.
Il applique la Politique de même origine qui indique que le site Web X ne peut pas lire les bases de données IndexedDB du site Web Y, de sorte qu'un site Web ne peut accéder qu'à son propre cookie, à son propre stockage Web et à ses propres données IndexedDB.
Mais tous les onglets peuvent accéder à la liste des *noms* de la base de données, qui, aussi minuscule que cela puisse paraître, s'avère être un pas trop loin.
Parce que, comme les chercheurs qui ont trouvé cela, c'est une société appelée Fingerprint JS ; ils partent à la recherche d'anomalies de navigateur…
… comme ils l'ont découvert, de nombreux sites Web grand public, lorsqu'ils créent l'une de ces bases de données IndexedDB pour leur propre usage, lui donnent un nom révélateur.
Ils ne font pas que l'appeler blah or db; ils le nommeront d'une manière qui indique à quel service il appartient.
C'est comme dire à un escroc : "Je vous ai bloqué l'accès à toutes les données de mon ordinateur, mais je *vais* vous laisser télécharger une liste de tous mes noms de fichiers."
DOUG. Ah ah !
CANARD. Vous pouvez imaginer qu'il y a beaucoup de secrets dans vos noms de fichiers, dans votre soi-disant métadonnées.
Et l'autre chose que les chercheurs ont découverte – ils ont particulièrement étudié cela pour Google, mais ce n'est pas vraiment la faute de Google ; ne pas blâmer Google…
… Apparemment, Google utilise votre ID utilisateur Google comme nom de base de données, qui est une chaîne de caractères aléatoire.
Maintenant, cela ne dit pas à quelqu'un qui peut lister cet identifiant unique * qui * vous êtes. Un escroc avec un site Web qui abuse de cette fonction ne saura pas que "Doug" est représenté par cette chaîne hexadécimale particulière.
Mais chaque fois que "Doug" visite leur site Web, même si "Doug" a une protection contre le suivi qui essaie de les empêcher de comprendre où vous avez été…
… vous reviendrez *avec le même ID utilisateur Google* si vous êtes toujours connecté à Google.
Ainsi, ils ne sauront pas qui vous êtes, mais ils sauront que c'est la même personne qui revient encore et encore - sans installer de cookies ni faire quoi que ce soit de sournois.
C'est presque comme si cette liste de base de données IndexedDB pouvait agir comme une sorte de supercookie : je ne sais pas qui c'est, mais je sais que c'est la même personne à chaque fois.
C'est une information que vous n'avez probablement jamais eu l'intention de donner.
Et c'est pourquoi ce bogue est important, compte tenu des efforts que les fabricants de navigateurs ont déployés au fil des ans pour éliminer toute cette trahison que les gens pourraient faire avec ce qu'on appelle super cookies - c'est là que les escrocs utilisent des choses comme "quels sites Web avez-vous visités en utilisant HTTPS au lieu de HTTP ?" comme moyen de savoir qui vous êtes, ou "quelles polices avez-vous installées ?", ou "quelle résolution d'écran utilisez-vous ?"
Toutes ces choses que les gens utiliseraient de manière douteuse pour essayer de vous identifier en tant qu'utilisateur individuel peuvent être faites avec IndexedDB.
Et comme nous l'avons déjà déploré à plusieurs reprises, Apple ne dit pas quand ils vont résoudre ce problème.
Mais la raison pour laquelle Fingerprint JS a écrit à ce sujet maintenant est qu'ils peuvent voir, à partir des composants open source de WebKit, que les programmeurs Apple semblent regarder cela, et ils commencent à fusionner dans toute une série de changements qui corrigeront ce.
Il y a donc probablement un correctif pour Safari/WebKit bientôt disponible… mais Apple ne croit pas qu'il faille vous dire qu'il arrive.
Vous n'avez qu'à supposer que c'est le cas. Alors surveillez cet espace.
DOUG. OK, on va surveiller ça ! C'est-à-dire Sécurité sérieuse : Apple Safari divulgue des données privées via l'API de base de données - ce que vous devez savoir, sur nakedsecurity.sophos.com.
Et c'est ce moment du spectacle : le Oh! Non! de la semaine.
L'utilisateur de Reddit dilgentcockroach700 écrit…
CANARD. Cela signifie-t-il qu'il y a 699 cafards diligents devant lui ?
DOUG. Je sais! Imaginez essayer de sécuriser ce nom d'utilisateur !
CANARD. [PRETENDING TO BE A SUPPORT BOT] "Autres noms d'utilisateur que vous pourriez aimer…"
DOUG, Oui, 700 : beaucoup de cafards ; ils sont difficiles à tuer.
[RACCHER L'HISTOIRE] Dans les années 1980, je travaillais pour une société de télécommunications au Royaume-Uni. Nous avions un PDP-11 de Digital Equipment Corporation dont j'étais responsable, qui se trouvait dans une pièce à environnement contrôlé.
Un lundi matin, je suis arrivé au bureau pour constater que l'ordinateur était complètement mort. Je me suis précipité dans la salle informatique pour trouver des échelles, des pots de peinture, des pinceaux et une bâche géante recouvrant complètement le PDP-11, qui était maintenant si chaud qu'il était presque rougeoyant.
(Si personne n'en a jamais vu un, c'est à peu près la taille d'un réfrigérateur que vous mettez dans votre cuisine… c'est un ordinateur géant.)
Apparemment, le département des services de bureau avait décidé que la pièce avait besoin d'être décorée, mais n'avait pris la peine de le dire à personne.
J'ai coupé l'alimentation de l'ordinateur, retiré la feuille de poussière et l'ai laissé refroidir.
Plus tard, j'ai essayé de le redémarrer mais cela ne fonctionnait pas. J'ai fini par devoir faire appel à des ingénieurs DEC des États-Unis et remplacer la plupart des composants internes frits. Mon responsable a demandé au département des services de bureau de payer la facture de plusieurs milliers de livres sur son budget.
Alors, imaginez - un ordinateur géant de la taille d'un réfrigérateur - à quel point cela chaufferait…
CANARD. [DES RIRES]
DOUG. … et ensuite mettre une bâche de peintre dessus pour peindre la pièce dans laquelle il se trouvait.
CANARD. C'était la peinture la plus chère du monde !
DOUG. Euh hein !
Eh bien, je suppose qu'ils ont probablement remplacé ce PDP-11 par quelque chose d'un peu plus svelte.
CANARD. Probablement dix fois plus puissant, comme un Raspberry Pi Zero.
DOUG. Ou un téléphone portable !
Quoi qu'il en soit, si vous avez un Oh! Non! vous souhaitez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un courriel tips@sophos.com, vous pouvez commenter n'importe lequel de nos articles, ou vous pouvez nous contacter sur les réseaux sociaux @nakedsecurity.
C'est notre émission d'aujourd'hui – merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, je vous rappelle…
Jusqu'à la prochaine fois…
TOUS LES DEUX. … restez en sécurité !
[MODÈME MUSICAL]
Source : https://nakedsecurity.sophos.com/2022/01/20/661378/
