DuckDuckGo est l’une des options de recherche préférées des utilisateurs qui fuient Google et qui sont conscients de la cause de la confidentialité sur le Web.
L’extension de navigateur officielle DuckDuckGo a exposé la confidentialité de ses utilisateurs pendant des mois
Ainsi, pour faciliter l’utilisation (et ajouter accessoirement des fonctionnalités telles que le blocage des réseaux de suivi publicitaire), ses créateurs ont également lancé des extensions pour les principaux navigateurs: Firefox, Chrome et MS Edge.
Le problème est que maintenant on découvre que, depuis plusieurs mois, DuckDuckGo Privacy Essentials met justement en péril la vie privée de ses utilisateurs. Comment?
Petite vulnérabilité, énormes conséquences potentielles
Nous avons affaire à un cas de vulnérabilité uXSS (universal cross-site scripting), dans lequel l’attaquant peut injecter un code malveillant arbitraire dans des pages Web visitées par l’utilisateur en utilisant un langage de script (souvent JavaScript) et en exploitant des vulnérabilités côté client.
Cela permet à l’attaquant d’accéder à l’historique du navigateur et à toutes les informations sensibles saisies par l’utilisateur (telles que les données liées à son compte bancaire), ainsi que de modifier les informations affichées sur l’écran de l’utilisateur.
Les chances qu’un attaquant obtienne un tel degré d’accès sont minces, mais les résultats potentiels sont toujours catastrophiques même si vous êtes un utilisateur d’outils de navigation sécurisés tels que SecureDrop ou ProtonMail.
La bonne nouvelle, dans ce cas, est que ce type d’attaque ne peut être exécuté que par quelqu’un qui contrôle le serveur http://staticcdn.duckduckgo.com.
C’est, en principe, par la société DuckDuckGo elle-même. Mais il pourrait aussi être exploité par son hébergeur (nul autre que Microsoft, via Azure) ou par un attaquant prenant le contrôle de ce serveur (cybercriminels, agences gouvernementales, etc.).
Selon Wladimir Palant, le créateur d’Adblock Plus, et le chercheur qui a initialement détecté la vulnérabilité, cette vulnérabilité est opérationnelle depuis plusieurs mois, et ce n’est que depuis quelques jours, avec la sortie de la version 2021.3.8 de l’extension pour les trois principaux navigateurs, qu’il a finalement été corrigé.