Cet outil protège vos données privées pendant que vous naviguez

Cet outil protège vos données privées pendant que vous naviguez

Une illustration de haut niveau de la façon dont SugarCoat a modifié le code au sein de l’API pour protéger les données privées. Crédit : Université de Californie à San Diego

Une équipe d’informaticiens de l’Université de Californie à San Diego et Brave Software ont développé un outil qui augmentera la protection des données privées des utilisateurs lorsqu’ils naviguent sur le Web.

L’outil, nommé SugarCoat, cible les scripts qui nuisent à la vie privée des utilisateurs, par exemple en suivant leur historique de navigation sur le Web, mais sont pourtant essentiels au fonctionnement des sites Web qui les intègrent. SugarCoat remplace ces scripts par des scripts qui ont les mêmes propriétés, moins les fonctionnalités préjudiciables à la confidentialité. SugarCoat est conçu pour être intégré aux navigateurs existants axés sur la confidentialité tels que Brave, Firefox et Tor, et aux extensions de navigateur telles que uBlock Origin. SugarCoat est open source et est en cours d’intégration dans le navigateur Brave.

« SugarCoat est un système pratique conçu pour résoudre le dilemme perdant-perdant auquel les outils axés sur la confidentialité sont confrontés aujourd’hui : bloquer les scripts préjudiciables à la confidentialité, mais casser les sites Web qui en dépendent ; ou maintenir les sites fonctionnels, mais renoncer à la confidentialité », a déclaré Deian Stefan, professeur adjoint au département d’informatique et d’ingénierie de l’UC San Diego. « SugarCoat élimine ce compromis en autorisant l’exécution des scripts, préservant ainsi la compatibilité, tout en empêchant les scripts d’accéder aux données privées de l’utilisateur.

Les chercheurs décriront leurs travaux lors de la conférence ACM sur la sécurité informatique et des communications (CCS) qui se tiendra à Séoul, en Corée, du 14 au 19 novembre 2021.

« SugarCoat s’intègre aux outils de blocage de contenu existants, tels que les bloqueurs de publicités, pour permettre aux utilisateurs de naviguer sur le Web sans renoncer à leur vie privée », a déclaré Michael Smith, doctorant. étudiant dans le groupe de recherche de Stefan, qui dirige le projet.

La plupart des outils de blocage de contenu existants prennent des décisions très grossières : ils bloquent totalement ou autorisent totalement l’exécution d’un script, selon qu’il apparaît ou non sur une liste publique de scripts portant atteinte à la vie privée. Dans la pratique, cependant, certains scripts portent atteinte à la vie privée et sont nécessaires au fonctionnement des sites Web. La plupart des outils choisissent inévitablement de faire une exception et d’autoriser l’exécution de ces scripts. Aujourd’hui, il existe plus de 6 000 règles d’exception laissant passer ces scripts nuisibles à la vie privée.

Il existe cependant une meilleure approche. Au lieu de bloquer entièrement un script ou de l’autoriser à s’exécuter, les outils de blocage de contenu peuvent remplacer son code source par une version alternative préservant la confidentialité. Par exemple, au lieu de charger des scripts d’analyse de sites Web populaires qui suivent également les utilisateurs, les outils de blocage de contenu remplacent ces scripts par de fausses versions qui se ressemblent. Cela garantit que les outils de blocage de contenu ne cassent pas les pages Web qui intègrent ces scripts et que les scripts ne peuvent pas accéder aux données privées (et donc les signaler aux sociétés d’analyse). À ce jour, la création de tels scripts de remplacement préservant la confidentialité a été une tâche lente et manuelle, même pour les experts en ingénierie de la confidentialité. uBlock Origin, par exemple, ne remplace que 27 scripts, contre plus de 6 000 règles d’exception.

Comment SugarCoat change la donne

Les chercheurs ont développé SugarCoat précisément pour combler cette lacune en générant automatiquement des scripts de remplacement préservant la confidentialité. L’outil utilise le cadre de traçage PageGraph (Smith a joué un rôle clé dans le développement du cadre) pour suivre le comportement des scripts portant atteinte à la vie privée dans l’ensemble du moteur de navigateur.

SugarCoat analyse ces données pour identifier quand et comment les scripts communiquent avec les API de plate-forme Web qui exposent des données sensibles à la confidentialité. SugarCoat réécrit ensuite le code source des scripts pour parler à la place de fausses API “SugarCoated”, qui ressemblent aux API de la plate-forme Web mais n’exposent en fait aucune donnée privée.

Pour évaluer l’impact de SugarCoat sur les fonctionnalités et les performances Web, l’équipe a intégré les scripts réécrits dans le navigateur Brave ; ils ont découvert que SugarCoat protégeait efficacement les données privées des utilisateurs sans affecter les fonctionnalités ou les performances de chargement des pages. SugarCoat est maintenant déployé en production chez Brave.

« Brave est ravi de commencer à déployer les résultats du projet de recherche d’un an sur SugarCoat », a déclaré Peter Snyder, chercheur senior en confidentialité et directeur de la confidentialité chez Brave Software. “SugarCoat donne à Brave et à d’autres projets de confidentialité une nouvelle capacité puissante pour vaincre les traqueurs en ligne et aide les utilisateurs à garder le contrôle du Web.”


Firefox 87 dévoile SmartBlock pour la navigation privée


Plus d’information:
Michael Smith et al, SugarCoat : Génération par programmation de remplacements de ressources compatibles avec le Web et préservant la confidentialité pour le blocage de contenu est disponible au format PDF à l’adresse brave.com/wp-content/uploads/2 … garcoat-ccs-2021.pdf

Fourni par l’Université de Californie – San Diego

Citation: Cet outil protège vos données privées pendant que vous naviguez (2021, 18 novembre) récupéré le 18 novembre 2021 à partir de https://techxplore.com/news/2021-11-tool-private-browse.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.