Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Faille WebRTC ?

pingouinux

Bonjour,

On m'a transmis ce lien vers un message de Korben qui date du 20-02-2015 : https://korben.info/proteger-faille-webrtc.html

N'en ayant pas vu référence sur le Forum, je fais suivre cette information.

metalux

Bonjour,
Cette faille ne concerne pas Gnu/Linux à priori mais Windows.

lynn

metalux a écrit Cette faille ne concerne pas Gnu/Linux à priori mais Windows.

Ca concerne GNU/Linux également puisque après avoir fait le test (Ubuntu 14.10), j'ai vu mon ip locale ainsi que deux adresses ip s'afficher; Celle de mon vpn et celle de mon fai. C'est réellement une faille qui ne concerne pas que W$ ou Mac.

A suivre.

metalux

@lynn
C'est bien pour ça que j'ai mis "à priori" car je n'en avais pas la certitude.
Pour ma part, je ne l'ai constaté sur aucune machine sous Gnu/Linux et je n'ai trouvé aucun témoignage de cette faille avec cet O.S. Tu es le 1er que j'entends dire qu'il est concerné par cette faille avec Ubuntu.
Pour info, de quel VPN s'agit-il, quel navigateur et quel protocole (openVPN,pptp...)?

89paladins

@ Metalux :

En allant avec Firefox sur le site prouvant la faille webRTC, ça t'affiche ton IP locale (genre 192.168.X.X), sauf si tu as pris soin dans about:config de mettre à false la variable media.peerconnection.enabled..
Dans mon cas, c'est Firefox 35, Ubuntu 14.04.

lynn

metalux a écrit Pour info, de quel VPN s'agit-il, quel navigateur et quel protocole (openVPN,pptp...)?

J'utilise vpntunnel et ça le fait sous chromium et firefox et le protocole est openvpn 2.3.2.

Edit : Je viens de tester avec Opera: Même verdict.

pingouinux

Chez moi, mêmes symptômes que 89paladins #6 : Firefox 35.0.1, Ubuntu 14.04.2 LTS

metalux

Egalement la même chose que pingouinux et 89paladins.
Firefox 35.0.1, Ubuntu 12.04 ainsi que Xubuntu 14.04.
En effet, ça affiche bien l'Ip locale mais je ne vois pas ce qu'on peut en faire. Peut-être avez-vous des explications qui me permettraient de considérer cela comme une faille.
L'Ip publique quant à elle est bien celle du VPN et la faille se situe là à mon avis, lorsque l'Ip retournée est celle attribuée par son Fai.
Ce qui est étonnant, c'est que lynn est affecté par cette faille avec Ubuntu.

lynn

Je viens de tester sur une installation de vivid vervet et il n'y a pas de problème. Ca donne les même résultats que vous: l'ip locale + ip du vpn

Je ne comprends pas pourquoi, en plus de l'ip locale, j'ai les deux adresses ( F.A.I et V.P.N ) qui s'affichent avec Ubuntu 14.10..?

lynn

J'ai trouvé pourquoi j'ai les deux ip qui apparaissent. C'est à cause des règles que j'ai ajouté pour pouvoir me connecter depuis l'extérieur à mon pc fixe qui est derrière un vpn.

# ref: http://forum.ubuntu-fr.org/viewtopic.php?id=1523581

#!/bin/bash

ip route add default via 192.168.0.254 dev eth0 table connection
ip route add 192.168.0.0/24 dev eth0 src 192.168.0.38 table connection
ip rule add from 192.168.0.38 table connection

Si je les enlève, c'est bon. Il n'y a que mon ip locale et celle de mon vpn qui s'affichent par contre je ne peux plus accéder à mon pc quand je suis à l'extérieur... 😐

[supprimé]

ce n'est pas une faille et cela ne concerne pas spécialement webrtc, mais tous les sites qui obligent à activer javascript, on sait tous que java-script d'un navigateur peut faire beaucoup de choses, cela confirme simplement qu'il faut le désactiver par défaut et l'autoriser que si nécessaire en connaissance de cause...

(après pour webrtc, il a besoin de connaître les adresses IP respectives de chaque utilisateur afin de connecter leur web-socket, le script est donc indispensable pour le bon fonctionnement, pour ne pas dévoiler son adresse, il faut alors héberger son propre serveur webrtc, pas d'autres alternatives..)

Adblock + ne le voit même pas, quand à NoScript , pas de problème il fait bien son boulot.. d'ou son utilité..

le script en question qui renvoit l'ip publique:



10:11:14.157

Script : https://diafygi.github.io/webrtc-ips/
Ligne : 22


Nombre d'appels : 1

Temps moyen d'exécution (ms) : 154


            //get the IP addresses associated with an account
            function getIPs(callback){
                var ip_dups = {};

                //compatibility for firefox and chrome
                var RTCPeerConnection = window.RTCPeerConnection
                    || window.mozRTCPeerConnection
                    || window.webkitRTCPeerConnection;

                //bypass naive webrtc blocking
                if (!RTCPeerConnection) {
                    var iframe = document.createElement('iframe');
                    //invalidate content script
                    iframe.sandbox = 'allow-same-origin';
                    iframe.style.display = 'none';
                    document.body.appendChild(iframe);
                    var win = iframe.contentWindow;
                    window.RTCPeerConnection = win.RTCPeerConnection;
                    window.mozRTCPeerConnection = win.mozRTCPeerConnection;
                    window.webkitRTCPeerConnection = win.webkitRTCPeerConnection;
                    RTCPeerConnection = window.RTCPeerConnection
                        || window.mozRTCPeerConnection
                        || window.webkitRTCPeerConnection;
                }

                //minimal requirements for data connection
                var mediaConstraints = {
                    optional: [{RtpDataChannels: true}]
                };

                //firefox already has a default stun server in about:config
                //    media.peerconnection.default_iceservers =
                //    [{"url": "stun:stun.services.mozilla.com"}]
                var servers = undefined;

                //add same stun server for chrome
                if(window.webkitRTCPeerConnection)
                    servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};

                //construct a new RTCPeerConnection
                var pc = new RTCPeerConnection(servers, mediaConstraints);

                //listen for candidate events
                pc.onicecandidate = function(ice){

                    //skip non-candidate events
                    if(ice.candidate){

                        //match just the IP address
                        var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
                        var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];

                        //remove duplicates
                        if(ip_dups[ip_addr] === undefined)
                            callback(ip_addr);

                        ip_dups[ip_addr] = true;
                    }
                };

                //create a bogus data channel
                pc.createDataChannel("");

                //create an offer sdp
                pc.createOffer(function(result){

                    //trigger the stun server request
                    pc.setLocalDescription(result, function(){}, function(){});

                }, function(){});
            }

            //insert IP addresses into the page
            getIPs(function(ip){
                var li = document.createElement("li");
                li.textContent = ip;

                //local IPs
                if (ip.match(/^(192\.168\.|169\.254\.|10\.|172\.(1[6-9]|2\d|3[01]))/))
                    document.getElementsByTagName("ul")[0].appendChild(li);

                //assume the rest are public IPs
                else
                    document.getElementsByTagName("ul")[1].appendChild(li);
            });
        

10:11:14.157

Script : https://diafygi.github.io/webrtc-ips/
Ligne : 24


Nombre d'appels : 1

Temps moyen d'exécution (ms) : 154

function getIPs(callback){
                var ip_dups = {};

                //compatibility for firefox and chrome
                var RTCPeerConnection = window.RTCPeerConnection
                    || window.mozRTCPeerConnection
                    || window.webkitRTCPeerConnection;

                //bypass naive webrtc blocking
                if (!RTCPeerConnection) {
                    var iframe = document.createElement('iframe');
                    //invalidate content script
                    iframe.sandbox = 'allow-same-origin';
                    iframe.style.display = 'none';
                    document.body.appendChild(iframe);
                    var win = iframe.contentWindow;
                    window.RTCPeerConnection = win.RTCPeerConnection;
                    window.mozRTCPeerConnection = win.mozRTCPeerConnection;
                    window.webkitRTCPeerConnection = win.webkitRTCPeerConnection;
                    RTCPeerConnection = window.RTCPeerConnection
                        || window.mozRTCPeerConnection
                        || window.webkitRTCPeerConnection;
                }

                //minimal requirements for data connection
                var mediaConstraints = {
                    optional: [{RtpDataChannels: true}]
                };

                //firefox already has a default stun server in about:config
                //    media.peerconnection.default_iceservers =
                //    [{"url": "stun:stun.services.mozilla.com"}]
                var servers = undefined;

                //add same stun server for chrome
                if(window.webkitRTCPeerConnection)
                    servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};

                //construct a new RTCPeerConnection
                var pc = new RTCPeerConnection(servers, mediaConstraints);

                //listen for candidate events
                pc.onicecandidate = function(ice){

                    //skip non-candidate events
                    if(ice.candidate){

                        //match just the IP address
                        var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
                        var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];

                        //remove duplicates
                        if(ip_dups[ip_addr] === undefined)
                            callback(ip_addr);

                        ip_dups[ip_addr] = true;
                    }
                };

                //create a bogus data channel
                pc.createDataChannel("");

                //create an offer sdp
                pc.createOffer(function(result){

                    //trigger the stun server request
                    pc.setLocalDescription(result, function(){}, function(){});

                }, function(){});
            }

10:11:14.484

Script : https://diafygi.github.io/webrtc-ips/
Ligne : 87


Nombre d'appels : 1

Temps moyen d'exécution (ms) : 0

function (result){

                    //trigger the stun server request
                    pc.setLocalDescription(result, function(){}, function(){});

                }

10:11:14.487

Script : https://diafygi.github.io/webrtc-ips/
Ligne : 90


Nombre d'appels : 1

Temps moyen d'exécution (ms) : 0

function (){}

10:11:20.151

Script : https://diafygi.github.io/webrtc-ips/
Ligne : 66


Nombre d'appels : 1

Temps moyen d'exécution (ms) : 1

function (ice){

                    //skip non-candidate events
                    if(ice.candidate){

                        //match just the IP address
                        var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
                        var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];

                        //remove duplicates
                        if(ip_dups[ip_addr] === undefined)
                            callback(ip_addr);

                        ip_dups[ip_addr] = true;
                    }
                }

Kreuzi

Faille WebRTC?... bloquer UDP en sortie dans le navigateur avec UFW, seule l'IP locale apparait dans le test à Korben, ça marche avec Windows, ça doit être pareil pour Linux.

UDP ne sert à rien pour surfer ( à part parfois pour le port 53 DNS ), et ça peut demander un payload.

voxdemonix

Intéressant, ça ne fonctionne pas sur Tor Bundle même en activant javascript (étonnant vu que le site d'arte lui arrive a détecter et bloquer les gens non résident français (chaîne raciste))

Kreuzi

Sous Ubuntu, dans GUFW vous faites une règle " bloquer en sortie UDP sur le port 3478 (STUN) ", seule l'IP locale apparait dans le test Korben.