Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

iPad / iPhone – Le tracker impossible à enlever

@  — 

Connaissez-vous le HSTS ? Il s’agit d’une technologie qui permet d’améliorer la sécurité sur les connexions HTTPS  pour éviter les attaques Man In The Middle.

Le serveur web utilisant HSTS déclare aux navigateurs qui s’y connectent, qu’ils doivent passer obligatoirement en HTTPS pour discuter avec lui et remplacer automatiquement tous les liens http en liens https.

Cela permet d’empêcher certaines attaques MITM qui profiteraient d’un contenu mixte (http/https) pour intercepter certaines requêtes.

C’est très bien… Mais saviez-vous que cette sécurité peut servir à vous traquer ? En effet, lorsqu’une connexion sécurisée à un serveur web est effectuée avec HSTS, votre navigateur enregistre un petit marqueur qui permet de s’assurer que votre connexion sera toujours sécurisée (en https) même lors de vos visites futures sur ce site.

Malheureusement, le souci avec ce tracker est double puisque :

1/ Il est toujours présent même lorsque vous utilisez le navigateur en mode navigation privée

2/ Il ne s’efface pas… Enfin si… Sur les navigateurs d’ordinateurs (Chrome, Firefox…etc) on peut le virer en supprimant les cookies. Mais si vous avez un appareil Apple (sous Safari donc), tel un iPad ou un iPhone, il est impossible de l’effacer, même en supprimant les cookies.

Le plus beau là dedans, c’est que ce tracker HSTS est synchronisé sur votre compte iCloud. Cela veut dire que même si vous effacez tout votre téléphone, celui-ci sera à nouveau présent lorsque vous vous reconnecterez à votre compte iCloud pour une restauration.

Le chercheur en sécurité qui a découvert cette possibilité ne parle pas d’Android dans son analyse donc je ne peux pas vous dire si Chrome + un compte Google se comporte comme le combo Safari + iCloud.

Alors que faire ? Et bien si vous avez un iMachin, pas grand chose. Et si vous ne voulez pas être traqué sur votre PC, même en navigation privée,  voici une astuce qui vous permettra de passer à travers les mailles du filet : Utilisez Internet Explorer.

En effet, même si je trolle un peu, ce dernier ne supporte pas les specs HSTS… C’est ce qu’on appelle de la « Sécurité par manque de fonctionnalités » 😉

Pour tester le coté collant de la chose, je vous invite à vous rendre sur cette page qui vous générera un code HSTS en javascript… Amusez-vous ensuite à passer en navigation privée, et vous verrez…

ps : Sinon, faut vider les cookies toutes les secondes. Et jeter son iPad/iPhone…

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire

Les articles du moment