Votre historique YouTube dévoilé: un chercheur identifie une faille de sécurité inhérente au streaming vidéo

[ware_item id=33][/ware_item]

Faille de sécurité du trafic sur YouTube découverte


Tout en recherchant comment les fournisseurs de services Internet (FAI) pourraient optimiser leurs services pour améliorer les expériences de visionnage des vidéos des utilisateurs, l'expert en cybersécurité Ran Dubin a réalisé que les FAI pouvaient vérifier plus que la qualité de la montre - ils pouvaient, s'ils le voulaient, déterminer la précision titres vidéo que leurs utilisateurs regardaient.

La méthode de Dubin diffère des approches de surveillance habituelles en ce qu'elle analyse uniquement les modèles de trafic, tandis que les techniques de surveillance traditionnelles examinent les données non chiffrées, exploitent les failles du protocole ou analysent les paquets individuels.

Bien que YouTube utilise le cryptage pour sécuriser vos données, a expliqué Dubin à ExpressVPN, quiconque regarde votre réseau pourrait déterminer exactement ce que vous regardez, mais il existe un moyen de vous protéger.

Mappage de flux à des modèles

Dubin a déclaré à ExpressVPN,

«J'ai découvert que tous les flux ont en fait un schéma très distingué. Et ces modèles peuvent être identifiés. "

Votre navigateur fait deux choses lorsque vous utilisez YouTube pour diffuser des vidéos:

  1. Il ouvre une chaîne cryptée avec YouTube à travers laquelle toutes les données sont transférées.
  2. Il demande et reçoit de petites sections de vidéo avec une qualité spécifique, en fonction de la vitesse de votre connexion réseau.

Bien qu'ils soient cryptés, les mécanismes de codage génèrent suffisamment de données pour que les observateurs passifs sophistiqués rassemblent ce que vous avez regardé. Entre de mauvaises mains, ces données pourraient facilement être vendues ou autrement utilisées pour cibler et discriminer quasiment n'importe qui.

Chaque vidéo a une signature unique et traçable

Les recherches de Dubin ont révélé que pendant le chargement de votre vidéo, toute personne observant la connexion - comme votre FAI, un pirate informatique qui tape sur votre réseau Wi-Fi ou une agence gouvernementale - peut suivre les schémas distincts des flux de données cryptées au fil du temps.

Ce modèle existe parce que les vidéos sont téléchargées en «morceaux», créant des pics et du silence dans le flux de trafic. En analysant le nombre de bits par pic, déterminé, par exemple, par le nombre de couleurs ou de mouvements rapides dans ce morceau de vidéo, une signature est créée pour la vidéo, ce qui permet de l'identifier de manière unique.

Extrait de diapositive de la conférence de Dubin à Black Hat Europe 2016Extrait de diapositive de la conférence de Dubin à Black Hat Europe 2016. Avec la permission de R. Dubin.
Ran Dubin, Amit Dvir, Ofir Pele et Ofer Hadar. «Je sais ce que vous avez vu de dernière minute - le cas du navigateur Chrome.» Conférence, Black Hat Europe 2016, Londres, 3 novembre 2016.

Pour faire correspondre chaque modèle à une vidéo, l'observateur passif devrait avoir une liste précompilée de toutes les vidéos qu'il souhaite surveiller. Bien qu'il soit difficile de compiler une liste de toutes les vidéos disponibles sur YouTube (étant donné qu'environ 300 heures de nouveau contenu sont téléchargées chaque minute), il est possible de compiler une telle liste pour les vidéos populaires ou les vidéos d'intérêt.

Potentiel d'abus de la vie privée

Bien que déterminer quelle vidéo vous avez regardée ne soit pas une mince affaire, cette analyse passive pourrait devenir très gênante si des groupes avec les mauvais motifs étaient en mesure de déterminer si vous aviez regardé une vidéo sur l'une de ces listes précompilées:

  • Vidéos liées à un politicien spécifique
  • Vidéos liées à un mouvement de résistance spécifique
  • Vidéos d'information sur certains problèmes de santé
  • Vidéos liées au sevrage tabagique ou à d'autres dépendances

Cela soulève la possibilité que quiconque soit ciblé, cohorté ou victime de discrimination de la part de son gouvernement, de son FAI ou de son fournisseur d'assurance maladie simplement par les vidéos qu'il a visionnées.

Fonctionnement de l'analyse passive du trafic sur le réseau YouTube

Imaginez un observateur debout devant votre maison et observant tous les colis livrés à votre porte.

Même si chaque colis a une taille, une forme et un poids différents, un observateur peut les faire correspondre à un catalogue de colis connus et conclure ce que vous avez commandé, même s'il n'a jamais ouvert vos colis.

Lorsque vous utilisez YouTube, chaque package a non seulement une signature unique, mais également l'adresse IP de l'expéditeur (YouTube) et du destinataire (vous). Avec ces adresses IP, un observateur peut déterminer si un package est associé à une vidéo YouTube, ainsi que votre identité.

Cet observateur peut être un pirate qui contrôle le routeur de votre café local, l'administrateur de votre réseau Wi-Fi de campus ou votre FAI.

Dubin: "Je pourrais même deviner quelle vidéo vous regardez après environ 30 à 40 secondes de temps de visionnage."

Les recherches de Dubin s'appliquent même lorsque vous ne regardez qu'une partie d'une vidéo, et potentiellement en temps réel également. «J'ai une démo différente montrant que je peux également prévoir en temps réel une partie de la vidéo. Cependant, la précision de cet algorithme n'est pas finalisée. "Il estime qu'il faut environ 30 à 40 secondes de temps de visionnement pour déterminer la vidéo que vous regardez.

Faut-il s'inquiéter de la surveillance de masse vidéo?

Oui et non. Bien que la surveillance à ce stade soit possible, elle est coûteuse, car l'observateur devra compiler une liste de toutes les vidéos YouTube qu'il souhaite identifier, puis les analyser une par une. Cela peut sembler onéreux, mais cela ne doit être fait qu'une seule fois pour chaque vidéo d'intérêt.

Des conditions de réseau variables pourraient poser des défis supplémentaires, car la perte de paquets et les retards du réseau créent de l'incertitude. Cependant, Dubin a montré qu'il peut toujours atteindre un taux de réussite de prédiction très élevé dans ces conditions.

Étant donné que les schémas préenregistrés ne correspondent que de manière probabiliste à ceux observés, un très grand ensemble de données contiendrait probablement de fausses correspondances. Dubin a expliqué que bien que son étude n'ait observé aucun faux positif avec un échantillon de 2000 vidéos, une augmentation drastique du nombre de titres pourrait augmenter ce nombre car «la fonction Bit-Per-Peak n'est peut-être pas 100% unique».

Bien que cette analyse puisse théoriquement s'appliquer à d'autres services et types de données (pensez à Netflix, Facebook ou Spotify), Dubin ne spéculera pas sur les autres services qui pourraient être vulnérables. Mais il dit qu'il peut planifier ses prochains projets de recherche autour de services tels que ceux-ci.

Comment protéger votre activité YouTube contre le suivi

Alors que YouTube pourrait théoriquement ajouter de l'obscurcissement à leurs vidéos, Ran Dubin a des conseils sur la façon dont vous pouvez vous protéger aujourd'hui:

«Vous pouvez utiliser un VPN [ou] vous pouvez utiliser les réseaux Tor pour rendre l'identification beaucoup plus difficile.»

L'utilisation d'un réseau comme Tor ou un VPN supprime l'outil d'identification immédiat: votre adresse IP. En utilisant un VPN, un observateur serait toujours en mesure de voir quelle vidéo a été visionnée à partir du serveur VPN, mais ce trafic serait mélangé avec le trafic de centaines d'autres utilisateurs, empêchant ainsi de déterminer qui regardait et d'où..

Pour en revenir à la métaphore du package, un VPN ou Tor crée essentiellement un entrepôt de réexpédition auquel tous les packages sont adressés et envoyés. À l'intérieur, ils sont accumulés, reconditionnés et la farce occasionnelle est ajoutée pour plus d'obscurcissement. Comme les marchandises reconditionnées sont envoyées à votre domicile, un observateur ne peut plus deviner ce qui se trouve à l'intérieur ou qui a envoyé les colis..

Votre FAI, ou tout autre observateur entre vous et votre fournisseur VPN, verrait encore moins d'informations. En raison des mesures d'obscurcissement appliquées par les applications VPN modernes, vos modèles de trafic ne correspondraient plus à ceux qu'ils pourraient avoir pré-enregistrés, rendant les données qu'ils collectent auprès de vous sans signification.

Méfiez-vous de vos métadonnées!

Même les données chiffrées contiennent des métadonnées. Lorsque vous diffusez une vidéo YouTube via HTTPS, ces métadonnées se présentent sous la forme d'horodatages, d'adresses IP, de la taille de la vidéo, de la durée de la vidéo et, comme l'a montré Dubin, du modèle avec lequel les données sont transmises..

Les réseaux proxy comme le réseau Tor ou les VPN peuvent aider à supprimer ces métadonnées en les obscurcissant ou en les acheminant à travers des couches de proxys.

Votre historique YouTube dévoilé: un chercheur identifie une faille de sécurité inhérente au streaming vidéo
admin Author
Sorry! The Author has not filled his profile.
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

87 − 84 =

map