La découverte, publiée sur Ramble, fait mal au navigateur dont toute la communication est centrée sur la protection de la vie privée.
Brave possède une fonction Tor intégrée, qui permet l’utilisation du réseau quand on veut surfer en laissant le moins de traces possibles. Mais cette intégration comportait une faille majeure : l’ensemble des domaines Tor visités étaient communiqués au résolveur DNS public de chaque utilisateur.
Le navigateur n’est pas censé le faire. À la place, il devrait envoyer les requêtes vers les domaines .onion aux nœuds du réseau Tor. Une étape oubliée qui amoindrit nettement l’efficacité de l’outil. En clair, le fournisseur d’accès était en mesure de connaitre ces domaines.
Brave avait eu en fait vent de ce problème le 13 janvier. Trois semaines plus tard, le correctif était en test dans le canal Nightly. La révélation publique des détails a forcé l’éditeur à le publier plus tôt que prévu dans la version stable, vendredi soir.
Les utilisateurs du mode de navigation privée avec Tor ont donc tout intérêt à mettre leur Brave à jour au plus vite.
