Connexion
Abonnez-vous

Brave communiquait les domaines Tor visités aux DNS publics

Brave communiquait les domaines Tor visités aux DNS publics

Le 22 février 2021 à 09h38

La découverte, publiée sur Ramble, fait mal au navigateur dont toute la communication est centrée sur la protection de la vie privée.

Brave possède une fonction Tor intégrée, qui permet l’utilisation du réseau quand on veut surfer en laissant le moins de traces possibles. Mais cette intégration comportait une faille majeure : l’ensemble des domaines Tor visités étaient communiqués au résolveur DNS public de chaque utilisateur.

Le navigateur n’est pas censé le faire. À la place, il devrait envoyer les requêtes vers les domaines .onion aux nœuds du réseau Tor. Une étape oubliée qui amoindrit nettement l’efficacité de l’outil. En clair, le fournisseur d’accès était en mesure de connaitre ces domaines.

Brave avait eu en fait vent de ce problème le 13 janvier. Trois semaines plus tard, le correctif était en test dans le canal Nightly. La révélation publique des détails a forcé l’éditeur à le publier plus tôt que prévu dans la version stable, vendredi soir.

Les utilisateurs du mode de navigation privée avec Tor ont donc tout intérêt à mettre leur Brave à jour au plus vite.

Le 22 février 2021 à 09h38

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

« Une erreur, qu’on vous dit… »



Oui, oui, bien sûr… Ce qu’il y a de bien, c’est que c’est toujours une « erreur »… Bizarrement, elles ne se produisent toujours que dans un sens : contre les utilisateurs.



Bref, une raison supplémentaire (et la liste est déjà longue…) pour que je ne touche jamais à ce navigateur qui n’a, là encore, jamais mérité son nom !

votre avatar

Y a Tor Browser pourtant dédié à cela. Pas besoin d’un navigateur généraliste avec cette fonction.

votre avatar

(reply:1855714:Trit’)


Tu veux que Brave est peureux ?

votre avatar

(reply:1855714:Trit’)


Ecoute, rien que par esprit de contradiction et avec un large sourire, je vais te donner un contre-exemple.



Il y a cette nouvelle depuis janvier, qu’il est possible d’utiliser les favicons pour continuer de tracker les utilisateurs en dépit des protections des navigateurs.



Source, par ex. https://www.ghacks.net/2021/01/22/favicons-may-be-used-to-track-users/
L’idée, c’est que les favicons ne sont pas purgés entre les sessions, eux, et qu’un site web peut stocker pléthore de favicons dans pléthore de sous-domaines, constituant ainsi une “image” de chaque visiteur (par ex. le visiteur numéro 12651 a des favicons des sous-domaines numéros 1, 3, 4, 5, 11, 17, 30, 31 et 32).



Pour l’instant, seul Brave a déjà déployé une mesure bloquant la chose, et tous les autres navigateurs sont exposés à l’exploitation de cette faille.
Tous ? Non, tous sauf un, Firefox.



Mais parce que la gestion des favicons en sous-domaines a un bug dans Firefox en fait.
En principe, normalement, s’il n’y avait pas de bug, ça aurait marché :D



Donc, voilà, un bug qui protège la vie privée, un ! ^_____^

votre avatar

hahaha :yes:

votre avatar

Excellent 🤣🤣

votre avatar

Les utilisateurs du mode de navigation privée avec Tor ont donc tout intérêt à mettre leur Brave à jour au plus vite.



… ou bien utiliser TOR à travers un utilitaire complètement extérieur au navigateur.
Ce qui ne protège pas de tout, bien sur.

votre avatar

(reply:1855714:Trit’)


N’importe quoi.



Ça s’appelle pas une faille de sécurité pour rien, c’est bien qu’il a un risque pour l’utilisateur.



Par quelle magie une faille de sécurité pourrait-elle se faire au bénéfice de l’utilisateur ?

votre avatar

Sabinoo a dit:


Mais parce que la gestion des favicons en sous-domaines a un bug dans Firefox en fait. En principe, normalement, s’il n’y avait pas de bug, ça aurait marché :D



Donc, voilà, un bug qui protège la vie privée, un ! ^_____^


Hmmm, c’est vraiment un bug ?
J’ai cru comprendre que c’était volontaire justement…

votre avatar

Et paf. On peut lire sur Wiki que Brave est un projet open source… comme beaucoup. Mais personne ne relis ou teste le code. Ou même fais une VABF. Et puis… Pan!



Tout ces choses commencent à miner l’image de l’open source et du libre par extension.

Brave communiquait les domaines Tor visités aux DNS publics

Fermer