Détournement(s) de technologie(s)

. lecture : 2 minutes

Table des matières

J'aime bien quand certains imaginent ce qu'on peut faire avec un technologie, surtout quand il s'agit d'un cas absolument pas prévu par ses créateurs. Sur ce sujet, deux exemples me viennent en tête : Les cookies "permanents" de KISSmetrics, & Telex.

Perma-cookies

Les ETags font partie du protocole HTTP, qui vous permet d'accèder au web. Quand vous demandez un site internet, votre navigateur demande au serveur le contenu du fichier HTML, puis demande toutes les ressources (images, feuilles de style, etc.) indiquées dans ce fichier.

Le serveur renvoie, en plus des ressources, des entités ETag, sortes d'empreintes digitales des fichiers demandés. Lors d'une seconde visite sur le même site, le navigateur indiquera cet ETag en demandant chaque ressource; ce code sera analysé par le serveur, pour qu'il sache si le fichier en question a été modifié depuis la première visite.

Grâce aux ETags donc, le serveur n'envoie au client que les fichiers qui ont été modifiés, ce qui economise du temps et de la bande passante.

La société KISSmetrics à trouvé un moyen d'utiliser ces codes dans un autre but, celui de tracker les visiteurs, même s'ils avaient interdit l'utilisation de cookies (Cette technique a été détaillée par Steve Gibson dans le netcast "Security Now!" N°312 (english transcript)).

En effet, plutôt que d'envoyer un ETag representant le fichier demandé, le service de KISSmetrics envoie un code aléatoire qu'il stocke quelque part. Quand le visiteur revient sur un site tracké par la société, il va renvoyer cet ETag au serveur, qui sait alors qu'il a déjà rencontré cet utilisateur !

Telex

Telex est un peu plus complexe, et modifie la façon dont les internautes se connectent en SSL, ou connexion sécurisée. Afin de pouvoir établir un dialogue crypté entre le client et le serveur, ces derniers doivent échanger une clé de cryptage, qui normalement est aléatoire.

Avec Telex, quelqu'un peut accèder à un site qui serait normalement bloqué dans son pays, en prétendant vouloir se connecter de façon sécurisée à un site A, qui lui n'est pas bloqué. Le client envoie alors une clé, mais celle-ci est particulière : toujours aléatoire, elle correspond à certains paramètres que l'on peut détecter si on sait ce que l'on cherche (la documentation de Telex parle de "clé stéganographique").

Installé chez un FAI complice, Telex détecte alors qu'il s'agit d'une demande de connection particulière, et renvoie au client le contenu du site B, qui normalement est bloqué pour cet utilisateur.

Dites-moi si c'est plus clair avec un schéma :

fonctionnement de Telex


Manu·e

La personne qui a créé Épinards & Caramel. ☕🤔🐙

Étiquettes

In English Copié de l'ancien site Machinima Maths Épinards et Caramel Juste un lien Livre PHP Galerie d'images Connerie WoW 3615 Ma vie Conseil Actualités Film Jeux vidéos symfony 1.4 Hack DEFCON javascript Vidéos TED & TEDx Musique Piratage Réflexions IBM IA (Intelligence artificielle) Zombi Logiciel Télé Science Site internet Style Google Pentesting Code Boulot Religion Twitter Facebook Design Économie Ubuntu C'était mieux avant Symfony2 Comédie Musicale WebGL Europe Android Argent Bitcoin Sécurité informatique Cryptographie Robots Linguistique Wikileaks USA Haïti Open world game Apple Cloud HADOPI Loi Internet Minecraft Plugin Tracking Publicité Visualisation de données Last.fm Python Canvas Serious game Humour Podcast Techno-thriller Espace Norvège Nutrition Informatique Linux Firefox Jquery Science Fiction Windows Bricolage Pieuvres Wikipedia In Italiano Italie CSS Dwarf Fortress Canal+ Hardware User experience design Lego France Grèce Allemagne Photographie Censure de l'Internet Chine Écologie Vie privée Islam Maroc Violence physique Sex XIXe siècle Histoire Brésil Portugal Échecs Logique Microsoft Steam Opera Graphisme Finance Sondage Food Traduction Paris Canada Surveillance de l'Internet Horreur Algorithmique Unicode & Emoji Physique Santé Tribute MMORPG Finlande Russie XXe siècle Seconde Guerre Mondiale Langage Star Wars Impression 3D Death Framework Politique Typographie NASA Polémique Mars Féminisme Violence sexuelle Libertés fondamentales Corée du Sud Suisse Japon Toys Concurrence Droit d'auteur Éducation Estonie UK Égypte Indonésie Théâtre ONU Peine de mort Abeilles Prix Nobel En español Cannabis Aléatoire Censure Applications mobiles Course Homosexualité Danse Adobe NPR Mozilla Guitare Homophobie Mariage TWiT Settings Français DARPA Boston Dynamics Nerdfighteria Cancer Traitement de l'image Armes Secte de Scientologie The Onion Tumblr ADHD Drugs Scandale Césars Paradis fiscaux Copyright Documentaire Yahoo BDSM Post-apocalyptic Sword & Laser Virtual reality Spam Mali Timbuktu Manuscripts Crowdfunding indiegogo RSS Feedly Free Youtube Magie Meta Puzzle Tetris Grève Vocabulaire Bateaux Système métrique Vision artificielle Apprentissage automatique Traduction automatique Traitement du langage naturel Alan Turing meme Pixar Psychologie Debate Éclipse Ciel & Espace Organisation Google Analytics D3.js Vexillologie Oracle Juridique Saisons Astronomie Comète Rosetta ESA Pokémon Go Critiques, tests Programmes Élections Scrutin Météo Changement Climatique Tractors PUBG Capitalisme Changement d’heure Anarchisme Écriture Inclusive Bisexualité Game Jeux de société Toulouse Évènement