Qu’est-ce que le «bogue» du WebRTC VPN et comment le corriger?

Début 2015, les navigateurs Chrome et Firefox ont introduit une nouvelle «fonctionnalité» appelée WebRTC. De manière assez alarmante, cependant, cela permet aux sites Web de détecter votre véritable adresse IP, même lorsque vous utilisez un VPN!

Qu'est-ce que WebRTC?

La communication en temps réel sur le Web (WebRTC) est une norme potentiellement utile qui permet aux navigateurs d'intégrer des fonctionnalités telles que les appels vocaux, le chat vidéo et le partage de fichiers P2P directement dans le navigateur.

Un bon exemple de cela est le nouveau client de discussion et de vidéo Firefox Hello qui vous permet de parler en toute sécurité à toute autre personne utilisant un navigateur Firefox, Chrome ou Opera à jour, sans avoir besoin de télécharger de module complémentaire ou de configurer tout nouveaux paramètres.

Donc quel est le problème?

Malheureusement pour les utilisateurs VPN, WebRTC permet à un site Web (ou à d'autres services WebRTC) de détecter directement la véritable adresse IP de votre ordinateur hôte, que vous utilisiez un serveur proxy ou un VPN.

En tant que créateurs de https://diafygi.github.io/webrtc-ips/, un outil qui détecte si votre navigateur est vulnérable à une fuite WebRTC, expliquez,

«Firefox et Chrome ont implémenté WebRTC qui permet de faire des demandes aux serveurs STUN qui renverront les adresses IP locales et publiques de l'utilisateur. Ces résultats de demande sont disponibles en javascript, vous pouvez donc désormais obtenir les adresses IP locales et publiques d'un utilisateur en javascript. Cette démo est un exemple d'implémentation de cette.

De plus, ces requêtes STUN sont effectuées en dehors de la procédure XMLHttpRequest normale, de sorte qu'elles ne sont pas visibles dans la console du développeur ou peuvent être bloquées par des plugins tels que AdBlockPlus ou Ghostery. Cela rend ces types de demandes disponibles pour le suivi en ligne si un annonceur configure un serveur STUN avec un domaine générique. "

Le navigateur Opera, qui utilise le même code WebKit qui alimente Chrome, est également affecté par le problème, mais Internet Explorer et Safari, qui ne prennent pas en charge WebRTC, ne le sont pas. Mise à jour: les nouvelles versions du navigateur Android d'origine semblent implémenter WebRTC, et doivent donc être évitées.

Suis-je affecté?

Vous pouvez tester si votre navigateur fuit votre véritable adresse IP via WebRTC en visitant ipleak.net.

WebRTC 1

Ici, nous pouvons clairement voir que j'ai une fuite WebRTC. Le site Web peut voir l'IP de mon serveur VPN, mais peut également voir la véritable adresse IP locale (UK). Mal!

WebRTC 2

Si vous avez désactivé WebRTC dans votre navigateur (ou si vous utilisez un navigateur qui ne «propose» pas WebRTC, vous verrez ce message. Bon!

webRTC 5

Vous pouvez également voir quelque chose comme ça, ce qui signifie que votre navigateur est vulnérable au «bug» WebRTC, mais que votre service VPN a résolu le problème et achemine les requêtes WebRTC STUN via ses serveurs. Bravo!

Bien qu'il soit formidable que certains fournisseurs de VPN (comme AirVPN) aient pris des mesures pour corriger le «bogue» WebRTC, il convient de souligner que, fondamentalement, le problème réside dans l'API WebRTC, ainsi que dans le fait qu'elle est activée par défaut. dans les navigateurs concernés.

Ce n'est donc pas vraiment la faute des fournisseurs de VPN, même si nous aimerions voir plus d'entre eux relever le défi d'aider leurs clients (qui seront largement ignorants du problème) à ne pas compromettre leur vie privée par ce problème.

Quels sont les correctifs?

Firefox

1. La solution la plus simple au problème consiste simplement à désactiver WebRTC. Dans Firefox peut être facilement fait manuellement dans les paramètres avancés:

un type 'about: config ’ dans la barre d'URL (et cliquez sur "Je ferai attention, promis!")
b) Recherchez ‘media.peerconnection.enabled»
c) Double-cliquez sur l'entrée pour changer la valeur en ‘faux'

Cette méthode fonctionne également dans les versions mobiles de Firefox (Android / iOS)

Correction de Firefox WebRTC

2. Installez le module complémentaire Désactiver WebRTC. L'extension de navigateur uBlock Origin empêche également WebRTC de divulguer votre adresse IP locale sur le bureau (tous ces modules complémentaires également sur les versions mobiles de Firefox.)

webRTC6

Dans uBlock Origin, allez au menu -> Modules complémentaires -> Origine uBlock -> Les options -> Afficher le tableau de bord pour désactiver WebRTC

3. Une option plus nucléaire consiste à utiliser le module complémentaire NoScript. C'est un outil extrêmement puissant, et c'est le meilleur moyen de protéger votre navigateur contre toute une série de menaces (y compris WebTRC), mais de nombreux sites Web ne joueront pas au jeu avec NoScript, et il nécessite un peu de connaissances techniques pour configurer et peaufiner pour travailler comme vous le souhaitez.

Il est facile d'ajouter des exceptions à une liste blanche, mais même cela nécessite une certaine compréhension des risques qui pourraient être impliqués. Pas pour l'utilisateur occasionnel, mais pour les utilisateurs avertis du Web, NoScript est difficile à battre (en fait, même avec la plupart de ses fonctionnalités désactivées, NoScript fournit de toute façon des protections utiles.) NoScript fonctionne sur les versions de bureau de Firefox seulement.

4. Comme je l'ai noté, WebRTC peut en fait être utile, donc pour une approche plus nuancée, vous pouvez installer le module complémentaire statutaire. Cela vous permet de décider, site par site, d'autoriser ou non une connexion WebRTC. Bureau uniquement.

Le module complémentaire statutaire bloque WebRTC par défaut, mais vous permet de lister les sites en les ajoutant à cette liste

WebRTC 3

Notez que le navigateur Tor (qui est basé sur Firefox) désactive WebRTC par défaut.

Chrome

1. L'extension de navigateur uBlock Origin est également disponible pour Chrome (et fonctionne pour Opera.)

2. L'extension de navigateur WebRTC Network Limiter empêchera les fuites IP sans désactiver complètement la fonctionnalité WebRTC (il s'agit d'une extension officielle de Google.)

3. Dans Android, vous pouvez désactiver manuellement WebRTC dans Chrome en utilisant la méthode suivante:

Type chrome: // drapeaux dans la barre de recherche et faites défiler jusqu'à ce que vous faites défiler jusqu'à ce que vous voyez "En-tête d'origine WebRTC STUN". Désactivez ceci. Il existe également des options de décodage vidéo WebRTC, mais vous ne devriez pas avoir besoin de les désactiver pour éviter les fuites IP WebRTC (bien que si cela vous fait vous sentir mieux, allez-y!).

Opéra

En théorie, Opera peut utiliser des extensions Chrome classiques, mais celles-ci ne parviennent généralement pas à bloquer les fuites IP WebRTC. La seule méthode que je connaisse qui fonctionne est d'utiliser l'extension WebRTC Leak Prevent, mais seulement si vous:

  1. Aller au menu -> Extensions -> Gérer les extensions WebRTC Leak Prevent -> Les options
  2. Ensemble "Politique de gestion IP" à: désactiver UDP non proxy (forcer le proxy) et cocher les deux options sous "Héritage".

Opéra

3. Frapper "Appliquer les paramètres".

Conclusion

Le «bug» WebRTC est dangereux pour les utilisateurs VPN, car il peut révéler votre véritable adresse IP (annulant ainsi tout l'intérêt d'utiliser un VPN!)

Bien que ce ne soit pas vraiment de leur faute, il serait formidable, cependant, que davantage de fournisseurs puissent résoudre le problème afin de protéger leurs utilisateurs, dont la plupart ignorent complètement cette menace..

En attendant, au moins une fois que vous êtes conscient du problème, il peut être facilement résolu.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me