Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

GeoSpoof - Le VPN cache votre IP mais le navigateur vous trahit

Anthony Sgro vient d'open-sourcer un truc que tout utilisateur de VPN devrait avoir sous la main. C'est extension pour Safari, Chrome et Firefox (et pas Faille-Fox, déso) qui s'appelle GeoSpoof et qui part d'un constat tout bête que la plupart des gens ignorent.

En fait, votre VPN change masque bien votre adresse IP réelle (s'il est bien configuré, hein), d'accord, super, mais votre navigateur, lui, continue tranquillement de tout balancer aux sites web et notamment le lieu où vous vous trouvez vraiment.

Venez pas chez moi, c'est pas mon adresse...

Et il a mille façons de le faire. Y'a d'abord l'API de géolocalisation qui balance vos coordonnées GPS si vous l'autorisez, mais surtout y'a tout le reste, beaucoup plus sournois comme votre fuseau horaire, par exemple. Vous êtes connecté à un serveur VPN à New York mais votre navigateur répond Europe/Paris quand un script lui demande l'heure, et hop, le site comprend en une milliseconde que vous bluffez. Pareil avec l'objet Intl.DateTimeFormat, avec le Date du système, avec WebRTC qui adore fuiter votre vraie IP locale.

Vous pouvez avoir le meilleur VPN du monde, si ces signaux-là pointent tous vers chez vous pendant que votre IP dit le contraire, et vous êtes encore plus repérable qu'un mec sans VPN. C'est exactement ce qu'un VPN ne fait pas tout seul et c'est pour ça que votre abonnement à Youtube Premium, Netflix, ou Disney+ à 30 centimes acheté en Turquie ou je ne sais où, fini par se faire flagger.

GeoSpoof colmate donc ce trou en venant rebrancher directement ces APIs dans le navigateur sur du contenu factice. L'extension s'injecte au tout début du chargement de la page, avant que le JavaScript du site ait eu le temps de tourner et ensuite quand un script demande votre position, votre heure ou votre fuseau, il reçoit la localisation que VOUS avez choisie, et tout est cohérent. Géoloc, timezone, dates, WebRTC, tout raconte la même histoire et y'a plus de signal contradictoire qui dépasse.

Le mode que je trouve le plus pratique, dans GeoSpoof c'est surtout la synchro VPN automatique. L'extension repère l'IP de sortie de votre VPN, et elle aligne toute seule votre localisation navigateur dessus. Si vous changez de serveur, et que vous passez de Tokyo à Montréal, hé bien elle resynchronise sans que vous n'ayez à toucher à quoi que ce soit.

Sinon vous pouvez aussi y aller à la main, chercher une ville précise ou taper vos coordonnées directement. Pour vérifier que ça marche vraiment, l'auteur a même monté une page de test sur geospoof.com/verify , et l'extension passe les outils classiques de fingerprinting comme CreepJS ou BrowserLeaks.

Petit détail qui prouve le soin du travail, les overrides sont déguisés pour répondre [native code] quand un script essaie de vérifier s'ils ont été trafiqués. Héhé, malin !

Là où Anthony Sgro est honnête, c'est qu'il ne vous vend pas l'invisibilité totale. C'est écrit dans la doc que GeoSpoof ne change PAS votre IP. Sans un VPN derrière, votre adresse continue donc de pointer vers chez vous, et le bénéfice restera limité face aux sites qui recoupent l'IP.

Ça ne bypasse pas non plus la détection côté serveur, votre historique de compte ou votre moyen de paiement vous trahiront toujours. Et le mode le plus agressif, qui passe par le protocole de debug de Chrome pour verrouiller le fuseau jusque dans les workers, reste détectable par les outils qui cherchent spécifiquement ce genre de bidouille. C'est juste un outil de cohérence à utiliser en complément du meilleur VPN auquel vous vous êtes abonnés ^^.

Ça tourne sur Firefox, Chrome, Brave, Edge et même Safari sur iOS et macOS via l'App Store. Tout est sous licence MIT, et y'a pas de tracking ni de collecte de données dedans. C'est rare de voir des extension d'une si bonne qualité de finition, encore bravo à Anthony !!

Puis si vous bidouillez déjà votre vie privée avec un truc comme Fingerprint Defender , GeoSpoof complètera le tableau parfaitement sur la partie localisation.

Bref, un VPN sans ça, c'est une porte blindée avec une fenêtre grande ouverte à côté. Allez jeter un œil, ça prend 2 min à installer !

Cet outil open source traque les conseils de sécurité que l'IA vous a refilés et qui ne valent plus rien

Quand vous demandez à un assistant IA de corriger une faille dans une de vos dépendances, il vous propose presque toujours la même chose : ajouter ce qu'on appelle un "override", une ligne de configuration qui force votre projet à utiliser une version saine d'une brique logicielle.

Le conseil semble bon sur le moment. Mais voilà, personne ne vous dit jamais de revenir vérifier, six mois plus tard, que cette ligne sert encore à quelque chose.

C'est précisément le trou que vient boucher CVE Lite CLI , un scanner gratuit et open source développé par Sonu Kapoor et adoubé par l'OWASP, la fondation qui fait référence en sécurité des applications. Cet outil a l'avantage de tourner en local, sans compte ni cloud, et sans qu'une seule ligne de votre code ne quitte votre machine.

Le problème qu'il cible est très simple. Une dépendance dite transitive, c'est une brique dont dépend une autre brique que vous, vous avez installée : vous ne l'avez jamais choisie vous-même, mais elle se retrouve quand même embarquée dans votre projet. Pour neutraliser une faille planquée là-dedans, on force une version corrigée via un override. Le souci, c'est que cette rustine vieillit toute seule, dans votre dos.

Kapoor a du coup ajouté une fonction qui audite ces configurations et débusque trois cas de figure : l'override pointe vers un paquet qui n'existe tout simplement plus, il s'applique au mauvais gestionnaire de paquets, ou il utilise un motif de caractères (une sorte de joker censé attraper plusieurs chemins d'un coup) qui en réalité ne correspond à rien. Dans tous ces cas vous vous croyez protégé alors que la protection est tombée depuis un moment.

Pour le prouver, il a passé quatre projets JavaScript très utilisés au crible, et les résultats sont parlants. Cal.com en alignait 90, dont 11 complètement inopérants ; Jest traînait une configuration qui pointait dans le vide ; NoCoDB empilait des jokers inefficaces ; seul Next.js s'en sortait sans le moindre défaut.

Entre l'affaire node-ipc de 2022, où un développeur avait lui-même saboté son propre paquet par militantisme, et la vague d'attaques Shai-Hulud de ces derniers mois, un ver qui se réplique tout seul en volant les jetons d'accès des développeurs sur npm pour contaminer au passage tous leurs autres paquets, l'écosystème JavaScript prend cher. Et un override mort, c'est une porte qu'on croyait verrouillée.

Ce qui est amusant, c'est que l'outil censé rattraper les approximations des IA est, lui, volontairement dépourvu de toute IA. Il interroge sagement une base de vulnérabilités connues et vous recrache des commandes prêtes à copier-coller, sans deviner quoi que ce soit.

Quoi qu'il en soit, on a là un petit outil tout bête qui repasse derrière l'IA, et franchement, ça rassure.

Source : The Register

Des listes de cybercriminels à télécharger

Si vous faites un peu de renseignements (OSINT) et que ce que vous cherchez, c'est des pseudos de cybercriminels, spmedia a un truc qui devrait vous plaire. Son repo GitHub Threat-Actor-Usernames-Scrape rassemble environ 773 000 pseudos uniques récupérés sur des forums de cybercriminels. C'est gratuit, en accès libre. Et ça peut vous faire gagner pas mal de temps si vous faites de l' OSINT .

Son délire, c'est de scraper les sections "Who's Online", les threads et les réponses de forums comme HackForums, DarkForums, BreachForums, XSS.pro, Dread, OGUsers et une vingtaine d'autres, ou de récupérer des extraits de fuites. L'intérêt de ce genre de truc, c'est de capter ces données pour ensuite les réutiliser dans vos propres projets. Ça vous permet par exemple de préparer un fichier texte propre par forum, qui est prêt à être ingéré dans un TIP (Threat Intelligence Platform) ou croisé avec vos données.

Au total, y'a environ 820 000 noms d'utilisateurs dans ce repo, dont ~46 000 en double. Les plus gros forums actifs sont Cracked.sh (~226 000 pseudos collectés), DarkForums.su (~75 000) et Altenen.is (~74 000). Côté forums morts, BreachForums.st domine avec ~57 000 entrées, devant la fuite Nulled (~42 000) et BreachForums.as (~39 000).

Il y a de quoi fouiller, quoi...

Spmedia a monté ce projet parce qu'il en avait marre des boîtes de threat intel qui facturent 5 à 6 chiffres par an pour accéder au même genre de données. On peut donc lui dire merci, même si ça ne remplace pas un vrai service CTI avec contexte et analyse. C'est juste des noms d'utilisateur sans autre enrichissement. Faudra donc croiser ça avec d'autres sources mais pour du pistage de pseudo ou une wordlist ciblée, ça peut aider.

Vous pouvez par exemple utiliser ces listes pour repérer un même pseudo sur plusieurs forums, constituer des wordlists ou simplement suivre quels sites ressortent après un takedown. Certains disparaissent, d'autres reviennent 48h plus tard sous un nouveau TLD (ambiance hydre de lerne, quoi).

Chaque fichier contient un pseudo par ligne et l'import dans un SIEM ou un script Python vous prendra 2 minutes. N'oubliez pas non plus qu'une bonne partie de ces comptes sont des kiddies ou des curieux, donc croisez toujours avec d'autres sources avant de pointer du doigt qui que ce soit...

Bref, si la chasse aux cybercriminels vous branche, vous pouvez récupérer les listes sur GitHub et voir ce que ça donne.

Amusez-vous bien !

Chrome débranche les dernières combines qui faisaient survivre uBlock Origin

Google ferme les dernières portes. À partir de fin juin, avec Chrome 150 ou 151, les combines qui permettaient encore de garder uBlock Origin en vie dans le navigateur vont sauter une à une, et avec elles à peu près tous les bloqueurs de publicité qui reposaient sur l'ancienne plomberie de Chrome.

Petit retour en arrière. Une extension obéit à un cadre technique imposé par Google, le Manifest. Dans sa version 2, dite MV2, ce cadre laissait l'extension inspecter et modifier en direct chaque requête qu'une page web envoyait, ce qui donnait à un outil comme uBlock Origin, le bloqueur open source de Raymond Hill, sa fameuse capacité à filtrer dans le moindre recoin et à corriger ses règles en temps réel.

La version 3 change tout. Avec MV3, c'est désormais le navigateur qui bloque, à partir d'une liste de règles figée et plafonnée que l'extension se contente de lui fournir. Fini l'interception à la volée.

Google parle d'enterrer MV2 depuis 2019. Sauf que des soupapes traînaient encore. Une politique d'entreprise au nom à coucher dehors, ExtensionManifestV2Availability, plus quelques drapeaux internes et même une bidouille du registre Windows, permettaient de rallumer manuellement une extension que Chrome venait pourtant de couper.

Et c'est exactement ce bouquet de rustines qui disparaît. Le drapeau ExtensionManifestV2Disabled est déjà parti avec Chromium 150. La 151 doit emporter le reste, dont la fameuse politique et l'option AllowLegacyMV2Extensions, celles sur lesquelles s'appuyaient les derniers contournements. La bidouille du registre, elle, rendra l'âme dans la foulée.

Résultat, beaucoup d'utilisateurs ne retrouveront tout bonnement plus uBlock Origin dans leur liste d'extensions, sans le moindre bouton pour le ranimer.

Reste l'alternative maison, uBlock Origin Lite, signée du même auteur et compatible MV3. Sauf qu'allégée, ici, ce n'est pas un slogan : cette mouture refile au navigateur une liste de règles préchargée et perd au passage le filtrage dynamique, le nettoyage cosmétique poussé des pages et la possibilité de pointer soi-même l'élément gênant à virer. Elle stoppe les pubs classiques, beaucoup moins les formats modernes qui se réinventent en permanence.

Et Chrome n'est pas seul concerné. Edge et Opera, bâtis sur le même moteur Chromium, vont suivre la même pente et appliquer ces restrictions à leur tour. Firefox, de son côté, continue de faire tourner la mécanique MV2 et donc le uBlock Origin complet, alors que Brave et Vivaldi promettent de la maintenir sans s'engager pour autant sur le très long terme.

Officiellement, Google invoque la sécurité et la performance, l'idée étant qu'une extension capable d'éplucher tout votre trafic peut aussi jouer les mouchards. L'argument se tient. Il arrange juste drôlement bien une boîte dont l'essentiel des revenus vient précisément de cette publicité qu'on essaie de bloquer.

Si vous tenez à votre vieux bloqueur, passez sur Firefox.

Source : Bleeping computer

❌