Google s’inquiète de l’augmentation de certaines attaques et met en place un site pour avertir les utilisateurs

Google s’inquiète de l’augmentation de certaines attaques et met en place un site pour avertir les utilisateurs

Un nouveau wiki est mis à disposition par Google afin de renforcer la recherche sur les fuites d’informations “cross-site leaks”.

Les fuites d’information de type “cross-site leaks” sont des failles utilisées par des sites web pour récolter des informations sur l’utilisateur ou dérober ses données à travers d’autres applications web. “De plus en plus, les problèmes de sécurité découverts dans les applications web moderne reposent sur l’utilisation abusive de comportements connus de longue date des plateformes web, permettant à des sites peu recommandables de révéler des informations sur l’utilisateur ou ses données dans d’autres applications web. Cette catégorie de problèmes, généralement appelée “cross-site leaks” (XS-Leaks, ou fuites intersites en français, NDLR), pose des défis intéressants aux ingénieurs en sécurité et aux développeurs de navigateurs web en raison de la diversité des attaques et de la complexité de la mise en place de défenses complètes” indique Google sur son blog. 

Ce nouveau wiki contient des explications sur le fonctionnement des failles de catégorie cross-site leaks, les modes d’attaques et les possibilités de défense contre celles-ci. Il est également expliqué que les XS-Leaks “sont une classe de vulnérabilités dérivées des canaux latéraux (side-channels, NDLR) au sein du web. Ils tirent parti d’un principe fondamental du web, la “composabilité”, qui permet aux sites web d’interagir entre eux, et d’abuser de mécanismes légitimes pour déduire des informations sur l’utilisateur ” est-il précisé. 

Depuis 2010, Google lutte contre les failles XS-Leaks avec des chercheurs en sécurité au travers du programme bug bounty pour ses propres sites. Plus particulièrement pour Google et YouTube. Il y a encore peu, Google utilisait XSS Auditor, une fonctionnalité permettant de scanner le code source d’un site web afin d’y trouver d’éventuel signe d’attaques. Cependant Google a supprimé cette fonctionnalité il y a un an après avoir constaté que XSS Auditor provoquait lui-même de nombreuses fuites XS Leaks. Le wiki présente plusieurs outils de sécurité pour contourner ou atténuer les attaques. Le navigateur web peuvent également intégrer de nouvelles fonctions de sécurité avec Fetch Metadata Request Headers. Cette dernière envoie des requêtes HTTPS pour récolter des informations contextuelles sur l’origine d’une requête.

 

Source : ZDnet