Si vous utilisez le navigateur Tor, vous devriez obtenir la dernière mise à jour immédiatement. Tor Browser 10.0.18 corrige une série de problèmes, dont l'une est une vulnérabilité qui pourrait permettre aux sites de suivre les utilisateurs en prenant les empreintes digitales de leurs applications installées.
Vulnérabilité d'inondation de schéma corrigée dans le navigateur Tor 10.0.18
La vulnérabilité a été révélée le mois dernier par FingerprintJS. L'entreprise a défini le problème comme un « projet d'inondation,” permettant le suivi des utilisateurs sur différents navigateurs en utilisant les applications installées sur les appareils des utilisateurs.
« Dans nos recherches sur les techniques anti-fraude, nous avons découvert une vulnérabilité qui permet aux sites Web d'identifier les utilisateurs de manière fiable sur différents navigateurs de bureau et de lier leurs identités entre elles. Les versions de bureau du navigateur Tor, Safari, Chrome, et Firefox sont tous concernés," a déclaré Konstantin Darutkin de FingerprintJS dans un article détaillant la découverte.
Les chercheurs ont décidé de qualifier la faille d'inondation de schéma, car il utilise des schémas d'URL personnalisés comme vecteur d'attaque. La vulnérabilité utilise également des informations sur les applications installées sur l'ordinateur d'un utilisateur afin qu'elle attribue un identifiant unique permanent au cas où l'utilisateur changerait de navigateur., utilise le mode navigation privée, ou un VPN.
Même si le problème d'inondation du schéma affecte plusieurs navigateurs, cela semble être particulièrement préoccupant pour les utilisateurs de Tor. La raison est simple : les utilisateurs de Tor comptent sur le navigateur pour protéger leur identité et leur adresse IP., alors que cette vulnérabilité permet le suivi des utilisateurs sur différents navigateurs. Il pourrait également permettre à divers sites et entités de suivre l'adresse IP réelle de l'utilisateur lorsqu'il passe à un navigateur « classique » tel que Chrome ou Firefox.
Heureusement, la vulnérabilité a été corrigée dans le navigateur Tor 10.0.18. Il est curieux de mentionner que le projet Tor a corrigé le bug de confidentialité en définissant le "network.protocol-handler.external’ mise à faux.
En Février 2021, un autre bug de confidentialité lié à le mode Tor intégré a été corrigé dans le navigateur Brave. Le bogue a été repéré par un chasseur de bogues connu sous le nom de xiaoyinl, et signalé à Brave via son programme de primes de bogues HackerOne. Le navigateur Brave est célèbre pour sa fonction Tor intégrée. Cependant, le mode de confidentialité qui devrait permettre la navigation anonyme sur le dark web a commencé à divulguer les domaines .onion aux serveurs DNS configurés pour les sites Web non-Tor. Cela pourrait alors permettre aux opérateurs DNS ou à d'autres acteurs de la menace de révéler les services cachés dont l'utilisateur a besoin.
Ce n'est pas la première fois que le navigateur Tor est sujet aux empreintes digitales des utilisateurs
En mars 2016, chercheur indépendant en sécurité Jose Carlos Norte a également découvert que Les utilisateurs de Tor pourraient avoir leurs empreintes digitales. Les empreintes digitales de l'utilisateur illustrent les moyens de suivre diverses opérations et détails sur les habitudes en ligne de l'utilisateur.
Comme l'a souligné Norte, empreintes digitales est spécifiquement menace de l'utilisateur Tor car les données stockées pendant qu'il surfe sur le Web (par Tor) peut être plus tard par rapport aux données prises à partir du navigateur régulier de l'utilisateur. C'est ce que le chercheur a dit il y a plusieurs années:
Un problème commun que tor navigateur tente de répondre est fingerprinting utilisateur. Si un site Web est capable de générer une empreinte digitale unique qui identifie chaque utilisateur qui entre dans la page, alors il est possible de suivre l'activité de cet utilisateur dans le temps, par exemple, établir une corrélation entre les visites de l'utilisateur au cours d'une année entière, sachant que son même utilisateur. Ou pire encore, il pourrait être possible d'identifier l'utilisateur si l'empreinte est le même dans le navigateur et tor dans le navigateur normal utilisé pour naviguer Internet. Il est très important pour le navigateur tor pour empêcher toute tentative de relever les empreintes digitales de l'utilisateur.
Le chercheur a également décrit plusieurs méthodes par lesquelles les utilisateurs de Tor pourraient être identifiés par leurs empreintes digitales., telles que l'empreinte digitale de la vitesse de la souris et l'exécution d'une opération JavaScript gourmande en CPU dans le navigateur.