211service.com
Des astuces statistiques extraient des données sensibles à partir de communications cryptées
Piquées par des révélations sur la surveillance gouvernementale de masse, les sociétés Web grand public étendent leur utilisation du cryptage et publient plus de détails sur ces protections pour rassurer les clients méfiants. Plus tôt cette année, par exemple, Apple a publié des détails sur la façon dont les communications envoyées via son service iMessage sont cryptées.
De nouvelles recherches suggèrent que la National Security Agency des États-Unis, ou toute autre organisation capable de collecter de grandes quantités de trafic Web, pourrait extraire des informations privées des communications cryptées en recherchant des modèles dans ce flux de données. Dans les tests, l'analyse du trafic Internet crypté pourrait révéler les conditions de santé qu'une personne recherchait en ligne. Des techniques similaires pourraient glaner des informations sur l'utilisation d'iMessage, par exemple lorsqu'une personne commence à taper ou dans quelle langue elle a écrit un message. Cette recherche se concentre sur une approche connue sous le nom d'analyse du trafic, qui consiste à utiliser des techniques statistiques pour trouver des modèles dans les communications cryptées.
Des chercheurs de l'Université de Californie à Berkeley et d'Intel ont développé une version particulièrement efficace contre HTTPS, la forme de cryptage utilisée pour protéger les sites Web et visible par les internautes sous la forme d'un cadenas dans la barre d'adresse d'un navigateur. La technique consiste à faire en sorte qu'un logiciel visite les sites Web d'intérêt et à utiliser des algorithmes d'apprentissage automatique pour connaître les modèles de trafic associés aux différentes pages. Ces modèles sont ensuite recherchés dans la trace du trafic d'une victime.
L'approche s'est avérée capable d'identifier les pages relatives à des conditions médicales spécifiques qu'une personne consultait sur les sites Web de Planned Parenthood et de la Mayo Clinic, même si les deux sites cryptent les connexions avec HTTPS. Il pourrait également identifier les services auxquels une personne accède lorsqu'elle se connecte à des sites financiers tels que Wells Fargo et Bank of America. En moyenne, la technique était précise à environ 90 % pour identifier les pages Web. UNE papier sur la recherche de Berkeley sera présenté au Symposium sur les technologies d'amélioration de la confidentialité à Amsterdam le mois prochain.
L'analyse du trafic serait un outil utile pour la surveillance par les programmes gouvernementaux, tels que ceux utilisés par la NSA pour collecter et analyser le trafic Internet crypté (voir NSA Leak Leaves Crypto Math Intact mais met en évidence les solutions de contournement connues). Les entreprises ayant accès au trafic Internet pourraient également être motivées à l'utiliser, explique Brad Miller, le doctorant à Berkeley qui a dirigé la recherche.
Il existe des cas d'utilisation très valables de ce type d'analyse pour les entreprises, dit-il. Par exemple, un FAI peut vouloir obtenir des informations sur l'activité en ligne de ses clients qui pourraient être utilisées pour cibler des publicités, même si ces clients ont crypté leur navigation ou leurs communications. Certains FAI, tels que Verizon Wireless, vendent déjà des données sur la navigation de leurs clients à des tiers à ces fins.
Scott Coull , un chercheur de la société de sécurité RedJack , affirme que le travail de Berkeley est le dernier d'une série d'articles montrant comment l'analyse du trafic pourrait être utilisée contre les consommateurs. Quand vous regardez le pire des cas pour ce genre d'attaque, les choses ne semblent pas très bonnes, dit-il.
Coull a récemment découvert que l'analyse du trafic peut être très efficace contre les messages envoyés via iMessage d'Apple , qui sont cryptés depuis leur envoi jusqu'à leur réception. iMessage est de loin la pire chose que j'ai vue, dit-il. Coull a pu identifier quand les utilisateurs ont commencé ou arrêté de taper, envoyaient ou ouvraient un message, la langue dans laquelle un message était écrit et sa longueur, avec une précision de 96 % ou plus.
Cela, combiné au fait que le protocole iMessage transmet un identifiant unique pour un appareil, s'ajoute à des métadonnées similaires à ce qui a été controversé par la NSA lors d'appels téléphoniques aux États-Unis, explique Coull. Si j'avais la possibilité de surveiller une grande partie du trafic vers et depuis les serveurs iMessage, je pourrais créer un réseau social qui envoie des messages à qui, la langue qu'ils utilisent et la taille approximative des messages, dit-il. .
Coull a découvert que sa technique était généralement efficace à 100 % contre les messages envoyés via les services de messagerie mobiles populaires WhatsApp et Viber.
Aujourd'hui, peu de fournisseurs de services en ligne réfléchissent beaucoup à l'analyse du trafic lors de la mise en œuvre du cryptage pour protéger la confidentialité, selon Ashkan Soltani , un chercheur indépendant en sécurité qui a contribué à la Washington Post Couverture primée par Pulitzer de la surveillance de la NSA. Cette préoccupation a tendance à se concentrer davantage sur la communauté de la sécurité que sur les véritables opérateurs de sites Web qui implémentent le cryptage, dit-il.
Un opérateur qui voudrait se défendre contre l'analyse du trafic trouverait probablement cela coûteux. Des chercheurs, dont Coull et l'équipe de Berkeley, ont testé des moyens de remplir les données cryptées pour masquer les schémas révélateurs de l'analyse du trafic, mais le transfert de données supplémentaires n'est pas gratuit. C'est incroyablement cher de brouiller les pistes, dit Coull. Il calcule que les serveurs d'Apple auraient besoin de transférer trois fois plus de données pour atténuer l'analyse du trafic par rapport à iMessage.
Cependant, la manière dont une agence gouvernementale ou une entreprise pourrait utiliser concrètement l'analyse du trafic n'est pas claire. Coull dit qu'il aurait besoin de faire des recherches en utilisant des données de trafic réelles, par exemple d'un FAI, pour faire la lumière sur cette question.