Le blog de kham

Attention, faille de sécurité pour les VPN.

WebRTC-fail.png

 

Si comme moi vous utilisez un VPN (Virtual Private Network) pour naviguer sur le web en tout anonymat, alors attention ! Une faille de sécurité a récemment été découverte. 

 

Seuls les navigateurs Chrome et Firefox sont concernés, tout en étant sous un système d’exploitation Windows.

 

Le problème vient d'une API JavaScript encore au stade de développement «  WebRTC », implantée dans ces navigateurs et permettant de lier des applications comme la voix sur IP ou le partage en P2P. Cette faille permet à un site web de connaître la véritable adresse IP de l'internaute, même si celui-ci passe par un VPN. 

 

Heureusement une solution existe.

 

Pour le navigateur CHROME, rendez-vous sur le chrome web store pour installer l'extension WebRTC block : ICI.

 

WebRTC-faille-Chrome-block.png
Pour le navigateur FIREFOX, tapez  about:config dans la barre d'adresse et une fois dans les paramètres de configuration cherchez l’option « media.peerconnection.enabled » et passez la valeur «  enabled  » à «  false ». 
WebRTC-faille-firefox.png
Une fois la modification effectuée, vérifier la vulnérabilité de votre navigateur à cette adresse : BROWSERLEAKS.
Regardez la ligne  «  Is WebRTC Enabled » si la valeur est «  true », alors votre navigateur est exposé. Si la valeur est «  false », votre navigateur est protégé puisque WebRTC n’est plus actif.
WebRTC-faille.png
CQFD, mon cher Watson ! ! 
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article
N
Que ne ferait-on pas pour être anonyme sur le web?Pourtant un vpn n'est pas vraiment un moyen sécurisé pour rester anonyme sur le net.
Répondre
V
Je pense que le fond de la problématique, c'est que les navigateurs ont commencé (et continueront) à avoir accès à de plus en plus de modules sur la machine. Là j'imagine qu'il demande simplement à l'OS "donne moi l'IP de chacune de tes interfaces réseau". Dans les applications smartphone (Android en tous cas), il faut pré-déclarer les permissions globalement dans l'application avant de pouvoir utiliser les accès. Un truc similaire serait pas mal pour les applications Web.
Répondre