Tor Browser est désormais disponible en version 5.5. Elle reprend évidemment les améliorations venues des dernières mises à jour de ses composants, mais elle importe surtout plusieurs nouvelles protections, dont une contre le fingerprinting.
Comme nous l’indiquions ce matin dans notre actualité sur Tails 2.0, la version 5.5 finalisée de Tor Browser est désormais disponible. Comme toujours, elle commence par récupérer les dernières moutures de ses composants essentiels, notamment la 38.6.0esr de Firefox, la 2.9.0.2 de NoScript ou encore la 1.9.4.3 de Torbutton. Dans la plupart des cas, il s’agit d’une longue liste de corrections de bugs, ce qui est toujours bon à prendre.
Quelques améliorations du côté de l'interface
Plusieurs nouveautés sont également à signaler sur la facilité d’utilisation, avec notamment l’apparition d’une traduction japonaise pour la première fois. En outre – et c’est un changement bienvenu - le navigateur affichera désormais les changements introduits juste après l’installation d’une nouvelle version, afin de mieux renseigner l’utilisateur. Outre une page « about:tor » remaniée, signalons également que l’adresse de la barre de recherche DuckDuckGo renvoie désormais vers le .onion correspondant.
Mais Tor Browser 5.5 introduit surtout deux améliorations importantes sur le plan de la sécurité. D’une part, une nouvelle protection contre les attaques par énumération des polices, pour participer à la défense contre le fingerprinting. Rappelons que ce dernier consiste à créer une empreinte numérique (par analogie avec l’empreinte digitale) pour chaque internaute, basé sur un grand nombre de critères récoltés par son navigateur. Une technique qui se révèle plus efficace que les cookies pour suivre l’utilisateur dans sa navigation.
Limiter encore le fingerprinting
D’autre part, une isolation des Shared Workers au premier domaine consulté. Pour bien comprendre la différence entre ce domaine et les tiers, il faut savoir que l’on parle bien du domaine que l’internaute a explicitement demandé. Si, pour une raison ou une autre, il y a glissement vers un autre domaine depuis le site initial, les Shared Workers ne fonctionnent alors plus.
Il s’agit d’un élément supplémentaire dans la liste de ce qui est bloqué dans pareil cas, avec les cookies et la plupart des requêtes AJAX notamment. Notez que le fingerprinting, en tant que tel, ne peut pas être complètement bloqué. Le fait cependant d'utiliser le réseau Tor permet en théorie d'exclure l'adresse IP des informations réunies pour composer l'empreinte.
Commentaires (25)
#1
Une fois désactivé le Referer, l’user agent (est ce que tor le fait ?) les plugins, les fonts, les cookies tiers et les scripts de tracking il reste quoi ?
Le fonctionnement en shared workers est/sera disponible sur Firefox ?
#2
Pour le User Agent, il en met un faux. (genre Firefox nn sous Windows 7 ou 8 de mémoire)
#3
Eh bin, c’est la fête de l’oignon aujourd’hui
" />
#4
les types de fichiers supportés; les compressions ; les langues…
ça fait pas une super empreinte mais c’est déjà pas mal.
#5
Rien de tel que Tor Browser d’une machine virtuelle sur un VPN pour aller sur Google.
#6
pour la compression ok. Mais les langues/fichiers supportés, ça ne se passe pas uniquement coté client ?
#7
Pour se faire une idée de ce qui compose le fingerprint :https://amiunique.org/
#8
#9
#10
quand tu te connectes à un site multilangue tu préfères que le serveur fournisse du contenu dans ta langue préférée pour cela le client indique un ensemble de langues par préférence décroissante.
cf “Content language” sur ami unique
#11
Les champs accept, accept-encoding et accept-language dans toutes les requêtes http.
Sinon, y a des choses plus subtile et difficile à bloquer, genre canvas/webgl fingerprinting, c’est… cool?
En anglais:
https://lwn.net/Articles/606186/
http://cseweb.ucsd.edu/~hovav/dist/canvas.pdf
#12
#13
#14
En plus précis, il y a le Panopticlick de l’EFF sinon
#15
Il semble lister les modules d’IE… alors que j’utilise firefox.
#16
#17
le pire c’est quand même les canvas.
tor browser a un truc contre ça aussi?
#18
Oui, il demande confirmation à l’utilisateur quand un site tente de
générer une image depuis le canvas. D’un coté, c’est différenciant par
rapport à la majorité des navigateurs, mais au moins tous les tor
browser ont la même empreinte.
#19
#20
Ah oui tiens, j’avais pas fait gaffe :
“Windows NT 6.3; Win64; x64; rv:44.0”
Il existe des extensions Firefox pour falsifier le User-Agent.
Pour la liste des polices, pas de mystères, il faut désactiver JavaScript
#21
Je pensais surtout à poster un troll ^^
#22
Si on peut même plus rigoler ..
" />
" />
#23
J’utilise noscript mais ca devient difficile de se passer de JS, de cdn etc.
#24
Oué, c’est de plus en plus chiant de se passer de JS
" />
#25
Pour les polices, la méthode utilisée par Am I Unique est facilement contournable :
" />
Liste des polices 15.87%“Flash detected but not activated (click-to-play)”