Forum Freedom-IP

Forum d'entraide de la communauté Freedom-IP

Vous n'êtes pas identifié(e).

#1 2015-01-31 13:08:40

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Faille dans Firefox et Chrome

Bonjour,

Attention ce post est très important !

Une faille a été découverte dans Firefox et Chrome sous Windows (si des utilisateurs de MacOSX et Linux peuvent tester et nous faire un retour).

Cette faille permet à un site internet de découvrir la véritable adresse IP de l'utilisateur même si celui-ci passe par un VPN. Ce problème vient de l'implémentation du protocole WebRTC.

Vous pouvez d'ailleurs tester si vous êtes vulnérable à cette adresse.

Si c'est le cas, vous devez télécharger cet add-on sous Chrome afin de désactiver WebRTC. Et sous Firefox vous devez vous rendre sur la page about:config et faire passer l'option media.peerconnection.enabled à false.

Ensuite refaites le test avec le lien précédent et vous devriez être protégé wink

Cordialement. ptit_poulet

EDIT : L'extension WebRTC Block ne fonctionne plus sous Chrome, il faut installer l'extension ScriptSafe afin de combler cette faille. Merci à fab6350 pour cette remontée d'information wink

EDIT 2 : D'après l'utilisateur -= MyoHo =- cela affecterait aussi le navigateur Opera. Je vous met le lien vers sa manip afin d'installer l'extension WebRTC Block et Script Blocker for Chrome sous Opera.

EDIT 3 : J'actualise ce topic car Google vient de sortir un plugin officiel afin de corriger la faille de WebRTC. Voici donc ce fameux plugin.

Dernière modification par ptit_poulet (2015-08-01 10:08:44)


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#2 2015-01-31 13:23:28

Flashback
Membre
Lieu : Ailleurs
Inscription : 2012-10-02
Messages : 152

Re : Faille dans Firefox et Chrome

Salut ptit_poulet !

Merci pour l'info et la manip à faire.

Bon week-end !   smile

Hors ligne

#3 2015-01-31 14:09:32

Alexx
Membre
Inscription : 2014-03-24
Messages : 1

Re : Faille dans Firefox et Chrome

Bonjour, je viens d'essayer avec Firefox (35.0.1) sous Mac OSX (10.10.2) VPN activé (serveur NL1). L'adresse IP public qui est affichée est bien celle du VPN en revanche, le site affiche mes deux adresses IP locales. Je sais pas si c'est normal ou si c'est dû à la faille...
Bonne journée.

Hors ligne

#4 2015-01-31 14:13:44

Jide17
Membre
Inscription : 2013-12-11
Messages : 16

Re : Faille dans Firefox et Chrome

Bonjour,
Bizarrement ça a marché pour moi sous Chrome avec l'add-on mais pas sous Firefox où "media.peerconnection.enabled" était déjà réglé sur "false".
Merci et bon week end !

Hors ligne

#5 2015-01-31 14:53:23

VydoLL
Membre
Inscription : 2014-12-20
Messages : 54

Re : Faille dans Firefox et Chrome

merci pour cette info, je confirme la faille sous chrome !

Hors ligne

#6 2015-01-31 15:07:46

member
Membre
Inscription : 2014-11-13
Messages : 24

Re : Faille dans Firefox et Chrome

Bonjour,
Je suis sous Linux (Ubuntu 14.04).
L'adresse IP public qui est affichée est bien celle du VPN.
Cependant les deux adresses IP locales sont révélés.
Est-ce que c'est normale?

Hors ligne

#7 2015-01-31 16:39:02

cavecaven
Membre
Inscription : 2012-01-20
Messages : 24

Re : Faille dans Firefox et Chrome

Bonjour,

Merci pour ce post vraiment important.
C'est toute la raison d'être de Freedom-Ip qui est mise en danger avec cette faille.

Chrome add-on installé ok
Firefox, manip effectuée ok

IE testé :
Your local IP addresses: néant
Your public IP addresses: néant

Même si IE sur ce coup est sécurisé, pour tout le reste je repasserai pour lui faire sa promo  big_smile

Merci pour la réactivité et le suivi surtout !
Bonne continuation wink

Hors ligne

#8 2015-01-31 16:52:59

-H-
Membres de confiance
Inscription : 2014-03-11
Messages : 398

Re : Faille dans Firefox et Chrome

Bonjour,
Merci pour l'information!
Cordialement,
H


ptit_poulet m'apprend à troller xamzab toute la journée pour l’empêcher de travailler sur Freedom-IP   angel

Hors ligne

#9 2015-01-31 17:00:58

ulhan59
Membre
Inscription : 2012-02-22
Messages : 14

Re : Faille dans Firefox et Chrome

merci pour cette info importante.
au top , comme d'habitude.

Hors ligne

#10 2015-01-31 17:24:28

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Faille dans Firefox et Chrome

Bonjour ,
Manipulation effectuée  sous firefox , système d'exploitation windows 8.1 .
Testé sur le site , ip local et ip public non affichée .
Merci  pour toutes  ces infos , bonne continuation , cordialement Patrick .


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#11 2015-01-31 18:57:52

Nicox13
Membre
Inscription : 2012-05-25
Messages : 103

Re : Faille dans Firefox et Chrome

Bonjour,

Bizarre via le lien aucunes adresses IP/publics ne sont affichées... Donc il est possible de ne pas être vulnérable? (Je suis sous Windows 7 et j'utilise Firefox.)

Bon je vais quand même faire passer l'option media.peerconnection.enabled à false juste au cas où. Merci pour l'info.

Dernière modification par Nicox13 (2015-01-31 19:01:08)

Hors ligne

#12 2015-01-31 19:09:29

Axquenlou
Membre
Inscription : 2014-03-27
Messages : 41

Re : Faille dans Firefox et Chrome

Bonjour,

Merci pour l'info  big_smile

Hors ligne

#13 2015-01-31 19:30:16

Se7en512
Membre
Inscription : 2012-02-02
Messages : 295

Re : Faille dans Firefox et Chrome

Merci pour l'avertissement ! En effet c'est une faille énorme.
En plus j'étais bien touché la faille, après avoir mis l'option à false sur Firefox, plus aucune IP ne s'affiche smile.

J'ai une question : Désactiver WebRC ou du moins l'option peut elle poser problème sur certain site ?

Hors ligne

#14 2015-01-31 19:48:04

Digitalin
Contributeurs Confirmés
Inscription : 2013-10-10
Messages : 170

Re : Faille dans Firefox et Chrome

Bonsoir,

Merci de l'info ptit_poulet. Sous linux, avec Chromium et Firefox, l'adresse du VPN apparaît bien mais également avec deux adresses privées, non routables sur internet en 192.168.1.x et en 10.8.2.x. En changeant la valeur media.peerconnection.enabled à false dans Firefox, seule l'adresse VPN apparaît ensuite.

Cordialement,
Digitalin.

EDIT: en testant de nouveau, aucune adresse n’apparaît avec Firefox, alors que trois adresses apparaissent sur Chromium (dont celle du VPN)

Dernière modification par Digitalin (2015-01-31 19:54:32)

Hors ligne

#15 2015-01-31 19:49:57

metalux
Membre
Inscription : 2014-10-30
Messages : 72

Re : Faille dans Firefox et Chrome

Bonsoir,
En désactivant le WebRTC, je suppose qu'on supprime la possibilité d'utiliser des services de visioconférences comme Hello ou appear.in, ce n'est pas très cool.
Sur Gnu/Linux, seules les adresses locales apparaissent, est-ce un souci ou faut-il également changer la clef dans about:config avec l'inconvénient de se passer du WebRTC? L'adresse ip public elle est bien celle du VPN.
Une fois changé la clef, il n'y a plus aucune adresses qui apparaissent, pas même celle du VPN pour moi, contrairement à Digitalin.
Edit: Finalement, le même comportement que Digitalin suite à son edit. J'utilise Firefox.

Dernière modification par metalux (2015-01-31 19:57:31)

Hors ligne

#16 2015-01-31 19:55:40

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Faille dans Firefox et Chrome

Le fait que seules les adresses locales apparaissent ne me parait pas être un soucis, ça ne permet pas de remonter jusqu'à vous où avoir des informations de localisation.

WebRTC sert à animer les textes et les dessins présentés par le navigateur mais aussi de réaliser des fonctionnalités de glisser-déposer ou encore du streaming (audio et vidéo) bidirectionnel. Donc si vous rencontrez un soucis sur un site internet qui utilise ce genre de fonctionnalité, il faudra soit réactiver WebRTC ou passer par un navigateur et/ou OS qui n'est pas touché par ce problème. J'espère que Chrome et Firefox seront patchés afin de combler cette faille...


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#17 2015-01-31 20:01:32

metalux
Membre
Inscription : 2014-10-30
Messages : 72

Re : Faille dans Firefox et Chrome

Merci de ta réponse ptit_poulet, je vais laissé le WebRTC activé dans ce cas.
Donc seul les utilisateurs Windows sont touchés.

Hors ligne

#18 2015-01-31 20:14:28

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Faille dans Firefox et Chrome

Logiquement oui mais il vaut mieux tester via le lien que j'ai posté wink


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#19 2015-01-31 22:03:34

Polizei
Membres de confiance
Inscription : 2013-12-27
Messages : 403

Re : Faille dans Firefox et Chrome

Put***, je suis un parano geek super prudent qui blinde ses navigateurs et pourtant mon Chromium comme mon Firefox était touchés !
Déjà que le FingerPrint m'avait saoulé aussi à l'époque (C'était d'ailleurs FIP qui m'avait mis au courant)

Donc si vous rencontrez un soucis sur un site internet qui utilise ce genre de fonctionnalité, il faudra soit réactiver WebRTC [...]

Soit faire un email au webmaster en lui disant de faire son site autrement qu'avec WebRTC !


————————————————————————————————————
Pour tester : https://www.browserleaks.com/webrtc

»  |  Is WebRTC Enabled  |  X false : = C'EST BON !
»  |  Is WebRTC Enabled  |  ! true : C'EST PAS BON !


————————————————————————————————————
Ou ici : https://diafygi.github.io/webrtc-ips/

C'est bon si les lignes suivantes sont VIDES

Your local IP addresses:
Your public IP addresses:

Dernière modification par Polizei (2015-01-31 22:17:05)

Hors ligne

#20 2015-01-31 22:10:01

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Faille dans Firefox et Chrome

@Polizei : le plus rapide sera surement de changer de site big_smile


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#21 2015-01-31 22:14:04

Polizei
Membres de confiance
Inscription : 2013-12-27
Messages : 403

Re : Faille dans Firefox et Chrome

En effet ! Mais en tout cas merci ptit_poulet pour ta vigilance parce que ce n'est pas la première informations primordiales que je vois passer sur le Forum de FIP alors que des grands comme Korben ou SebSauvage oublient de faire suivre !

Dernière modification par Polizei (2015-02-01 00:23:45)

Hors ligne

#22 2015-01-31 22:20:16

jejedu67
Contributeurs Confirmés
Inscription : 2013-01-24
Messages : 885
Site Web

Re : Faille dans Firefox et Chrome

Bonsoir

Je suis étonné de la découverte de tels bugs qui touchent des dizaines de millions d'internautes ... combien y en a t il encore ? 1 ? 2 ? 3 ? 10 ? En tout cas on peut afficher avec une certitude presque totale que l'utilisation d'un PC, qu'il soit sous windows, mac ou linux, ne peut en aucun cas être totalement anonyme est sécurisé.

Dernière modification par jejedu67 (2015-01-31 22:20:57)


Ceci est une signature smile

Hors ligne

#23 2015-01-31 22:30:00

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Faille dans Firefox et Chrome

Polizei a écrit :

alors que des grands comme Korben ou SebSauvage oublient de faire suivre !

Le 1er fait même de la pub pour WebRTC en ce moment sur son site big_smile

Et puis rien ne peut-être plus grand qu'une communauté qui s'entraide wink


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#24 2015-02-01 00:23:15

fip_10631987Cj
Membre
Inscription : 2012-01-08
Messages : 24

Re : Faille dans Firefox et Chrome

cool  Salut à tous.Merci pour l'info. Pour Opéra c'est qu'elle procédure ? 20 euros de Dons pour ce 1er février. Bonne continuation  et longue vie à toute l'équipe. David.  cool

Hors ligne

#25 2015-02-01 10:25:49

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 102

Re : Faille dans Firefox et Chrome

Bonjour,

Testez Opera avec le lien que j'ai donné dans le 1er post mais à 1ère vue il n'est pas touché par ce problème.


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

Pied de page des forums