Passer au contenu

Une faille dans Tor et Firefox met en danger l’anonymat de l’utilisateur

En raison d’une mauvaise vérification des certificats de sécurité, un attaquant pourrait remplacer une extension de navigateur par un code malveillant. Tor a d’ores et déjà diffusé un correctif. Pour Firefox, il faut attendre le 20 septembre.

Les utilisateurs du navigateur Tor ont intérêt à mettre à jour leur logiciel le plus rapidement possible. Des chercheurs ont récemment découvert une faille critique qui permet de remplacer n’importe quelle extension par une extension malveillante. Or, Tor dispose par défaut d’au-moins une extension, à savoir NoScript. Il est évident qu’une telle attaque réduirait à néant l’anonymat tant recherché.

Cette faille – qui a été corrigée vendredi dernier avec la version 6.0.5 – résulte d’une mauvaise vérification des certificats de sécurité. Théoriquement, Tor utilise toujours la fonction dite de « certificate pinning » pour s’assurer que le certificat qu’on lui propose correspond bien au site en question. Mais il y a une exception : les sites de Mozilla. Pour ceux-là, le navigateur utilise une méthode de vérification dite « statique » qu’il est facile de contourner.

Pas facile à réaliser

Un attaquant qui dispose d’un faux certificat pour le domaine « addon.mozilla.org » peut ainsi intercepter les requêtes de mise à jour des extensions et insérer son propre code. Posséder un tel faux certificat n’est pas à la portée du premier venu, mais tout à fait possible pour des acteurs gouvernementaux. Or, ce sont justement ceux-là que les utilisateurs de Tor craignent énormément.

Cette faille existe également dans le navigateur Firefox, ce qui est normal car Tor repose sur ce logiciel open source. Elle a été comblée dans une version de test (Nightly Build), mais pas encore pour les versions stables. La fondation Mozilla a annoncé qu’une mise à jour sera diffusée demain, mardi 20 septembre.

Sources :
Ars  Technica
Note de blog de Ryan Duff
Note de blog de Tor

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN