Une nouvelle extension de navigateur Google Chrome appelée Vytal empêche les pages Web d’utiliser des API de programmation pour trouver votre emplacement géographique divulgué, même lorsque vous utilisez un VPN.
De nombreuses personnes utilisent des VPN pour masquer leur emplacement ou se connecter à partir d’un autre pays tout en naviguant sur le Web. Les gens le font pour diverses raisons, telles que contourner la censure, les blocages géographiques ou simplement avoir une confidentialité supplémentaire sur Internet.
Alors qu’un VPN masquera l’adresse IP de votre appareil et donc votre emplacement physique, il est possible d’utiliser des fonctions JavaScript pour interroger des informations directement à partir d’un navigateur Web afin de trouver l’emplacement géographique général d’un visiteur.
Par exemple, l’ Intl.DateTimeFormat().resolvedOptions() peut être utilisé pour récupérer le fuseau horaire d’un visiteur du site Web et le Date().toLocaleString() peut être utilisé pour retourner l’heure locale du visiteur.
En utilisant ces informations, un site Web peut déterminer de quel pays, ou au moins de quelle région géographique, un visiteur provient et continuer à bloquer le contenu ou suivre les informations générales sur le visiteur, même s’il utilise un VPN.
Vytal vise à combler les lacunes
Hier soir, le développeur ‘z0ccc’ a partagé le nouveau Vytal Google Chrome extension sur Y Combinator’s Hacker News, demandant aux lecteurs de fournir des commentaires sur la fonctionnalité.
« Vytal peut usurper votre fuseau horaire, vos paramètres régionaux, votre géolocalisation et votre agent utilisateur. Ces données peuvent être utilisées pour vous suivre ou révéler votre emplacement », a expliqué z0ccc dans le NH Publier.
« La plupart des extensions qui fournissent des fonctionnalités anti-empreintes digitales s’appuient sur des scripts de contenu pour injecter des balises de script dans les pages Web. Il existe de nombreuses limitations aux injections de balises de script que vous pouvez lire ici : https://palant.info/2020/12/10/how-anti-fingerprinting-exten…
« Vytal utilise l’API chrome.debugger pour usurper ces données. Cela permet d’usurper les données dans des cadres, des travailleurs Web et lors du chargement initial d’un site Web. Cela rend également l’usurpation complètement indétectable. »
Pour illustrer comment JavaScript peut être utilisé pour révéler les informations de localisation d’un visiteur, z0ccc a créé le https://vytal.io site Web qui affiche le type d’informations qui peuvent être obtenues directement à partir de l’ordinateur d’un visiteur, même s’il utilise un VPN.
Par exemple, lorsque cet auteur s’est connecté à un serveur VPN à Londres, le site Vytal.io pouvait toujours récupérer le fuseau horaire, les paramètres régionaux et l’heure corrects de mon appareil, fournissant un emplacement général de l’endroit où je me trouve.
Après avoir installé l’extension, vous pouvez spécifier votre emplacement à partir d’une liste d’emplacements préremplis, modifier les données pour qu’elles correspondent à votre adresse IP ou ajouter un emplacement personnalisé.
Les utilisateurs doivent noter que lorsque vous sélectionnez « Faire correspondre l’adresse IP » et que vous vous connectez à un nouveau serveur VPN, vous devez cliquer sur le bouton « Recharger » pour remplir l’extension avec les nouvelles données de localisation géographique usurpées.
Par exemple, après m’être connecté à un serveur VPN de Londres et avoir cliqué sur le bouton de rechargement, cette même page montrait maintenant (pour la plupart) que j’étais situé au Royaume-Uni.
Comme vous pouvez le voir sur l’image ci-dessus, l’extension n’est pas parfaite à 100% et peut divulguer vos informations correctes lors du chargement initial d’une page Web.
Comme il y a un léger délai entre le chargement des pages et le moment où le débogueur commence à usurper les données, les informations correctes d’un utilisateur peuvent être récupérées lors du chargement initial de la page Web.
Néanmoins, même avec la charge initiale n’affichant pas les données usurpées, le script fait un excellent travail en masquant les informations de localisation qui peuvent être révélées à l’aide des API JavaScript.
Bien que cette extension devrait fonctionner sur tous les navigateurs Chromium, y compris Brave Browser, elle ne peut pas être portée sur Mozilla Firefox car le navigateur ne prend pas en charge l’API du débogueur.
z0ccc a déclaré à BleepingComputer que l’extension avait été initialement créée pour empêcher la fuite de leurs données de localisation lors de l’utilisation d’un VPN et empêcher un autre de leurs projets, appelé LocaliserJS, à partir de la détection des informations de localisation.
z0ccc prévoit d’ajouter des fonctionnalités supplémentaires à l’extension pour la rendre plus facile à utiliser, y compris une liste autorisée de sites Web que vous visitez couramment et ne devraient pas recevoir de données usurpées.
« Améliorera probablement la fonctionnalité de l’agent utilisateur afin que vous puissiez sélectionner un agent utilisateur en fonction du système d’exploitation, du navigateur, de l’appareil, etc. Ajoutera également une fonctionnalité de liste blanche à l’avenir », a partagé z0ccc par e-mail.
Pour ceux qui souhaitent essayer Vytal, vous pouvez l’installer à partir du Boutique en ligne Google Chrome ou téléchargez la source à partir du projet Page GitHub.
