Crédit :CC0 Domaine public
Nouvelle recherche du CSIRO's Data61, la branche spécialisée dans les données et le numérique de l'agence scientifique nationale australienne, remet en question la « confiance » des sites Web et, dans une première mondiale, quantifie à quel point le modèle de confiance du World Wide Web d'aujourd'hui est fondamentalement brisé.
Les chercheurs ont découvert qu'environ la moitié des sites Web les plus populaires d'Internet sont exposés à des activités malveillantes car ils dépendent d'une chaîne d'autres tiers pour importer des ressources externes, telles que des fournisseurs d'annonces, les services de suivi et d'analyse et les réseaux de distribution de contenu, qui sont souvent nécessaires pour charger correctement le contenu.
Ces tiers peuvent charger davantage des ressources d'autres domaines en créant une chaîne de dépendances pouvant aller jusqu'à plus de 30 domaines, sous-tendu par une forme de confiance implicite avec le site d'origine. La recherche a révélé que plus la chaîne de dépendance est large, plus la menace d'activité malveillante est grande.
Professeur Dalí Kaafar, Responsable de la recherche sur la sécurité de l'information et la confidentialité au CSIRO's Data61 et directeur scientifique du centre de cybersécurité de l'Université Optus Macquarie, a déclaré que bien qu'il s'agisse d'une décision de conception Web bien connue, souvent négligées sont ses implications sur la sécurité et la confidentialité.
« Presque tous les sites Web sont aujourd'hui fortement intégrés à des composants de suivi. Pour chaque site Web que vous visitez, vous pourriez charger sans le savoir du contenu provenant de parties potentiellement malveillantes et laisser une trace de votre activité sur Internet, " a déclaré le professeur Kaafar.
La recherche a également révélé que 1,2% des tiers liés aux 200 000 principaux sites Web étaient suspects. Javascript de ressource Web populaire, généralement utilisé pour améliorer l'expérience utilisateur du Web, représente le plus grand risque d'activité malveillante car ils sont conçus pour être exécutés sans être détectés.
"La menace potentielle ne doit pas être sous-estimée, car le contenu suspect chargé sur les navigateurs peut ouvrir la voie à d'autres exploits, notamment des attaques par déni de service distribué qui perturbent le trafic vers les sites Web, et les campagnes de ransomware qui ont coûté au monde plus de 8 milliards de dollars US en 2018, " a déclaré le professeur Kaafar.
"C'est inquiétant, les sites Web originaux ou « de première partie » ont peu ou pas de visibilité sur l'origine de ces ressources. Cela indique un manque de « confiance » du contenu sur le Web, et la nécessité de mieux réguler le web en introduisant des mesures de sécurité standardisées et la notion de confiance explicite."
Résoudre le problème de sécurité créé par les chaînes de dépendances nécessitera des recherches supplémentaires, le soutien du World Wide Web Consortium, l'organisation prédominante axée sur le développement de normes Web, ainsi que les « hypergéants » du Web. »
En attendant, Le professeur Kaafar suggère d'installer de simples extensions de navigateur Web telles que des bloqueurs de publicités et de JavaScript pour limiter l'exposition aux activités malveillantes sur le Web.