Aujourd'hui, la plupart des navigateurs Web ont des modes de navigation privée, dans lequel ils s'abstiennent temporairement d'enregistrer l'historique de navigation de l'utilisateur.

Mais les données consultées lors des sessions de navigation privée peuvent toujours se retrouver cachées dans la mémoire d'un ordinateur, où un attaquant suffisamment motivé pourrait le récupérer.

Cette semaine, au Symposium sur la sécurité des réseaux et des systèmes distribués, des chercheurs du Laboratoire d'informatique et d'intelligence artificielle du MIT (CSAIL) et de l'Université Harvard ont présenté un article décrivant un nouveau système, surnommé le Voile, qui rend la navigation privée plus privée.

Veil offrirait des protections supplémentaires aux personnes utilisant des ordinateurs partagés dans les bureaux, centres d'affaires hôteliers, ou centres de calcul universitaires, et il peut être utilisé en conjonction avec les systèmes de navigation privés existants et avec les réseaux d'anonymat tels que Tor, qui visait à protéger l'identité des internautes vivant sous des régimes répressifs.

« Veil a été motivé par toutes ces recherches qui ont été faites auparavant dans la communauté de la sécurité qui a dit :« Les modes de navigation privée fuient :voici 10 façons différentes dont ils fuient, '" dit Frank Wang, un étudiant diplômé du MIT en génie électrique et informatique et premier auteur de l'article. "Nous avons demandé, « Quel est le problème fondamental ? » Et le problème fondamental est que [le navigateur] collecte ces informations, puis le navigateur fait de son mieux pour le réparer. Mais à la fin de la journée, quel que soit le meilleur effort du navigateur, il le recueille encore. Nous pourrions aussi bien ne pas collecter ces informations en premier lieu. »

Wang est rejoint sur le papier par ses deux directeurs de thèse :Nickolai Zeldovich, professeur agrégé de génie électrique et d'informatique au MIT, et James Mickens, professeur agrégé d'informatique à Harvard.

Jeu de coquille

Avec les sessions de navigation privée existantes, Wang explique, un navigateur récupérera les données comme il le fait toujours et les chargera en mémoire. Lorsque la séance est terminée, il tente d'effacer tout ce qu'il a récupéré.

Mais dans les ordinateurs d'aujourd'hui, la gestion de la mémoire est un processus complexe, avec des données se déplaçant en permanence entre différents cœurs (unités de traitement) et caches (local, banques de mémoire à grande vitesse). Lorsque les banques de mémoire se remplissent, le système d'exploitation peut transférer des données sur le disque dur de l'ordinateur, où il pourrait rester des jours, même après qu'il ne soit plus utilisé.

Généralement, un navigateur ne saura pas où se trouvent les données qu'il a téléchargées. Même si c'était le cas, il n'aurait pas nécessairement l'autorisation du système d'exploitation pour le supprimer.

Veil contourne ce problème en s'assurant que toutes les données que le navigateur charge en mémoire restent cryptées jusqu'à ce qu'elles soient réellement affichées à l'écran. Plutôt que de saisir une URL dans la barre d'adresse du navigateur, l'utilisateur de Veil se rend sur le site Web de Veil et y entre l'URL. Un serveur spécial, que les chercheurs appellent un serveur aveuglant, transmet une version de la page demandée qui a été traduite au format Veil.

La page Veil ressemble à une page Web ordinaire :n'importe quel navigateur peut la charger. Mais intégré dans la page est un peu de code, un peu comme le code intégré qui, dire, exécuter une vidéo ou afficher une liste de titres récents dans une page ordinaire, qui exécute un algorithme de décryptage. Les données associées à la page sont inintelligibles jusqu'à ce qu'elles passent par cet algorithme.

Leurres

Une fois les données décryptées, il devra être chargé en mémoire aussi longtemps qu'il sera affiché à l'écran. Ce type de données stockées temporairement est moins susceptible d'être traçable une fois la session de navigateur terminée. Mais pour confondre davantage les attaquants potentiels, Veil comprend quelques autres fonctionnalités de sécurité.

L'une est que les serveurs aveuglants ajoutent au hasard un tas de code sans signification à chaque page qu'ils servent. Ce code n'affecte pas l'apparence d'une page pour l'utilisateur, mais cela change radicalement l'apparence du fichier source sous-jacent. Il n'y a pas deux transmissions d'une page desservies par un serveur aveuglant qui se ressemblent, et un adversaire qui a réussi à récupérer quelques extraits de code déchiffré après une session Veil ne serait probablement pas en mesure de déterminer quelle page l'utilisateur a visitée.

Si la combinaison du déchiffrement à l'exécution et de l'obscurcissement du code ne donne pas à l'utilisateur un sentiment de sécurité adéquat, Veil offre une option encore plus difficile à pirater. Avec cette option, le serveur aveuglant ouvre lui-même la page demandée et en prend une photo. Seule la photo est envoyée à l'utilisateur de Veil, donc aucun code exécutable ne se retrouve jamais dans l'ordinateur de l'utilisateur. Si l'utilisateur clique sur une partie de l'image, le navigateur enregistre l'emplacement du clic et l'envoie au serveur aveuglant, qui la traite et renvoie une image de la page mise à jour.

L'arrière-plan

Voile fait, bien sûr, exigent des développeurs Web qu'ils créent des versions Veil de leurs sites. Mais Wang et ses collègues ont conçu un compilateur qui effectue cette conversion automatiquement. Le prototype du compilateur télécharge même le site converti sur un serveur aveuglant. Le développeur transmet simplement le contenu existant de son site au compilateur.

Une exigence légèrement plus exigeante est la maintenance des serveurs aveuglants. Ceux-ci pourraient être hébergés soit par un réseau de bénévoles privés, soit par une entreprise à but lucratif. Mais les gestionnaires de sites peuvent souhaiter héberger eux-mêmes des versions compatibles avec Veil de leurs sites. Pour les services Web qui mettent déjà l'accent sur les protections de confidentialité qu'ils offrent à leurs clients, les protections supplémentaires fournies par Veil pourraient offrir un avantage concurrentiel.

"Veil essaie de fournir un mode de navigation privé sans s'appuyer sur les navigateurs, " dit Taesoo Kim, professeur assistant d'informatique à Georgia Tech, qui n'a pas participé à la recherche. "Même si les utilisateurs finaux n'ont pas explicitement activé le mode de navigation privée, ils peuvent toujours bénéficier des sites Web compatibles avec Veil. Veil vise à être pratique - il ne nécessite aucune modification du côté du navigateur - et à être plus fort - en prenant en charge d'autres cas particuliers sur lesquels les navigateurs n'ont pas le contrôle total."

Cette histoire est republiée avec l'aimable autorisation de MIT News (web.mit.edu/newsoffice/), un site populaire qui couvre l'actualité de la recherche du MIT, innovation et enseignement.