Tor Browser vient de corriger une méchante faille, mettez-le à jour !

Récemment, The Tor Project a sorti une mise à jour de son navigateur en lançant la version Tor Browser 10.0.18. Cette dernière a été développée notamment pour corriger plusieurs bugs parmi lesquels une vulnérabilité assez inquiétante. Cette faille permet en effet à des sites de pister les utilisateurs en se servant des applications installées sur leurs appareils.

C’est en mai dernier que FingerprintJS, une compagnie de dactyloscopie JavaScript, a révélé l’existence d’une vulnérabilité qui permet le pistage des usagers à travers plusieurs navigateurs en se basant sur les applications présentes sur leur ordinateur ou smartphone.

Une femme se tenant le visage dans la pénombre
Photo de Juan Pablo Serrano Arenas provenant de Pexels

L’opération de pistage commence par la création d’un profil de pistage de l’utilisateur en essayant d’ouvrir différents liens d’applications. Il y a ensuite une fenêtre de vérification qui apparait indiquant que le site essaie d’ouvrir l’application. Cette fenêtre demande ainsi l’autorisation d’ouvrir l’appli. L’on sait que lorsque cette fenêtre apparait, cela veut dire que l’application est installée sur l’appareil. Ainsi, en faisant l’inventaire des URL, le bug peut créer un ID basé sur la configuration unique des applications installées.

D’après ce que l’on sait, cet ID peut ensuite être traqué à travers différents navigateurs comme Edge, Firefox, Safari, Google Chrome, et bien sûr Tor Browser.

A lire aussi : ZT-ZA- YggTorrent, comment contourner le blocage par DNS

Le cas de Tor Browser

En ce qui concerne Tor Browser, cette vulnérabilité est particulièrement inquiétante. En effet, ce navigateur est généralement utilisé par les utilisateurs pour empêcher que leur identité et leur adresse IP ne soient liées à des sites web.

Comme la vulnérabilité traque les utilisateurs à travers les navigateurs, cela pourrait permettre aux sites web et également aux autorités de retrouver la vraie adresse IP d’une personne, et ce lorsque cette dernière recommence à utiliser un navigateur qui ne cache pas l’identité comme Google Chrome.

La correction apportée par la mise à jour

Ainsi, avec la version 10.0.18 de Tor Browser, la compagnie a introduit une correction qui s’attaque à cette vulnérabilité. La mise à jour développée par The Tor Project indique maintenant « faux » au paramètre « network.protocol-handler.external ».

Ce réglage par défaut va empêcher le navigateur de céder une URL particulière à une application externe. Ainsi, la fenêtre de vérification ne va plus être déclenchée.

Si vous aussi vous utilisez Tor Browser, il est ainsi conseillé de le mettre à jour. Pour cela, il suffit de cliquer sur « Help » et de sélectionner « About Tor Browser ». Le navigateur va automatiquement rechercher toutes les nouvelles mises à jour et les installer.

La dernière vidéo de la chaîne

Si vous aimez les produits tech, alors n’hésitez pas à nous rejoindre sur notre chaîne YouTube.

Mots-clés tor