2 points par GN⁺ 2025-08-21 | 1 commentaires | Partager sur WhatsApp
  • Le site de demande de visa des États-Unis tente d’effectuer un scan des ports réseau de l’utilisateur
  • Certains utilisateurs ont observé un trafic réseau inattendu lors de l’accès au site
  • Des controverses et des questions de sécurité émergent quant à l’objectif de ce comportement de scan de ports
  • Certains supposent qu’il pourrait s’agir d’une procédure de vérification de sécurité
  • Les inquiétudes se multiplient concernant la protection de la vie privée et un accès réseau excessif

Polémique autour du scan des ports réseau par le site de demande de visa américain

Plusieurs utilisateurs ayant accédé au site de demande de visa des États-Unis ont constaté que celui-ci tentait d’effectuer un scan de ports sur leur réseau. En conséquence, ils ont pu vérifier, via des journaux et d’autres moyens, qu’un trafic réseau inhabituel se produisait lorsqu’ils accédaient au site depuis leur navigateur.

Principales interrogations

  • Il n’existe pas d’explication claire indiquant si cette tentative de scan de ports relève d’une procédure de vérification destinée à renforcer la sécurité, ou si elle poursuit un autre objectif
  • Des experts en sécurité estiment qu’il pourrait s’agir d’un contrôle préalable visant à filtrer les bots malveillants, les serveurs proxy ou les utilisateurs de VPN
  • Toutefois, le fait qu’un site public sur lequel sont saisies des données personnelles sensibles accède à des ports réseau sans consentement préalable alimente la controverse sur une possible violation des principes de protection de la vie privée

Réactions de la communauté et inquiétudes

  • Les utilisateurs ordinaires expriment leur malaise face à cet accès réseau non sollicité
  • Comme le scan de ports ressemble à une activité malveillante, la fiabilité du site est remise en question
  • Certains estiment que la polémique est d’autant plus forte que ce comportement provient d’un site officiel du gouvernement américain

Enjeux de sécurité et de protection de la vie privée

  • L’exploration des ports réseau sans autorisation de l’utilisateur peut constituer une atteinte excessive aux droits d’accès
  • Il est nécessaire de débattre de l’efficacité technique réelle d’une telle méthode pour la sécurité
  • L’absence de directives pertinentes et l’insuffisance des procédures de consentement des utilisateurs sont pointées du doigt

Conclusion et implications

Ce cas suggère que, à mesure que les sites d’organismes publics adoptent de nouvelles approches techniques à des fins de sécurité, il devient nécessaire de rechercher un point d’équilibre entre protection de la vie privée et sûreté technique. Il souligne également que des explications claires à destination des utilisateurs et une plus grande transparence seront des enjeux majeurs à l’avenir.

1 commentaires

 
GN⁺ 2025-08-21
Avis Hacker News
  • Le processus de demande de visa est truffé d’arnaques. Cela va des sites qui facturent simplement le double à ceux qui prétendent que le demandeur a été refusé et fabriquent de faux documents en son nom. J’imagine donc que le système de visa essaie de vérifier si l’utilisateur est une vraie personne, ou un escroc qui passe par un serveur relais ou un canal C2
    • Pour un site web vraiment atroce, c’est une défense plutôt intelligente. Ma partenaire est citoyenne turque et a récemment fait une demande de visa ; après plus de 30 minutes à tout remplir soigneusement, la session a expiré et tout a été perdu. Si vous n’avez pas créé de compte ou noté l’ID de la demande en cours, il n’y a aucun recours. À un moment, le processus redirigeait aussi vers un site suspect qui n’était pas en .gov ; au début j’ai cru à une arnaque, mais ce n’en était pas une. On comprend pourquoi des services payants existent pour rendre ce cauchemar un peu plus supportable. Le dépôt des documents associés est souvent géré par VFS Global, une société elle-même très problématique, qui ne fait guère plus que servir d’intermédiaire de façade sans réelle aide. Récemment, l’UE a simplifié la procédure de demande de visa Schengen pour les citoyens turcs, parce que les agences officielles de visa arnaquaient elles-mêmes les gens en revendant au marché noir les créneaux « intéressants ». Aux États-Unis comme dans l’UE, les longs délais d’attente font souvent perdre des opportunités précieuses, comme des bourses. Et avec en plus des problèmes mineurs mais complexes comme la translittération ou l’encodage, je me dis qu’il y a peut-être une opportunité sur ce marché si des agents IA réellement utiles apparaissent
    • Le système de visa indien est similaire. Le site officiel en .gov.in est difficile à trouver et le visa s’obtient simplement pour une dizaine de dollars. Les sites frauduleux bons en SEO vendent exactement la même chose pour 80 dollars, en se contentant de relayer la demande vers le site officiel et d’empocher la différence. Ce serait bien que le gouvernement indien bloque ces escrocs, mais ça ne semble pas prioritaire pour l’instant
    • Je ne suis pas très à l’aise avec le réseau, donc je me demande comment un scan de ports permettrait de détecter qu’il s’agit d’un escroc
    • J’ai du mal à imaginer que cette méthode soit réellement possible. Si ce « scan » est exécuté par du JavaScript côté client, je ne vois pas comment le fait de transférer des fichiers à un serveur proxy permettrait de détecter quoi que ce soit sur le proxy
  • Cette fonctionnalité vient d’un script F5 ; F5 est une entreprise qui vend des solutions de sécurité anti-bot. (Un script obfusqué est chargé depuis un chemin /TSPD, ce qui est propre à F5)
    https://www.f5.com/
    • TS semble être l’abréviation de TrafficShield, que F5 avait racheté autrefois, et PD signifie probablement Proactive Defense
  • Je viens seulement d’apprendre qu’il existe dans uBlock Origin une liste par défaut appelée "Block Outsider Intrusion into LAN". C’est vraiment une information utile
    • En regardant la demande de fonctionnalité sur GitHub, je me suis demandé pourquoi une telle fonction était nécessaire. Je ne comprends pas vraiment pourquoi le navigateur fournit, ou devrait fournir, un accès réel au réseau local. J’ai déjà vu ce type de requêtes lorsqu’on se connecte à des éléments liés à des sockets, comme du trafic mDNS, donc je peux imaginer le scénario
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • Le simple fait que ce type d’accès soit autorisé me sidère. Je me demande comment on a pu trouver normal que tous les sites web visités puissent accéder à mon réseau local
    • uBlock Origin retire progressivement des fonctionnalités JS, alors je me demande si cette fonction existe aussi dans la version lite
    • Depuis que j’ai activé cette option, mon niveau de sécurité s’est nettement amélioré. Merci à tous
    • Moi non plus je ne savais pas que cette fonction existait, mais elle était déjà activée sur mon ordinateur portable et mes navigateurs mobiles
  • Je ne comprends pas comment les navigateurs peuvent autoriser ça, ni pourquoi ils ne demandent pas le consentement de l’utilisateur comme pour l’accès au microphone. Le simple fait qu’un site web arbitraire puisse faire un scan de ports sur mon LAN est beaucoup trop dangereux pour être acceptable. Au lieu d’en faire une « fonctionnalité », cela ne devrait-il pas être considéré comme une faille de sécurité ?
    • Dans Chrome, cet accès n’est pas autorisé. Les services de réseau local doivent faire un opt-in pour être accessibles depuis un site externe(
      https://github.com/WICG/private-network-access
      ), et cela est en train d’évoluer vers un système fondé sur le consentement de l’utilisateur(
      https://github.com/WICG/local-network-access
      ). On débat du fait que PNA ait réellement été déployé, mais je l’ai personnellement constaté il y a plusieurs années sur Chrome stable, donc je ne connais pas l’état exact actuel. Firefox ne prend pas en charge ce type d’accès. Je suppose que c’est faute de ressources de développement
  • J’utilise uMatrix, qui bloque par défaut toutes les connexions sauf vers le site demandé et le domaine parent. Par exemple, si je visite mail.yahoo.com, je dois autoriser manuellement yimg.com, etc., donc ce type de scan de ports/profilage ne fonctionne pas. Au début c’était très pénible, mais après quelques mois à enrichir la liste blanche, elle couvre désormais 90 % des sites que je visite. Sur mon système, ceac.state.gov/genniv/ tente de se connecter à captcha.com, Google Analytics, Tag Manager, 127.0.0.1 et burp (un nom d’hôte local qui n’existe pas sur mon réseau). Fait intéressant, dans la console du navigateur, les tentatives vers localhost ou burp ne sont pas très visibles. Après avoir autorisé 127.0.0.1 et observé avec tcpdump, j’ai vu du trafic essayant de se connecter au port 8888 (ce port n’est pas ouvert)
    • Je me demande si uMatrix bloque aussi le pixel de tracking Facebook ou son remplaçant récent, Conversions API Gateway. Conversions API Gateway est hébergé sous votre propre domaine, éventuellement le domaine principal, sous forme de conteneur, puis transmet côté serveur les données utilisateur à Facebook. Il suffit d’injecter le JS pour que toutes les données partent
    • uMatrix est maintenant archivé (fin de support), et il est recommandé d’utiliser uBlockOrigin avec les paramètres avancés activés (cette structure absorbe les fonctions d’uMatrix). Si vous voulez bloquer plus agressivement, on peut aussi utiliser le hard mode puis les raccourcis pour basculer en mode relax blocking. Il vaut aussi mieux utiliser des listes de filtres, surtout yokoffing/filterlists et les listes régionales ou par langue
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • On dirait qu’ils essaient de vérifier si Burp Suite est connecté à l’application web
    • Je me demande comment ils masquent les requêtes vers 127.0.0.1 dans l’onglet réseau
    • burp est en fait probablement Burp Suite, comme mentionné ici
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      Ils semblent vouloir rendre l’analyse du site plus difficile
  • Certaines extensions demandent l’autorisation « accéder aux données de tous les sites ». Sauf s’il s’agit d’une entreprise connue ou d’un développeur de confiance, je ne comprends pas qu’on puisse accorder cette permission. En particulier, l’extension "Hacks and Hops" utilise comme page d’accueil le domaine inexistant
    https://g666gle.me/
    Je n’installerais jamais une extension pareille, aussi séduisante qu’elle puisse paraître
    • Ce genre de contradiction est presque universel sur des forums comme HN. On se demande si les gens qui installent cette extension sont fous. Beaucoup de consommateurs sont tellement obsédés par l’idée de pouvoir « installer » la confidentialité qu’ils finissent au contraire par télécharger des rootkits de VPN déguisés, ou des extensions aléatoires. Si vous avez installé une extension frauduleuse, la mesure minimale serait presque de brûler le PC, lui rouler dessus avec une voiture, recréer tous vos comptes bancaires et réinitialiser vos mots de passe sur un appareil entièrement neuf
  • Ce genre de scan de ports, de fingerprinting d’appareils et de SaaS anti-anonymat est courant sur de nombreux sites. Ebay et Facebook le font aussi. Mais ici, l’objectif premier semble surtout être de contrer le blocage des publicités. Ils vont jusqu’à utiliser 1 Mo d’empreinte obfusquée, du scan de ports et WebGL. Il y a aussi, fait inhabituel, une tentative de repérer un chemin Burp Suite
    • Je me demande comment renforcer la sécurité de mon réseau contre ce type d’attaque
    • J’ai déjà vu exactement la même méthode de scan de ports sur un site d’enregistrement de nouvelle carte bancaire
  • Dans ce cas précis, ce « scan de ports » semblait se limiter à une tentative de connexion locale à 127.0.0.1:8888. Je ne sais pas exactement à quoi cela sert, mais les sites gouvernementaux utilisent parfois cette méthode pour communiquer avec un logiciel natif servant à signer électroniquement des documents. Je me demande s’il y a aussi des tentatives de connexion vers d’autres IP
    • Cela peut aussi venir d’un lecteur de carte, d’un serveur de débogage, ou simplement d’une erreur de développeur. D’après mon expérience, il est déjà arrivé qu’une URL intégrée en dur avec localhost au lieu d’un hôte externe soit déployée depuis un environnement de développement. Il est tout à fait possible qu’ils utilisent le port 8888 pour leur serveur local de développement, et ce n’est pas si surprenant
    • Si l’utilisateur a un serveur web sur sa machine (en local), il est probable qu’il s’agisse d’une tentative de connexion à des fins de collecte de données ou de tracking. Par le passé, Facebook/Meta a aussi été pris à suivre les utilisateurs sur Android de manière similaire (tracking via un serveur web à travers Messenger et Instagram). Voir ci-dessous
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • Dans ce genre de situation, il est même possible qu’il soit normal qu’un site web tente d’accéder à des ports locaux pour des lecteurs de carte, etc. Dans certains pays, voire dans la plupart des pays de l’UE, on s’authentifie et on accède à des services administratifs au moyen des puces présentes sur les cartes d’identité ou cartes grises. À l’époque, cela ne fonctionnait qu’avec Java + Internet Explorer, mais depuis la fin d’IE et le passage à Chromium, je ne sais plus exactement comment cela marche, donc je ne l’ai pas utilisé récemment
    • Aujourd’hui, il faut installer un service local qui sert de pont entre le navigateur et le pilote de la carte à puce. Ce service de bridge remplit le rôle autrefois assuré par l’applet Java. Le pilote propre à la carte et le service de bridge sont installés ensemble
    • Une fois, on m’a demandé d’utiliser une app iPhone/Android pour lire la puce NFC du passeport. J’ai l’impression que c’est le remplaçant moderne d’IE/Java
  • J’en suis presque gêné de ne pas avoir su que cette pratique existait. Je me demande s’il y a d’autres usages malveillants en plus du fingerprinting
    • En réalité, Facebook a déjà utilisé cette méthode sur Android. Les applications Android de Meta lançaient un serveur sur localhost et échangeaient via ce serveur local des informations de tracking normalement bloquées par les protections du navigateur. En fait, c’est bien du fingerprinting, mais poussé à son utilisation la plus extrême
      https://news.ycombinator.com/item?id=44169115
    • Il peut exister des routeurs avec des URL vulnérables. Cherchez « router authentication bypass » pour voir des exemples
    • Dans la console Safari sur macOS, on observe ce phénomène en visitant des sites
      https://files.catbox.moe/g1bejn.png
      Je me demande à quels services le port 8888 est précisément associé
    • C’est surtout utilisé à des fins de tracking, mais si l’utilisateur exécute un service sensible sur localhost, cela pourrait aussi servir à exfiltrer des données
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe