Depuis quelques jours, Daniel Roesler a découvert une faille de sécurité qui touche WebRTC et qui permet grâce à un peu d’astuce et de JavaScript, de récupérer l’adresse IP locale et publique de l’internaute. Si vous utilisez un proxy ou vous utilisez un VPN, il est donc possible d’obtenir votre adresse IP.

WebRTC est un ensemble d’API permettant de gérer des conversations audio/vidéo directement depuis un navigateur, sans plug-in à installer. Chrome et Firefox le prennent nativement en charge. En exploitant l’implémentation du protocole WebRTC sous Windows (les autres systèmes d’exploitation ne seraient pas touchés), il est possible de découvrir l’adresse IP réelle de l’internaute qui se cache derrière un proxy ou un VPN.

Pour tester cette faille, il suffit de suivre les étapes ci-dessous:

  • Rendez vous sur WhatIsMyIp et notez votre adresse IP publique
  • Activer votre proxy ou VPN et rendez vous à cette page web qui exploite la faiblesse WebRTC.
  • Si votre adresse IP est identique à celle retournée sur la page qui exploite le bug WebRTC, cela veut dire je peux aussi l’enregistrer de mon côté pour vous identifier

Pour se protéger de cette faille et en attendant un correctif dans Firefox et Chrome, une extension été mis en ligne pour Chrome, qui permet de désactiver WebRTC et de l’activer qu’en cas de besoin.

Sous Firefox, vous pouvez aussi installer cette extension qui désactive WebRTC ou se rendre dans le panneau about:config, et inverser l’option media.peerconnection.enabled, pour la mettre sur “false” :

anonyme-faille-vpn-proxy