web security

Vous pensiez surfer de manière anonyme sur Internet quand vous activez le mode incognito de votre navigateur ? Que nenni !

Internet regorge d'astuces pour récupérer vos données personnelles, l'utilisation du protocole WebRTC par exemple pour récupérer l'adresse IP locale de votre ordinateur, la création d'entrées DNS fictives pour identifier vos serveurs DNS ...

De nombreux sites vous donnent toutes les informations qui peuvent être obtenues de votre navigateur et pouvant être exploitées par des tierces personnes :

L'algorithme utilisant le protocole WebRTC pour récupérer l'adresse IP locale d'un navigateur est détaillé sur cette page GitHub : https://github.com/diafygi/webrtc-ips

Cet algorithme utilise une fonction spécifique du protocole WebRTC pour permettre d'identifier l'adresse IP locale de votre ordinateur sur votre réseau local ... Cette technique peut notamment permettre à un attaquant de connaitre votre plage d'IP de votre sous-réseau local pour planifier une attaque de type XSS ciblant un NAS ou toute autre ressource sensible de votre réseau local.

Une autre astuce pour permettre d'identifier votre PC sans cookie est la technique du Browser Fingerprinting. Il existe de nombreux algorithmes sur Internet pour identifier votre navigateur par un identifiant issu d'un agrégat d'un ensemble d'informations issues de la configuration de votre navigateur. Vous pouvez tester cette technique depuis votre navigateur sur : https://amiunique.org/fp

Des algorithmes en Javascript permettent de créer très facilement ce type d'empreinte sans l'usage de cookie ou voir même du local storage de votre navigateur : https://github.com/Valve/fingerprintjs.

Ces empreintes peuvent malheureusement permettre de vous tracer malgré le fait que vous n'acceptez pas l'utilisation de cookies. Sachant que la majorité des ISP fournissent des adresses IP fixes à leurs abonnés, la seule solution aujourd'hui pour protéger votre anonymat est de désactiver la fonctionnalité WebRTC de votre navigateur, de désactiver l'IPV6 (si votre fournisseur de VPN n'offre pas de connectivité IPV6), d'activer le mode "incognito" et de passer par un VPN et un DNS garantissant votre anonymisation ...

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.