Tor Browser 5.5 renforce ses défenses contre le fingerprinting
Mais on ne peut que le limiter, pas le bloquer
Le 27 janvier 2016 à 14h00
3 min
Logiciel
Logiciel
Tor Browser est désormais disponible en version 5.5. Elle reprend évidemment les améliorations venues des dernières mises à jour de ses composants, mais elle importe surtout plusieurs nouvelles protections, dont une contre le fingerprinting.
Comme nous l’indiquions ce matin dans notre actualité sur Tails 2.0, la version 5.5 finalisée de Tor Browser est désormais disponible. Comme toujours, elle commence par récupérer les dernières moutures de ses composants essentiels, notamment la 38.6.0esr de Firefox, la 2.9.0.2 de NoScript ou encore la 1.9.4.3 de Torbutton. Dans la plupart des cas, il s’agit d’une longue liste de corrections de bugs, ce qui est toujours bon à prendre.
Quelques améliorations du côté de l'interface
Plusieurs nouveautés sont également à signaler sur la facilité d’utilisation, avec notamment l’apparition d’une traduction japonaise pour la première fois. En outre – et c’est un changement bienvenu - le navigateur affichera désormais les changements introduits juste après l’installation d’une nouvelle version, afin de mieux renseigner l’utilisateur. Outre une page « about:tor » remaniée, signalons également que l’adresse de la barre de recherche DuckDuckGo renvoie désormais vers le .onion correspondant.
Mais Tor Browser 5.5 introduit surtout deux améliorations importantes sur le plan de la sécurité. D’une part, une nouvelle protection contre les attaques par énumération des polices, pour participer à la défense contre le fingerprinting. Rappelons que ce dernier consiste à créer une empreinte numérique (par analogie avec l’empreinte digitale) pour chaque internaute, basé sur un grand nombre de critères récoltés par son navigateur. Une technique qui se révèle plus efficace que les cookies pour suivre l’utilisateur dans sa navigation.
Limiter encore le fingerprinting
D’autre part, une isolation des Shared Workers au premier domaine consulté. Pour bien comprendre la différence entre ce domaine et les tiers, il faut savoir que l’on parle bien du domaine que l’internaute a explicitement demandé. Si, pour une raison ou une autre, il y a glissement vers un autre domaine depuis le site initial, les Shared Workers ne fonctionnent alors plus.
Il s’agit d’un élément supplémentaire dans la liste de ce qui est bloqué dans pareil cas, avec les cookies et la plupart des requêtes AJAX notamment. Notez que le fingerprinting, en tant que tel, ne peut pas être complètement bloqué. Le fait cependant d'utiliser le réseau Tor permet en théorie d'exclure l'adresse IP des informations réunies pour composer l'empreinte.
Tor Browser 5.5 renforce ses défenses contre le fingerprinting
-
Quelques améliorations du côté de l'interface
-
Limiter encore le fingerprinting
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/01/2016 à 14h10
Une fois désactivé le Referer, l’user agent (est ce que tor le fait ?) les plugins, les fonts, les cookies tiers et les scripts de tracking il reste quoi ?
Le fonctionnement en shared workers est/sera disponible sur Firefox ?
Le 27/01/2016 à 16h39
Oui, il demande confirmation à l’utilisateur quand un site tente de
générer une image depuis le canvas. D’un coté, c’est différenciant par
rapport à la majorité des navigateurs, mais au moins tous les tor
browser ont la même empreinte.
Le 27/01/2016 à 17h50
Le 27/01/2016 à 18h21
Ah oui tiens, j’avais pas fait gaffe :
“Windows NT 6.3; Win64; x64; rv:44.0”
Il existe des extensions Firefox pour falsifier le User-Agent.
Pour la liste des polices, pas de mystères, il faut désactiver JavaScript
Le 28/01/2016 à 07h24
Je pensais surtout à poster un troll ^^
Le 28/01/2016 à 07h25
Si on peut même plus rigoler ..
" />
" />
Le 28/01/2016 à 09h23
J’utilise noscript mais ca devient difficile de se passer de JS, de cdn etc.
Le 28/01/2016 à 09h31
Oué, c’est de plus en plus chiant de se passer de JS
" />
Le 28/01/2016 à 16h22
Pour les polices, la méthode utilisée par Am I Unique est facilement contournable :
" />
Liste des polices 15.87%“Flash detected but not activated (click-to-play)”
Le 27/01/2016 à 14h39
Pour le User Agent, il en met un faux. (genre Firefox nn sous Windows 7 ou 8 de mémoire)
Le 27/01/2016 à 14h39
Eh bin, c’est la fête de l’oignon aujourd’hui
" />
Le 27/01/2016 à 14h55
les types de fichiers supportés; les compressions ; les langues…
ça fait pas une super empreinte mais c’est déjà pas mal.
Le 27/01/2016 à 14h56
Rien de tel que Tor Browser d’une machine virtuelle sur un VPN pour aller sur Google.
Le 27/01/2016 à 15h14
pour la compression ok. Mais les langues/fichiers supportés, ça ne se passe pas uniquement coté client ?
Le 27/01/2016 à 15h48
Pour se faire une idée de ce qui compose le fingerprint :https://amiunique.org/
Le 27/01/2016 à 15h50
Le 27/01/2016 à 15h55
Le 27/01/2016 à 16h00
quand tu te connectes à un site multilangue tu préfères que le serveur fournisse du contenu dans ta langue préférée pour cela le client indique un ensemble de langues par préférence décroissante.
cf “Content language” sur ami unique
Le 27/01/2016 à 16h02
Les champs accept, accept-encoding et accept-language dans toutes les requêtes http.
Sinon, y a des choses plus subtile et difficile à bloquer, genre canvas/webgl fingerprinting, c’est… cool?
En anglais:
https://lwn.net/Articles/606186/
http://cseweb.ucsd.edu/~hovav/dist/canvas.pdf
Le 27/01/2016 à 16h02
Le 27/01/2016 à 16h03
Le 27/01/2016 à 16h08
En plus précis, il y a le Panopticlick de l’EFF sinon
Le 27/01/2016 à 16h09
Il semble lister les modules d’IE… alors que j’utilise firefox.
Le 27/01/2016 à 16h11
Le 27/01/2016 à 16h30
le pire c’est quand même les canvas.
tor browser a un truc contre ça aussi?