WebRTC et sécurité, un mythe ?Bonjour, Cette semaine un sénior féru de micro-informatique et très « à cheval » sur sa vie privée numérique m’a demandé qu’est-ce que le WebRTC, si c’était néfaste et comment s’en prémunir si tel était le cas. En effet le WebRTC actif sur un navigateur ne fait pas que du bien, vous en doutez ? J’en ai parlé sur le site et aussi les différentes façons de se prémunir des GAFAM et autres pisteurs via votre navigateur. Sur ce petit tuto je vais m’attarder un peu plus sur ce fameux WebRTC. Le WebRTC sert, en théorie (vous me suivez ?) à mettre en relation via un serveur plusieurs navigateurs + différentes autres choses pour nous rendre la vie plus facile sur le Web, je ne suis pas un spécialiste de la question mais je connais aussi (surtout) ses dérives et la façon de m’en prémunir. La question de savoir si la technologie WebRTC est sécurisée en trouble beaucoup. Sachez que même si votre confiance est toute relative sur ce protocole, les données sont d’abord cryptées DTLS et présent/supporté par tous les navigateurs, les vidéos/audios sont cryptées elles en SRTP, donc pour le petit hacker du coin pas de crainte à avoir pour vos données mais des failles existent. Certains se croient à l’abri derrière un VPN pour masquer leur véritable identité, avec le WebRTC actif nous pouvons faire fuiter leurs vraies adresse IP, autrement dit payer un service VPN et laisser ce truc actif ne sert à rien, si ce n’est jeter l’argent par les fenêtres…Il peut aussi générer un identifiant unique, ainsi on peut vous suivre à la trace sur tous vos médias, il y a aussi le « STUN » un autre protocole qui permet de dévoiler votre véritable IP. L’extension uBlock origin bien configurée permet de se protéger en partie du WebRTC, il est dispo sur de nombreux navigateurs, voire tous. Nous traiterons ici de la façon de le rendre caduc (WebRTC) sans extension et sur le navigateur Firefox en particulier. Pour tous les navigateurs et sur l’onglet « options » de l’extension uBlock origin cochez cette case (Capture) Cela limitera la casse. Vous pouvez aussi sur les navigateurs basés sur Chrome, installer l’extension WebRTC Network Limiter ou encore WebRTC Leak Prevent pour ensuite les configurer. Toutes ces extensions proposées pour vous prémunir de WebRTC dans sa globalité ne fonctionneront qu’à moitié, elles ne vous protégeront pas de l’identifiant unique. Un seul y parviendra, Firefox ! Je vous propose une page Web qui vous permet de vérifier tout ceci, rendez-vous Ici Sur la capture ci-dessous ouverte avec le navigateur Vivaldi + l’extension uBlock, vous constaterez que ce n’est pas vraiment parfait, ce sera pareil avec Chrome/Edge et consort, seul Firefox s’en sort bien et nous allons voir comment. Pour limiter la casse dans les options du navigateur Vivaldi (Capture) Décochez « diffuser WebRTC », Cherchez quelque chose d’approximatif sur vos autres navigateurs. Sur Firefox nous disposons de la console « about :config », inutile de chercher cette console sur les autres navigateurs, elle est absente, n’existe pas, vous pouvez régler les options de ces navigateurs mais jusqu’à un certain point, je préfère toujours et pour cause, les logiciels open source…Bref, ouvrez la console about:config de Firefox et passez ces 2 valeurs à false (inactif) en faisant un double clic dessus. media.navigator.enabled media.peerconnection.enabled
Sur Firefox configuré avec uBlock Origin, retournez sur le site cité plus haut pour vérifier. (J’ai volontairement caché l’adresse IP.) Pas mal mais pas suffisant. A noter qu’une fuite du WebRTC ne se produira qu’avec une adresse IP publique et non locale, ouf sauvé.
NOTE : Contrairement à Firefox, ces extensions sur Chrome/Opera/Edge etc. ne modifient que les paramètres de sécurité et de confidentialité du WebRTC. Une solution, arrêtez d’utiliser ces navigateurs ! J'ai la nette impression de mettre un coup d'épée dans l'eau à chaque fois que je cite ces navigateurs... Sur cette seconde capture j’ai appliqué les 2 petits réglages cités plus haut sur Firefox, le résultat est sans appel ! (False = non dispo) Vous avez un autre site pour vérifier si vous le désirez, un autre également et qui fait de l’excellent travail, il y a tellement d’autres méthodes pour vous pister qu’il ne faudra surtout pas croire que ces simples manips/mesures suffiront à surfer « incognito », le seul moyen d’être « incognito » sur le Web ? D’être en mode déconnecté, pourquoi ? Regardez simplement votre type d’OS, les logiciels que vous utilisez, vos réglages/paramètres, vos services etc. Le ciblage publicitaire avec sa panoplie de traceurs quant à lui peut être aisément mis en difficulté, voire le rendre caduc comme ici avec le WebRTC sur Firefox. Sur cette capture (en allant plus loin encore) et en appliquant les recommandations du site + celles que j’ai cité plus haut, vous obtiendrez ceci Rien ne peut s’afficher, Je ne laisse même pas le choix, j’active le Java Script si seulement j’en ai besoin. Pour l’utilisateur lambda ou le néophyte le surf peut devenir pénible car il faut désactiver au cas par cas ou encore mettre des exceptions sur les extensions, il faut savoir ce que l’on veut et moi, je sais ce que je ne veux pas… Pour finir : J’ai installé 3 extensions différentes sur Chrome/Chromium (ceci reste valable pour les autres navigateurs basés sur Chrome…) pour me prémunir des fuites WebRTC et à des fins de tests, résultat ? Pour l’adresse IP c’est OK, en ce qui concerne l’identifiant unique c’est un grand loupé ! Aucune extension, aucun réglage sur ces navigateurs ne vous protégera réellement, aucune ne masquera votre identifiant unique ! Voyez-vous, je ne suis pas surpris, je m’attendais à ces résultats, et vous, vous espérez quoi des logiciels fermés ? Votre navigateur est le maillon faible (confidentialité), choisissez le bien et configurez le correctement surtout ceux qui utilisent et paient pour avoir un VPN, à bannir : Les VPN gratuits ou presque gratuits…N’oubliez pas l’empreinte de votre navigateur qui elle aussi peut vous « trahir ». Nous pouvons créer une empreinte unique de votre navigateur, surtout s’il n’est pas configuré ou mal configuré et ainsi vous suivre, vous identifiez partout sur le Web, heureusement il y a des solutions et quand il n’y en a pas c’est encore possible de rendre les choses très difficiles pour tous ces traqueurs, j’appelle un chat, un chat ! Ces traqueurs ne sont ni plus ni moins que des voleurs de vie privée, la vôtre. Vous n'avez rien à cacher ? Grand bien vous fassent, moi si et j'ai une chose qui ne regarde personne, mon intimité ! Belle journée,
0 Commentaires
|