Stéphane Bortzmeyer se penche sur les potentiels problèmes de vie privée posés par QUICCrédits : tashka2000/iStock

L’ingénieur est revenu dans un billet de blog sur les problèmes de vie privée que pourrait entraîner une généralisation de QUIC, ce qui n’est a priori qu’une question de temps. Le protocole est depuis deux semaines environ un standard de l’Internet Engineering Task Force (IETF), sous la référence RFC 9000.

Bortzmeyer revient sur la manière dont QUIC peut être utilisé pour pister un internaute, notamment car le protocole facilite les connexions longues, jusqu’à plusieurs jours. De plus, QUIC permet la migration d’une adresse IP vers une autre. Dans le cas d’un changement d’adresse imposé par exemple par une box, la connexion survit et gère la bascule. 

En outre, il « permet à un client de mémoriser des informations qui lui permettront de se reconnecter au serveur plus vite (ce qu'on nomme le « 0-RTT ») », indique l’expert. Le serveur reconnaît ainsi rapidement un ancien client.

Pour Bortzmeyer, il n’y a pas de doute que QUIC peut être utilisé pour du pistage, justement grâce à ses capacités. Même si le protocole a été conçu pour protéger les internautes contre la surveillance d’un tiers extérieur à la communication, il pose la question de celle imposée par le serveur.

Mais il existe selon lui des dangers nettement plus grands que QUIC, notamment les cookies et le fingerprinting, qui permettent le pistage inter-serveurs (QUIC ne le peut pas). À terme, le protocole pourrait quand même poser un problème à Tor.

Un danger « théorique » pour le moment : Tor n’opère qu’en TCP, alors que QUIC fonctionne avec UDP. Il estime qu’un client QUIC pourrait lutter contre ces éventuels dangers, notamment en limitant la durée des connexions et en bloquant la migration des adresses IP. Une solution complexe, mais possible, avec un impact négatif sur les performances.

« Comme souvent en sécurité, on est donc face à un compromis. Si on ne pensait qu'à la vie privée, on utiliserait Tor tout le temps… Les navigateurs Web, par exemple, optimisent clairement pour la vitesse, pas pour la vie privée », conclut Bortzmeyer.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !