LEBIGDATA.FR I.A, Cloud & Cybersécurité
À cause d'un bug, le mode Tor du navigateur web Brave a révélé les sites du Dark Web consultés par les utilisateurs. Cette faille de sécurité a été mise en lumière par un chercheur anonyme, et vient remettre en cause la confidentialité offerte par l'outil…
Le navigateur web Brave est réputé pour offrir anonymat et confidentialité aux utilisateurs. Beaucoup l'utilisent pour naviguer sur le web sans pouvoir être suivi, et notamment pour explorer le Dark Web via le mode Tor.
Ce mode permet d'utiliser le logiciel Tor directement depuis Brave. Ainsi, les utilisateurs peuvent visiter les sites web en » .onion « du Dark Web sans même avoir besoin d'installer Tor sur leurs machines.
Malheureusement, un chercheur anonyme révèle que le mode Tor de Brave a dévoilé les URL en .onion consultées par les utilisateurs à cause d'un bug. Ce problème technique a révélé les requêtes DNS envoyées aux sites web en question.
En testant le navigateur, le chercheur s'est aperçu que les requêtes pour les domaines en .onion effectuées depuis une » Private Window » étaient transmises au serveur DNS et étiquetées avec l'adresse IP de l'utilisateur.
Les requêtes Dark Web des utilisateurs de Brave ont été révélées à leurs fournisseurs internet
Comme le souligne l'expert, ce n'est pas censé arriver. Selon lui, » il n'y a aucune raison pour que Brave tente de contacter un domaine .onion de la même façon qu'il le ferait pour un site web classique « .
À cause de cette erreur, le fournisseur d'accès internet ou le fournisseur DNS de l'utilisateur est capable de savoir qu'une requête a été émise pour un site du Dark Web à partir de son adresse IP. Autant dire que la confidentialité de l'utilisateur est fortement compromise…
tl;dr
1. this was already reported on hackerone, was promptly fixed in nightly (so upgrade to nightly if you want the fix now)
2. since it's now public we're uplifting the fix to a stable hotfixroot cause is regression from cname-based adblocking which used a separate DNS query https://t.co/dLjeu4AXtP
— yan (@bcrypt) February 19, 2021
Le directeur de la sécurité de Brave, Yan Zhu, a admis sur Twitter être au courant de ce problème déjà mis en lumière sur HackerOne. Le souci proviendrait d'un bug du composant de blocage publicitaire de Brave, qui aurait déjà été corrigé depuis.
Quoi qu'il en soit, il s'agit d'un coup dur pour Brave, réputé pour protéger la vie privée de ses utilisateurs. Il est fort possible que de nombreuses personnes aient attiré l'attention de leurs fournisseurs d'accès internet à cause de ce problème technique temporaire…
- Partager l'article :
