Pensez à désactiver WebRTC
Un chercheur en sécurité a démontré comment il était possible de court-circuiter l’anonymat fourni par un VPN chez les internautes utilisant les navigateurs Chrome et Firefox grâce à WebRTC.
Explication et solution.
L’expert Mark Vantilburg a expliqué comment il était possible de rendre contourner l’anonymat procuré par un VPN. La méthode concerne uniquement ceux qui utilisent Chrome ou Firefox pour naviguer sous couvert. A noter que le chiffrement de la connexion n’est en aucun cas remis en cause pour le VPN utilisé.
Voila une technique de cyber-espionnage qui exploite une vulnérabilité au sein du récent protocole WebRTC, implémentés au sein de Google Chrome et de Mozilla Firefox. En résumé, WebRTC utilise un serveur STUN qui, au passage, lui donne ainsi l’occasion de connaître l’adresse IP publique. Le problème est que le serveur STUN communique aux deux navigateurs l’adresse IP privée et publique. Du coup, le serveur connait donc le VPN et permet de tracer l’internaute. En somme, même si vous avez le meilleur VPN, vous serez vulnérable à cause de WebRTC !
Le chercheur fourni une démonstration simple et concise du problème ainsi qu’une solution toute simple à mettre en œuvre pour stopper cette fuite d’informations personnelles. Le code du PoC est disponible sur GitHub pour les intéressés.
Quid des solutions ?
Venons-en au principal, à savoir comment corrigé cela. Pour Chrome, sachez qu’une correction est déjà proposée via mise à jour du navigateur Web. Firefox quand à lui, ne devrait pas tarder à agir de son côté. En attendant, tapez dans votre barre de recherche about:config, puis recherchez media.peerconnection.enabled et passez le à « false« .
Petite consolation, sachez que sous Linux et Mac, le problème ne semble pas avoir été repéré, comme l’explique TorGuard.