Votre navigateur Internet révèle vos données personnelles

Votre navigateur possède une fonctionnalité très pratique : sauvegarder vos formulaires pour ne pas avoir à les saisir une nouvelle fois ultérieurement. En effet, pour bénéficier des services de la plupart des sites, il faut s’inscrire et rien n’est moins fatiguant que de ressaisir ses données d’identification. On remercie donc cette fonctionnalité du navigateur qui nous fait gagner du temps.

Mais, grâce à la simple utilisation de champs de formulaires cachés (input type=hidden), fonctionnalité qui existe depuis les tous débuts d’Internet, un site peut vous demander une ou deux informations et récupérer toutes les autres à votre insu.

Vous pouvez faire le test vous même avec cette page de démonstration.

Pour en savoir plus, lisez l’article de 01Net : « Comment votre navigateur peut vous trahir en voulant vous faciliter la vie« .

Avec les empreintes digitales, la sécurité de votre smartphone est compromise

Vous avez acheté un smartphone récent équipé d’un capteur d’empreintes digitales ? C’est très pratique car vous n’avez plus à taper votre mot de passe pour accéder à votre smartphone. Mais imaginez maintenant que vous publiez sur Facebook une photo en montrant vos mains. Avec les résolutions des appareils photos d’aujourd’hui, il est possible d’en récupérer vos empreintes digitales et ainsi pirater l’accès à votre smartphone à votre insu. Inquiétant non ?

 

Pour en savoir plus, lisez l’article de Rue 89 : « Pour pirater une empreinte digitale, cette photo suffit« .

C’est l’occasion de rappeler que les constructeurs de smartphones collaborent avec les services secrets. Une image très connue est sortie à l’époque où Apple a annoncé son nouvel iPhone avec lecteur d’empreintes digitales.

L’existence d’Internet est menacée

J’utilise Internet depuis plus de 20 ans. Les moins de 20 ans ont toujours connu Internet. Ce service est devenu indispensable pour tout le monde. Il est au cœur de l’économie mondiale. Et si on imaginait un instant qu’Internet pourrait disparaître ?

internet-attaque

Ce n’est pas tant que cela de la science fiction. Cela risque même d’arriver à court terme. Internet est un tel enjeu stratégique qu’il devient un lieu de guerre entre états et organisations terroristes. La guerre sur Internet est beaucoup plus facile et moins chère que dans le vrai monde. L’arme du crime ? Les internautes… à l’insu de leur plein gré… ou plutôt en profitant de leur crédulité.

Qu’est-ce qui vous ennuie le plus sur Internet à part les publicités ? J’imagine que c’est saisir votre mot de passe. Alors vous avez un mot de passe facile à taper… et donc à pirater. Lorsque vous vous connectez à différents sites, vous utilisez le même compte et le même mot de passe. Ainsi, quand un site se fait pirater tous ses mots de passe (LinkedIn ou Yahoo pour ne citer qu’eux mais il y a maintenant une annonce de ce type tous les mois), non seulement les pirates peuvent accéder à votre compte, mais aussi à tous vos autres sites et accéder facilement à vos ressources critiques : votre ordinateur, votre carte bancaire…

Aujourd’hui, il y a encore plus simple : les objets connectés. Des appareils qui n’ont pas besoin d’être sécurisés, du moins c’est ce que l’on pense. Il est vrai qu’il n’y a rien de secret à rendre public les images de la caméra de surveillance connectée que vous avez acheté pour surveiller votre domicile. C’est encore moins secret pour une ampoule connectée ou un thermostat connecté. Et comme on veut toujours acheter le moins cher possible, les éditeurs ont fait l’impasse sur la sécurité : pas de mot de passe ou mot de passe par défaut non modifiable ou, si l’on a de la chance, modifiable mais qu’on ne change pas. Commit Strip a d’ailleurs fait récemment une bande dessinée humoristique sur le sujet.

Il existe aujourd’hui 6 milliards d’objets connectés dans le monde, tous piratables aisément. Il y en aura 20 milliards en 2020. Et les pirates ne s’en privent pas. C’est ainsi qu’on bat records sur records dans l’ampleur des attaques de type DDoS, ou Déni de Service Distribué. Le principe : les ordinateurs piratés se connectent tous en même temps sur le même serveur qui s’écroule et ne peut plus servir les autres utilisateurs. Récemment, OVH a subi une attaque de 1 Tb/s, le dernier record connu. OVH est l’un des cinq plus gros hébergeurs de sites Internet au monde et le premier Français. Il héberge notamment ce blog.

Vendredi, un nouveau type d’attaque a eu lieu. Plutôt que d’attaquer les serveurs Web, mieux vaut attaquer les serveurs DNS, les serveurs chargés de transformer les adresses sous forme de texte que l’on saisit en adresse IP pour accéder au site voulu. C’est ainsi que l’un des plus connus, Dyn, a été attaqué. Les serveurs DNS doivent être appelés pour connaitre l’adresse du site où l’on veut aller. Alors si le serveur DNS est bloqué, impossible d’aller sur les sites. Et comme les requêtes DNS sont petites, les serveurs DNS référencent des milliers (millions ?) de sites Internet. En bloquant un seul serveur, on peut ainsi bloquer l’accès à des millions de sites simultanément. Ce risque de vulnérabilité des serveurs DNS est connu depuis bien longtemps. C’est le maillon faible d’Internet.

Pour l’instant, les attaques ont lieu pendant une durée limitée, tout au plus une demi-journée. Imaginez maintenant que ces attaques deviennent permanentes et distribuées simultanément sur tous les serveurs DNS du monde ? A ce moment là, ce sera Internet dans son ensemble qui n’existera plus. Techniquement, on n’en est pas loin.

Pour en savoir plus, lisez l’article de 20 minutes : « Comment une armée d’objets connectés infectés a cassé Internet« .