Les systèmes informatiques enfilent les failles comme on enfile des perles. Les derniers en date concernent les navigateurs Tor et Firefox qui ont présenté des vulnérabilités importantes au point de ne plus garantir l'anonymat des internautes. Ces brèches ont depuis été comblées, mais les doutes et les craintes sont de plus en plus de mise.
La faille se situe cette fois au niveau des certificats de sécurité. Des chercheurs ont découvert que les navigateurs Tor et Firefox présentent une faille de sécurité importante. Elle concerne une vulnérabilité au niveau du contrôle des certificats de sécurité. Une mauvaise vérification de ces certificats de sécurité permet à des hackers de connaitre l'identité de l'internaute.
Anonymat non garanti sur Tor et Firefox - Utiliser un faux certificat
Pour cela, il leur suffira de remplacer une des extensions utilisées par le navigateur par un code malveillant. Comme Tor utilise le "certificate pinning " pour procéder à la vérification des certificats de sécurité, il est théoriquement impossible de contourner cette vérification. Mais comme les sites de Mozilla ne font pas partie de sites contrôlés par Tor, il serait ainsi facile de donner une fausse information à Tor. Pour cela, il suffit d'utiliser un faux certificat pour le domaine addon.mozilla.org et le hacker pourra insérer son propre code au niveau des requêtes de mise à jour des extensions du navigateur. De plus, Tor possède plusieurs extensions susceptibles de faire l'objet de cette attaque, notamment NoScript, il est clair que la modification de ce code par une extension malveillante permettrait de passer outre le principe d'anonymat lors de la navigation.
Les millions d'utilisateurs de Tor peuvent ainsi se faire des soucis car la solution ne permet plus de garantir leur anonymat. En effet, les adeptes de cette solution ont misé sur ses capacités à rendre anonyme toutes connexions TCP. Or, c'est exactement à ce niveau qu'il y a une brèche, où les hackers n'ont pas hésité à s'engouffrer. Bien que l'utilisation d'un faux certificat pour contourner la vérification de sécurité de Tor ne soit pas à la portée de tout le monde, cela reste dans le domaine du réalisable. Surtout pour des acteurs gouvernementaux qui se trouvent être la bête noire des utilisateurs de ce système. Pour rectifier le tir et en finir avec cette nouvelle faille, Tor vient de mettre en ligne un correctif. Il faudra procéder à une mise à jour pour bénéficier de cette protection et de rester anonyme.
Anonymat non garanti sur Tor et Firefox - Des failles de plus en plus fréquentes et dangereuses
Les découvertes de failles plus ou moins importantes ces derniers temps sont de plus en plus fréquentes. Aucun système n'est à l'abri de présenter des vulnérabilités. Il n'y a pas si longtemps, nous avons évoqué des failles au niveau du système Android. Le système d'Apple n'est pas non plus épargné par les attaques des hackers. Le plus inquiétant, c'est que les failles découvertes sont de plus en plus dangereuses et portent atteinte à l'identité et aux informations concernant les utilisateurs d'internet et/ou des terminaux tournant sous les plus célèbres systèmes. Les utilisateurs doivent ainsi rester vigilants et suivre de près les actualités concernant les appareils concernés et mettre à jour leur système le cas échéant.