Tor Browser : cette vulnérabilité permettait aux sites de récupérer votre IP !

L'équipe de Tor Project a publié une nouvelle version du navigateur Tor pour corriger des bugs, mais aussi une vulnérabilité qui permettait aux sites de suivre l'utilisateur, ce qui est plutôt gênant. Tor Browser 10.0.18 est disponible !

En mai dernier, la société FingerprintJS, spécialisée dans le code JavaScript, a découvert une vulnérabilité qui permet de suivre l'activité des utilisateurs d'un navigateur à un autre grâce à l'empreinte des applications installées sur la machine de l'utilisateur.

Lorsqu'un utilisateur cherche à ouvrir une application directement depuis le navigateur, par exemple un lien "zoommtg://" qui va suggérer d'ouvrir Zoom sur votre machine, un profil de suivi est créé. Si le prompt s'affiche, on peut considérer que l'application est installée sur la machine. Donc, en vérifiant la présence de différents gestionnaires d'URL, la vulnérabilité peut créer un ID basé sur la configuration unique des applications installées sur le poste de l'utilisateur. Un ID qui peut être suivi d'un navigateur à l'autre, dont Tor Browser, Chrome, Edge, Firefox ou Safari.

Il faut dire que cette vulnérabilité est particulièrement gênante pour les utilisateurs de Tor ! Et bien oui, car on utilise généralement ce navigateur pour protéger son identité en ligne et masquer son adresse IP. Puisque cette vulnérabilité permet de suivre les utilisateurs au travers des navigateurs, elle pourrait permettre aux sites web de récupérer l'adresse IP réelle de l'utilisateur lorsqu'il passe de Tor Browser à un navigateur "non anonyme", comme Google Chrome par exemple.

Pour corriger cette vulnérabilité, l'équipe de Tor Project a positionné le paramètre "network.protocol-handler.external" avec la valeur "false" (faux). Ce paramètre sert à désactiver les gestionnaires d'URL qui permettent d'ouvrir les liens d'applications à partir du navigateur.

Vous pouvez mettre à jour Tor Browser dès à présent sur votre machine ou le télécharger depuis le site officiel. En plus des quelques bugs corrigés, cette nouvelle version permet à Tor en lui-même de passer en version 0.4.5.9.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3118 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.