Aujourd'hui, nombreux sont les internautes à avoir recours à un service de VPN. Le système est simple : il suffit se se connecter au service qui nous sert alors de relais en nous fournissant une adresse IP de l'origine de son choix, pour naviguer de façon anonyme.
Néanmoins, une faille de sécurité récemment partagée permettrait aux sites Web de découvrir l'adresse IP réelle des internautes, y compris ceux ayant recours à un VPN lorsqu'ils se connectent avec Firefox ou Chrome depuis un environnement Windows.
L'identification de l'utilisateur ne se fait pas automatiquement, il faut exploiter la faille pour accéder à cette dernière. La vulnérabilité se situe dans WebRTC implémenté dans Firefox et Chrome, un module qui permet au navigateur d'envoyer une requête vers un serveur STUN pour connaître son IP publique en vue de l'établissement d'une communication. Malheureusement, le serveur STUN est capable de renvoyer au navigateur à la fois l'adresse IP privée et l'adresse IP publique de l'utilisateur. Ces données sont ensuite récupérables par le site grâce à une simple instruction javascript.
Un correctif est en cours de développement pour être intégré dans Firefox et Chrome. En attendant, un add-on a été publié pour Chrome permettant de désactiver totalement WebRTC. Une fonction identique est également disponible sous Firefox, il faut alors aller dans le panneau about:config et basculer l'option "media.peerconnection.enable" en la mettant sur "false".
