L’ingénieur est revenu dans un billet de blog sur les problèmes de vie privée que pourrait entraîner une généralisation de QUIC, ce qui n’est a priori qu’une question de temps. Le protocole est depuis deux semaines environ un standard de l’Internet Engineering Task Force (IETF), sous la référence RFC 9000.
Bortzmeyer revient sur la manière dont QUIC peut être utilisé pour pister un internaute, notamment car le protocole facilite les connexions longues, jusqu’à plusieurs jours. De plus, QUIC permet la migration d’une adresse IP vers une autre. Dans le cas d’un changement d’adresse imposé par exemple par une box, la connexion survit et gère la bascule.
En outre, il « permet à un client de mémoriser des informations qui lui permettront de se reconnecter au serveur plus vite (ce qu'on nomme le « 0-RTT ») », indique l’expert. Le serveur reconnaît ainsi rapidement un ancien client.
Pour Bortzmeyer, il n’y a pas de doute que QUIC peut être utilisé pour du pistage, justement grâce à ses capacités. Même si le protocole a été conçu pour protéger les internautes contre la surveillance d’un tiers extérieur à la communication, il pose la question de celle imposée par le serveur.
Mais il existe selon lui des dangers nettement plus grands que QUIC, notamment les cookies et le fingerprinting, qui permettent le pistage inter-serveurs (QUIC ne le peut pas). À terme, le protocole pourrait quand même poser un problème à Tor.
Un danger « théorique » pour le moment : Tor n’opère qu’en TCP, alors que QUIC fonctionne avec UDP. Il estime qu’un client QUIC pourrait lutter contre ces éventuels dangers, notamment en limitant la durée des connexions et en bloquant la migration des adresses IP. Une solution complexe, mais possible, avec un impact négatif sur les performances.
« Comme souvent en sécurité, on est donc face à un compromis. Si on ne pensait qu'à la vie privée, on utiliserait Tor tout le temps… Les navigateurs Web, par exemple, optimisent clairement pour la vitesse, pas pour la vie privée », conclut Bortzmeyer.
Commentaires (6)
#1
Ils ne sont pas remplacés par Burger King ?
#1.1
#1.2
Burger Ing
#1.3
Donc McDonald Duc ? 🦆
#2
Pourquoi s’inquiéter à l’heure où pleins de gens installent volontairement un plugin de tracking pour avoir du cash back
L’avenir du déploiement dira quelle est la durée moyenne retenue pour faire du 0 rtt. Ça implique quand même de maintenir un état, une variable, plus longtemps côté serveur
#3
C’est un vendeur de hamburgers 100% en ligne?