Accueil > Protégez Votre Vie Privée > Solutions > Navigation Sécurisée > Corriger les fuites et vulnérabilités WebRTC

Corriger les fuites et vulnérabilités WebRTC

  • par

Lorsque l’on discute de la protection de la vie privée en ligne et des réseaux privés virtuels (VPN), le sujet des fuites et des vulnérabilités WebRTC revient souvent au centre de la discussion. En réalité, cette question concerne essentiellement les navigateurs Internet tels que Firefox, Opera, Chrome, Brave, Safari et tous les navigateurs Web basés sur le projet Chromium.

En effet, début 2015, les navigateurs Chrome et Firefox ont introduit une nouvelle “fonctionnalité” appelée WebRTC (Web Real-Time Communication) qui malheureusement, permet aux sites Web de détecter votre adresse IP réelle, même lorsque vous utilisez un VPN.

Qu’est-ce que WebRTC ?

WebRTC permet le partage de la voix, du chat vidéo et du P2P via votre navigateur. Malheureusement, cette capacité peut aussi exposer votre adresse IP réelle par le biais des requêtes STUN (Simple Traversal of UDP through NATs) du navigateur, même si vous utilisez un service VPN.

Pour autant, la communication Web en temps réel (WebRTC) est une fonctionnalité potentiellement très utile qui permet aux navigateurs d’intégrer des fonctions comme les appels vocaux et vidéo et le partage de fichiers P2P directement dans le navigateur, sans ajouter d’extensions supplémentaires au navigateur.

Un bon exemple en était le logiciel client de vidéo et de chat Firefox Hello qui permettait de parler en toute sécurité à quiconque en utilisant un navigateur Firefox, Chrome ou Opera à jour, sans avoir à télécharger aucun add-on ou à configurer de nouveaux paramètres. Celui-ci a été abandonné fin 2016 mais WebRTC est bel et bien resté présent dans les navigateurs.

Alors quel est le problème ?

Une fuite WebRTC se produit lorsque votre adresse IP réelle est exposée via la fonctionnalité WebRTC de votre navigateur. Cette fuite peut vous dés-anonymiser via les API WebRTC, même si votre VPN fonctionne correctement.

Si vous ne vous êtes pas protégé contre les fuites WebRTC dans votre navigateur, tout site Web que vous visitez pourrait obtenir votre adresse IP réelle par le biais des requêtes STUN du WebRTC. C’est un problème majeur.

Bien que la fonction WebRTC puisse être utile pour certains utilisateurs, elle représente une menace pour ceux qui utilisent un VPN et qui cherchent à maintenir l’anonymat en ligne sans révéler leur adresse IP réelle.

Daniel Roesler a exposé cette vulnérabilité dès 2015 sur sa page GitHub, où il a déclaré :

Firefox et Chrome ont implémenté WebRTC qui permet de faire des requêtes aux serveurs STUN qui retourneront les adresses IP locales et publiques de l'utilisateur. Les résultats de ces requêtes sont disponibles en javascript, vous pouvez donc maintenant obtenir les adresses IP locales et publiques des utilisateurs en javascript.

De plus, ces requêtes STUN sont effectuées en dehors de la procédure XMLHttpRequest normale, de sorte qu'elles ne sont pas visibles dans la console de développement ou ne peuvent pas être bloquées par des plugins tels que AdBlockPlus ou Ghostery. Ces types de requêtes sont donc disponibles pour le suivi en ligne si un annonceur met en place un serveur STUN avec un domaine wildcard.

Essentiellement, cela signifie que n’importe quel site peut simplement exécuter quelques commandes Javascript pour obtenir votre adresse IP réelle via votre navigateur Web.

Suis-je affecté ?

Pour savoir si votre navigateur divulgue votre adresse IP réelle par l’entremise du WebRTC, il vous suffit de le vérifier en visitant le site ipleak.net.

Si malgré une connexion à un service VPN, votre adresse IP locale (de votre FAI) est visible, alors il y a une fuite.

En revanche, si vous avez désactivé le WebRTC dans votre navigateur (ou si vous utilisez un navigateur qui ne comporte pas WebRTC, alors seule l’adresse IP de votre VPN sera affichée dans cette fenêtre de test. Cela peut aussi signifier que votre service VPN a lui-même résolu le problème et achemine les requêtes WebRTC STUN via ses serveurs.

Bien qu’il soit formidable que certains fournisseurs de VPN aient pris des mesures pour corriger le “bogue” du WebRTC, il faut souligner que, fondamentalement, le problème réside dans l’API WebRTC, ainsi que dans le fait qu’elle est activée par défaut dans les navigateurs concernés.

Si votre navigateur fuite WebRTC, ce n’est donc pas vraiment la faute des fournisseurs de VPN.

Un VPN me protégera-t-il contre les fuites WebRTC ?

Probablement.

Tout comme pour la prise d’empreintes digitales des navigateurs, le problème du WebRTC est une vulnérabilité des navigateurs Web. Il est donc préférable de s’attaquer à la cause profonde du problème en corrigeant la vulnérabilité au niveau de votre navigateur, dont nous parlerons plus loin.

Néanmoins, certains VPN protègent contre les vulnérabilités du WebRTC. J’ai testé deux VPN qui protègent les utilisateurs contre les fuites WebRTC via des règles de pare-feu :

  1. Perfect Privacy : les applications VPN Perfect Privacy sont configurées pour se protéger contre les vulnérabilités du WebRTC. Elles ont été testées et sont parfaitement efficaces sous Windows et macOS.
  2. ExpressVPN : ExpressVPN a récemment mis à jour son logiciel pour mieux protéger les utilisateurs contre les fuites du WebRTC. Là aussi, le logiciel sur Windows et macOS protège contre les fuites WebRTC.

Remarque : étant donné que la vulnérabilité de WebRTC est un problème délicat, il est toujours préférable de régler le problème dans votre navigateur, plutôt que de compter uniquement sur un VPN pour la protection.

Quels sont les remèdes aux fuites WebRTC?

Il existe trois options différentes pour traiter la question du WebRTC :

  1. Désactiver WebRTC dans le navigateur et n’utilisez que les navigateurs dont la capacité WebRTC est désactivée. (Les instructions sont ci-dessous.)
  2. Utiliser des extensions de navigateur pour le faire, si la désactivation du WebRTC n’est pas possible. (La désactivation du WebRTC n’est pas possible avec les navigateurs Chrome et Chromium, contrairement au navigateur Brave.)
    Remarque : les extensions peuvent ne pas être efficaces à 100 %. Même avec les add-ons, la vulnérabilité existe toujours dans le navigateur pour révéler votre véritable adresse IP.
  3. Utiliser un VPN qui protège contre les fuites WebRTC, comme Perfect Privacy ou ExpressVPN

Corrections et extensions de navigateur

Vous trouverez ci-dessous différents correctifs pour les navigateurs les plus populaires.

Firefox WebRTC

Désactiver WebRTC dans Firefox est très simple. Tout d’abord, tapez about:config dans la barre d’adresse et appuyez sur Entrée. Ensuite, acceptez le message d’avertissement et cliquez sur le bouton bleu “Je prends le risque

Corriger les fuites et vulnérabilités WebRTC - accès Firefox about:config
about:config dans la barre d’adresse du navigateur Firefox

Ensuite, dans la boîte de recherche, tapez “media.peerconnection.enabled“. Double-cliquez sur le nom de la préférence pour changer la valeur en “false“.

Corriger les fuites et vulnérabilités WebRTC - liste des options de la fonction about:config dans Firefox
Liste des options de la fonction about:config dans Firefox

Voilà, WebRTC est complètement désactivé dans Firefox et vous n’aurez pas à vous soucier des fuites WebRTC.

Désactivation du WebRTC dans Firefox
WebRTC Firefox

Chrome WebRTC (bureau)

Outre Firefox, la vulnérabilité de WebRTC affecte également les navigateurs Chrome, Opera, Brave et autres navigateurs basés sur Chromium. Sur chacun d’eux aussi, vous pouvez bloquer ou désactiver le WebRTC .

Comme WebRTC ne peut pas être désactivé dans le navigateur Chrome pour ordinateur de bureau, les extensions sont la seule option (pour ceux qui ne veulent pas simplement renoncer à utiliser Chrome).

Comme indiqué précédemment, il est important de se rappeler que les extensions de navigateur peuvent ne pas être efficaces à 100%. En d’autres termes, vous pouvez toujours être vulnérable aux fuites d’adresse IP du WebRTC dans certaines circonstances. Néanmoins, voici deux extensions qu’il pourrait être utile d’envisager:

Remarque : Contrairement à Firefox, ces extensions ne modifient que les paramètres de sécurité et de confidentialité du WebRTC.

Une autre solution évidente est d’arrêter d’utiliser Chrome.

Chrome WebRTC (mobile)

Bien que Google n’ait pas ajouté d’option pour les utilisateurs de bureau, il semble que la version Android ait une telle capacité. Voici comment désactiver WebRTC dans Chrome pour Android (il semble que la possibilité ne soit pas offerte sur iOS) :

Dans la barre d'adresse, tapez chrome:///flags/#disable-webrtc et appuyez sur Entrée.
Faites défiler vers le bas et trouvez "WebRTC STUN origine header" - puis désactivez-le. Pour des raisons de sécurité, vous pouvez également désactiver les options d'encodage/décodage vidéo matériel du WebRTC, bien que cela ne soit pas nécessaire.
Redémarrez votre téléphone pour que les paramètres prennent effet.

Notez que cette méthode peut ne pas fonctionner dans les versions les plus récentes du navigateur.

Remarque : Les utilisateurs d’Android peuvent également installer Firefox et désactiver WebRTC en suivant les étapes ci-dessus.

Brave WebRTC

Parce que le navigateur Brave est basé sur Chromium, il est également vulnérable aux fuites d’adresse IP WebRTC, même lorsque vous utilisez un VPN.

Il y a cependant deux façons de bloquer WebRTC dans le navigateur Brave :

  • Avec une extension de type WebRTC Leak Prevent ou uBlock Origin
  • En allant dans Paramètres > Paramètres supplémentaires > Confidentialité et Sécurité > Politique de gestion des adresses IP WebRTC sélectionnez “Désactiver l’UDP pas en proxy
Voici comment bloquer WebRTC dans le navigateur Brave
Bloquer WebRTC dans Brave

Certains utilisateurs prétendent que le WebRTC n’est pas bloqué sous iOS, malgré la protection contre les empreintes digitales activée dans les paramètres. Des développeurs semblent avoir confirmé ce problème et travaillent sur une solution. Pour moi en revanche sous iOS 13 version 1.11.4 de Brave, je ne constate aucune fuite.

Opera WebRTC

Tout comme avec Brave, vous avez deux possibilités pour adresser la vulnérabilité WebRTC dans Opera : utiliser une extension comme WebRTC Leak Prevent ou uBlock Origin

Voici comment prévenir les fuites WebRTC dans le navigateur Opera
WebRTC Leak Prevent sous Opera

Dans les options avancées de l’extension WebRTC Leak Prevent, sélectionnez “Disable non-proxied UDP (forcer proxy)”, puis cliquez sur Apply settings.

Encore une fois, comme il s’agit d’une solution d’extension, il se peut qu’elle ne soit pas efficace à 100 %.

Ou en vous rendant dans les réglages du navigateur > Avancé > Vie privée & Sécurité > WebRTC cochez “Désactiver les UDP sans proxy

Paramètres WebRTC navigateur Opera
Paramètres WebRTC navigateur Opera

Safari WebRTC

Les fuites du WebRTC n’ont jamais été un problème avec les navigateurs Safari (sur les appareils macOS et iOS). Cependant, Apple est en train d’incorporer WebRTC dans Safari, bien qu’il s’agisse encore techniquement d’une fonctionnalité “expérimentale”. Néanmoins, il serait sage de désactiver WebRTC dans Safari pour des raisons de confidentialité. Voici comment faire :

  1. Ouvrez les “Préférences” du navigateur “Safari”
  2. Cliquez sur l’onglet “Avancé“, puis en bas cochez la case “Afficher le menu Développement dans la barre des menus“.
  3. Cliquez maintenant sur la nouvelle section “Développement” dans la barre de menu de Safari.
  4. Dans le sous-menu “Fonctionnalités expérimentales“, désactivez au besoin les fonctionnalités WebRTC actives (aucune coche).
  5. Dans le sous-menu “WebRTC”, si l’option “Activer l’ancien API WebRTC” est cochée, cliquez dessus pour désactiver cette option (aucune coche).

Cela désactivera effectivement le WebRTC dans Safari.

Test de détection des fuites du WebRTC

Maintenant que vous avez désactivé ou bloqué WebRTC dans votre navigateur, vous pouvez effectuer quelques tests sur l’un ou l’autre des deux sites Web suivants pour le WebRTC :

  • Test WebRTC de BrowserLeaks Un test WebRTC qui fonctionne bien, comprend également des informations utiles sur le WebRTC.
  • ipleak.net Il s’agit d’un outil de test tout-en-un, qui inclut les fuites WebRTC
Capture d'écran d'un test de fuite WebRTC sur Browserleaks.com
Test de fuite WebRTC sur Browserleaks.com

Remarque : Si vous voyez une adresse IP locale, il ne s’agit pas d’une fuite. Une fuite du WebRTC ne se produira qu’avec une adresse IP publique.

Capture d'écran Ipleak Test dans le navigateur Firefox avec NordVPN
Ipleak Test dans le navigateur Firefox avec NordVPN

Conclusion

La vulnérabilité aux fuites du WebRTC met en lumière un concept très important pour ceux qui recherchent un niveau plus élevé d’anonymat et de sécurité en ligne grâce aux outils de confidentialité.

Le navigateur est généralement le maillon faible de la chaîne. Le “bug” WebRTC est dangereux pour les utilisateurs de VPN, car il peut révéler votre véritable adresse IP, ce qui annule tout l’intérêt d’utiliser un VPN !

Bien que le problème se situe au niveau des navigateurs, on peut saluer les efforts de certains VPN pour corriger le problème afin de protéger leurs utilisateurs, dont la plupart ne sont pas du tout conscients de cette menace.

En attendant, maintenant vous êtes au courant du problème, celui-ci peut être facilement résolu, comme nous venons de le voir.

Un autre problème à connaître est l’empreinte digitale du navigateur. C’est là que les paramètres et les valeurs de votre navigateur et de votre système d’exploitation peuvent être utilisés pour créer une empreinte digitale unique, et ainsi pouvoir suivre et identifier les utilisateurs. Heureusement, il existe là aussi des solutions efficaces à ce problème.

Enfin, il existe de nombreux navigateurs sécurisés et privés à prendre en compte, dont beaucoup peuvent être personnalisés pour répondre à vos besoins spécifiques.

Cet article vous a t-il été utile ?

Pypo

Nous avons créé ce site Web pour vous fournir des informations honnêtes, utiles et à jour sur les solutions existantes de confidentialité et de sécurité en ligne. Les guides et outils présents vous aideront à contrecarrer les plans de toutes les entreprises et entités gouvernementales qui pillent vos données personnelles et foulent votre vie privée. Nous suivre sur Mastodon