Depuis quelques jours, Daniel Roesler a découvert une faille de sécurité qui touche WebRTC et qui permet grâce à un peu d’astuce et de JavaScript, de récupérer l’adresse IP locale et publique de l’internaute. Si vous utilisez un proxy ou vous utilisez un VPN, il est donc possible d’obtenir votre adresse IP.


WebRTC est un ensemble d’API permettant de gérer des conversations audio/vidéo directement depuis un navigateur, sans plug-in à installer. Chrome et Firefox le prennent nativement en charge. En exploitant l’implémentation du protocole WebRTC sous Windows (les autres systèmes d’exploitation ne seraient pas touchés), il est possible de découvrir l’adresse IP réelle de l’internaute qui se cache derrière un proxy ou un VPN.

Pour tester cette faille, il suffit de suivre les étapes ci-dessous:

  • Rendez vous sur WhatIsMyIp et notez votre adresse IP publique
  • Activer votre proxy ou VPN et rendez vous à cette page web qui exploite la faiblesse WebRTC.
  • Si votre adresse IP est identique à celle retournée sur la page qui exploite le bug WebRTC, cela veut dire je peux aussi l’enregistrer de mon côté pour vous identifier

Pour se protéger de cette faille et en attendant un correctif dans Firefox et Chrome, une extension été mis en ligne pour Chrome, qui permet de désactiver WebRTC et de l’activer qu’en cas de besoin.

Sous Firefox, vous pouvez aussi installer cette extension qui désactive WebRTC ou se rendre dans le panneau about:config, et inverser l’option media.peerconnection.enabled, pour la mettre sur « false » :

anonyme-faille-vpn-proxy

4 Commentaires

  1. blahad

    Bonjour, et merci pour cette information mais même après l’installation de l’extension google chrome et l’activation de Proxy le site affiche toujours mon @IP public et ce n’est pas normal de pense.

  2. Sergi

    Contrairement à un proxy, qui ne sécurise que votre client torrent ou votre navigateur Web, un VPN (Virtual Private Network)
    est un tunnel crypté qui protège l’ensemble de votre accès internet à
    100%, le remplacement de votre fournisseur d’accès local de routage pour
    toutes les applications.

  3. Nif

    Bonjour est-il possible d’utiliser cette fonction avec une autre adresse IP que celle de notre ordinateur : je voudrais localiser quelqu’un qui a fait une tentative de phishing sur un de mes amis, or son IP publique passe par un proxy, je n’ai malheureusement pas les compétences en javascript pour adapter le code à cette IP précise. Merci beaucoup, de votre aide.