Brave : le navigateur laissait le trafic Tor visible au fournisseurs DNS

Spread the love
  • Yum

Brave : le navigateur laissait le trafic Tor visible au fournisseurs DNS

Le mode Tor inclus dans le navigateur web de Brave permettait aux utilisateurs d’accéder à des domaines en .onion dans des fenêtres de navigation privées de Brave sans avoir à installer Tor.

Ajouté en juin 2018, le mode Tor de Brave a permis au fil des ans d’accroître la confidentialité des utilisateurs de Brave lorsqu’ils naviguent sur le web, leur permettant d’accéder aux versions .onion de sites web légitimes comme Facebook, Wikipedia, et les principaux portails d’information.

publicité

Mais dans une article de recherche mis en ligne cette semaine, un chercheur anonyme en sécurité a déclaré avoir découvert que le mode Tor de Brave envoyait des requêtes pour des domaines .onion à des résolveurs DNS publics plutôt qu’à des nœuds Tor.

Bien que les conclusions du chercheur aient été initialement contestées, plusieurs chercheurs en sécurité ont reproduit ses conclusions, notamment James Kettle, directeur de recherche chez PortSwigger Web Security, et Will Dormann, analyste de vulnérabilités pour l’équipe CERT/CC.

En outre, le problème a également été reproduit et confirmé par une troisième source, qui a également alerté ZDNet la semaine dernière.

Les risques de cette fuite DNS sont majeurs, car toute fuite créera des empreintes dans les journaux des serveurs DNS pour le trafic Tor des utilisateurs du navigateur Brave.

Bien que cela ne soit pas un problème dans certains pays démocratiques, utiliser Brave pour naviguer sur des sites Tor depuis des régimes oppressifs pourrait devenir un problème pour des utilisateurs.

Brave Software, la société à l’origine du navigateur Brave, n’a pas répondu à une demande de commentaires envoyée avant la publication de cet article.

Au cours des trois dernières années, la société a travaillé à la création d’un des navigateurs web les plus respectueux de la vie privée sur le marché actuel.

Compte tenu de son histoire et de son engagement en faveur de la protection de la vie privée des utilisateurs, le problème découvert cette semaine semble être un bug, que la société s’empressera très probablement de résoudre.

Peu de temps après la mise en ligne de cet article, l’équipe de Brave a annoncé sur Twitter la publication d’un correctif. Le correctif était en fait déjà en ligne dans la version Nightly de Brave suite à un rapport il y a plus de deux semaines, mais après le rapport public de cette semaine, il sera poussé vers la version stable pour la prochaine mise à jour du navigateur de Brave. La source du bug a été identifiée comme étant le composant interne du bloqueur de publicité de Brave, qui utilisait des requêtes DNS pour découvrir les sites tentant de contourner ses capacités de blocage de la publicité, mais avait oublié d’exclure les domaines .onion de ces vérifications

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: