Faille dans Firefox et Chrome

ptit_poulet · 2015-01-31 13:08:40

Bonjour,

Attention ce post est très important !

Une faille a été découverte dans Firefox et Chrome sous Windows (si des utilisateurs de MacOSX et Linux peuvent tester et nous faire un retour).

Cette faille permet à un site internet de découvrir la véritable adresse IP de l'utilisateur même si celui-ci passe par un VPN. Ce problème vient de l'implémentation du protocole WebRTC.

Vous pouvez d'ailleurs tester si vous êtes vulnérable à cette adresse.

Si c'est le cas, vous devez télécharger cet add-on sous Chrome afin de désactiver WebRTC. Et sous Firefox vous devez vous rendre sur la page about:config et faire passer l'option media.peerconnection.enabled à false.

Ensuite refaites le test avec le lien précédent et vous devriez être protégé wink

Cordialement. ptit_poulet

EDIT : L'extension WebRTC Block ne fonctionne plus sous Chrome, il faut installer l'extension ScriptSafe afin de combler cette faille. Merci à fab6350 pour cette remontée d'information wink

EDIT 2 : D'après l'utilisateur -= MyoHo =- cela affecterait aussi le navigateur Opera. Je vous met le lien vers sa manip afin d'installer l'extension WebRTC Block et Script Blocker for Chrome sous Opera.

EDIT 3 : J'actualise ce topic car Google vient de sortir un plugin officiel afin de corriger la faille de WebRTC. Voici donc ce fameux plugin.

Dernière modification par ptit_poulet (2015-08-01 10:08:44)

Flashback · 2015-01-31 13:23:28

Salut ptit_poulet !

Merci pour l'info et la manip à faire.

Bon week-end ! smile

Alexx · 2015-01-31 14:09:32

Bonjour, je viens d'essayer avec Firefox (35.0.1) sous Mac OSX (10.10.2) VPN activé (serveur NL1). L'adresse IP public qui est affichée est bien celle du VPN en revanche, le site affiche mes deux adresses IP locales. Je sais pas si c'est normal ou si c'est dû à la faille...
Bonne journée.

Jide17 · 2015-01-31 14:13:44

Bonjour,
Bizarrement ça a marché pour moi sous Chrome avec l'add-on mais pas sous Firefox où "media.peerconnection.enabled" était déjà réglé sur "false".
Merci et bon week end !

VydoLL · 2015-01-31 14:53:23

merci pour cette info, je confirme la faille sous chrome !

member · 2015-01-31 15:07:46

Bonjour,
Je suis sous Linux (Ubuntu 14.04).
L'adresse IP public qui est affichée est bien celle du VPN.
Cependant les deux adresses IP locales sont révélés.
Est-ce que c'est normale?

cavecaven · 2015-01-31 16:39:02

Bonjour,

Merci pour ce post vraiment important.
C'est toute la raison d'être de Freedom-Ip qui est mise en danger avec cette faille.

Chrome add-on installé ok
Firefox, manip effectuée ok

IE testé :
Your local IP addresses: néant
Your public IP addresses: néant

Même si IE sur ce coup est sécurisé, pour tout le reste je repasserai pour lui faire sa promo big_smile

Merci pour la réactivité et le suivi surtout !
Bonne continuation wink

-H- · 2015-01-31 16:52:59

Bonjour,
Merci pour l'information!
Cordialement,
H

ulhan59 · 2015-01-31 17:00:58

merci pour cette info importante.
au top , comme d'habitude.

Patrick1969 · 2015-01-31 17:24:28

Bonjour ,
Manipulation effectuée sous firefox , système d'exploitation windows 8.1 .
Testé sur le site , ip local et ip public non affichée .
Merci pour toutes ces infos , bonne continuation , cordialement Patrick .

Nicox13 · 2015-01-31 18:57:52

Bonjour,

Bizarre via le lien aucunes adresses IP/publics ne sont affichées... Donc il est possible de ne pas être vulnérable? (Je suis sous Windows 7 et j'utilise Firefox.)

Bon je vais quand même faire passer l'option media.peerconnection.enabled à false juste au cas où. Merci pour l'info.

Dernière modification par Nicox13 (2015-01-31 19:01:08)

Axquenlou · 2015-01-31 19:09:29

Bonjour,

Merci pour l'info big_smile

Se7en512 · 2015-01-31 19:30:16

Merci pour l'avertissement ! En effet c'est une faille énorme.
En plus j'étais bien touché la faille, après avoir mis l'option à false sur Firefox, plus aucune IP ne s'affiche smile .

J'ai une question : Désactiver WebRC ou du moins l'option peut elle poser problème sur certain site ?

Digitalin · 2015-01-31 19:48:04

Bonsoir,

Merci de l'info ptit_poulet. Sous linux, avec Chromium et Firefox, l'adresse du VPN apparaît bien mais également avec deux adresses privées, non routables sur internet en 192.168.1.x et en 10.8.2.x. En changeant la valeur media.peerconnection.enabled à false dans Firefox, seule l'adresse VPN apparaît ensuite.

Cordialement,
Digitalin.

EDIT: en testant de nouveau, aucune adresse n’apparaît avec Firefox, alors que trois adresses apparaissent sur Chromium (dont celle du VPN)

Dernière modification par Digitalin (2015-01-31 19:54:32)

metalux · 2015-01-31 19:49:57

Bonsoir,
En désactivant le WebRTC, je suppose qu'on supprime la possibilité d'utiliser des services de visioconférences comme Hello ou appear.in, ce n'est pas très cool.
Sur Gnu/Linux, seules les adresses locales apparaissent, est-ce un souci ou faut-il également changer la clef dans about:config avec l'inconvénient de se passer du WebRTC? L'adresse ip public elle est bien celle du VPN.
Une fois changé la clef, il n'y a plus aucune adresses qui apparaissent, pas même celle du VPN pour moi, contrairement à Digitalin.
Edit: Finalement, le même comportement que Digitalin suite à son edit. J'utilise Firefox.

Dernière modification par metalux (2015-01-31 19:57:31)

ptit_poulet · 2015-01-31 19:55:40

Le fait que seules les adresses locales apparaissent ne me parait pas être un soucis, ça ne permet pas de remonter jusqu'à vous où avoir des informations de localisation.

WebRTC sert à animer les textes et les dessins présentés par le navigateur mais aussi de réaliser des fonctionnalités de glisser-déposer ou encore du streaming (audio et vidéo) bidirectionnel. Donc si vous rencontrez un soucis sur un site internet qui utilise ce genre de fonctionnalité, il faudra soit réactiver WebRTC ou passer par un navigateur et/ou OS qui n'est pas touché par ce problème. J'espère que Chrome et Firefox seront patchés afin de combler cette faille...

metalux · 2015-01-31 20:01:32

Merci de ta réponse ptit_poulet, je vais laissé le WebRTC activé dans ce cas.
Donc seul les utilisateurs Windows sont touchés.

ptit_poulet · 2015-01-31 20:14:28

Logiquement oui mais il vaut mieux tester via le lien que j'ai posté wink

Polizei · 2015-01-31 22:03:34

Put***, je suis un parano geek super prudent qui blinde ses navigateurs et pourtant mon Chromium comme mon Firefox était touchés !
Déjà que le FingerPrint m'avait saoulé aussi à l'époque (C'était d'ailleurs FIP qui m'avait mis au courant)

Donc si vous rencontrez un soucis sur un site internet qui utilise ce genre de fonctionnalité, il faudra soit réactiver WebRTC [...]

Soit faire un email au webmaster en lui disant de faire son site autrement qu'avec WebRTC !

————————————————————————————————————
Pour tester : https://www.browserleaks.com/webrtc

» | Is WebRTC Enabled | X false : = C'EST BON !
» | Is WebRTC Enabled | ! true : C'EST PAS BON !

————————————————————————————————————
Ou ici : https://diafygi.github.io/webrtc-ips/

C'est bon si les lignes suivantes sont VIDES

Your local IP addresses:
Your public IP addresses:

Dernière modification par Polizei (2015-01-31 22:17:05)

ptit_poulet · 2015-01-31 22:10:01

@Polizei : le plus rapide sera surement de changer de site big_smile

Polizei · 2015-01-31 22:14:04

En effet ! Mais en tout cas merci ptit_poulet pour ta vigilance parce que ce n'est pas la première informations primordiales que je vois passer sur le Forum de FIP alors que des grands comme Korben ou SebSauvage oublient de faire suivre !

Dernière modification par Polizei (2015-02-01 00:23:45)

jejedu67 · 2015-01-31 22:20:16

Bonsoir

Je suis étonné de la découverte de tels bugs qui touchent des dizaines de millions d'internautes ... combien y en a t il encore ? 1 ? 2 ? 3 ? 10 ? En tout cas on peut afficher avec une certitude presque totale que l'utilisation d'un PC, qu'il soit sous windows, mac ou linux, ne peut en aucun cas être totalement anonyme est sécurisé.

Dernière modification par jejedu67 (2015-01-31 22:20:57)

ptit_poulet · 2015-01-31 22:30:00

Polizei a écrit :

alors que des grands comme Korben ou SebSauvage oublient de faire suivre !

Le 1er fait même de la pub pour WebRTC en ce moment sur son site big_smile

Et puis rien ne peut-être plus grand qu'une communauté qui s'entraide wink

fip_10631987Cj · 2015-02-01 00:23:15

cool Salut à tous.Merci pour l'info. Pour Opéra c'est qu'elle procédure ? 20 euros de Dons pour ce 1er février. Bonne continuation et longue vie à toute l'équipe. David. cool

ptit_poulet · 2015-02-01 10:25:49

Bonjour,

Testez Opera avec le lien que j'ai donné dans le 1er post mais à 1ère vue il n'est pas touché par ce problème.

Forum Freedom-IP

#1 2015-01-31 13:08:40

Faille dans Firefox et Chrome

#2 2015-01-31 13:23:28

Re : Faille dans Firefox et Chrome

#3 2015-01-31 14:09:32

Re : Faille dans Firefox et Chrome

#4 2015-01-31 14:13:44

Re : Faille dans Firefox et Chrome

#5 2015-01-31 14:53:23

Re : Faille dans Firefox et Chrome

#6 2015-01-31 15:07:46

Re : Faille dans Firefox et Chrome

#7 2015-01-31 16:39:02

Re : Faille dans Firefox et Chrome

#8 2015-01-31 16:52:59

Re : Faille dans Firefox et Chrome

#9 2015-01-31 17:00:58

Re : Faille dans Firefox et Chrome

#10 2015-01-31 17:24:28

Re : Faille dans Firefox et Chrome

#11 2015-01-31 18:57:52

Re : Faille dans Firefox et Chrome

#12 2015-01-31 19:09:29

Re : Faille dans Firefox et Chrome

#13 2015-01-31 19:30:16

Re : Faille dans Firefox et Chrome

#14 2015-01-31 19:48:04

Re : Faille dans Firefox et Chrome

#15 2015-01-31 19:49:57

Re : Faille dans Firefox et Chrome

#16 2015-01-31 19:55:40

Re : Faille dans Firefox et Chrome

#17 2015-01-31 20:01:32

Re : Faille dans Firefox et Chrome

#18 2015-01-31 20:14:28

Re : Faille dans Firefox et Chrome

#19 2015-01-31 22:03:34

Re : Faille dans Firefox et Chrome

#20 2015-01-31 22:10:01

Re : Faille dans Firefox et Chrome

#21 2015-01-31 22:14:04

Re : Faille dans Firefox et Chrome

#22 2015-01-31 22:20:16

Re : Faille dans Firefox et Chrome

#23 2015-01-31 22:30:00

Re : Faille dans Firefox et Chrome

#24 2015-02-01 00:23:15

Re : Faille dans Firefox et Chrome

#25 2015-02-01 10:25:49

Re : Faille dans Firefox et Chrome

Pied de page des forums