samedi 14 février 2015

REMONTÉ: BUZZ VPN - FAILLE SÉRIEUSE AVEC WebRTC DANS CHROME & FIREFOX

Cette extension pour Chrome fonctionne: SCRIPTSAFE
Et en plus, il semble qu'elle accélère Chrome ! N'hésitez pas à jouer sur les options et exceptions!

 CI-DESSOUS: NE FONCTIONNE PLUS DEPUIS AUJOURD'HUI 6 FÉVRIER (sur CHROME) 

Si vous utilisez un service VPN, c'est en général pour être en sécurité mais aussi pour pouvoir profiter de sites réservés à certains pays.

Ça fait le buzz !

 Une faille de taille a été révélée il y a moins d'une semaine montrant que WebRTC qui est inclus dans Google Chrome (et dérivés) et dans Firefox était affecté par une faille sérieuse permettant à un site Web de détecter votre véritable IP et même vos IP locales.

Pour désactiver WebRTC provisoirement en attendant un patch correctif qui ne saurait tarder, il est cependant conseillé d'installer au plus vite WebRTC Block pour Google Chrome. Sous Firefox, il faut aller dans le panneau about:config, et inverser l'option media.peerconnection.enabled, pour la mettre sur "false". N'oubliez pas de désactiver cette extension dans Chrome ou la modification dans FF après une nouvelle mise à jour.

Ce site permet de savoir si vous êtes vulnérable (cliquez sur le lien): 



Si vous êtes affecté par cette faille, le résultat devrait être...



On remarquera cependant que sous Linux, les informations sont incomplètes et qu'il manque l'essentiel, c'est-à-dire l'IP externe (réelle)! Seule l'IP normale de réseau local, de réseau local via VPN et l'adresse IP externe via VPN sont visibles. Il semblerait que sous Windows et Mac, l'adresse réelle apparaisse aussi (c'est embêtant!). Cela peut être aussi dû à mon VPN (Dacloud.me) qui est considéré comme l'un des plus sûrs du marché. Je n'ai pas essayé avec mes autres VPN ni avec Firefox. Encore moins sous Windows qui n'est installé sur aucun de mes PCs.


Après avoir installé l'extension WebRTC Block, le résultat devrait être:


Les IPs ne sont plus visibles.

Vous pouvez aussi aller sur



Qui vous dira aussi si vous êtes affecté par un DNSleak. C'est du sérieux puisque c'est un outil conçu par airvpn.org (voir article suivant "VPNmania")

Vérifié: cette faille n'affecte ni Qupzilla ni Midori (sous Ubuntu)





3 commentaires:

  1. Attention, WebRTC n'est qu'un soucis parmi d'autres concernant l'anonymat et les VPN ! Il est impératif de soigner sa configuration afin d'éviter DNS leak et IPv6 leak. Peu de gens connaissent ces points faibles aujourd'hui... Plus d'explications ici : http://goo.gl/czhOIG

    RépondreSupprimer
  2. Merci pour ce superbe article j ai cliqué sur le lien de test et aucune info ne s affiche je vous recommande le vpn Vpnbook 6 serveurs gratuits sans installer aucun logiciel ....

    RépondreSupprimer
  3. Si les grandes entreprises ont les moyens de faire de la sécurité, c’est loin d’être le cas de la plupart des TPE / PME, ou même avoir un admin réseau relève de doux rêve.

    RépondreSupprimer

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.