Vulnérabilité Firefox permettant le suivi via Tor découverte
Original : We found a stable Firefox identifier linking all your private Tor identities
Pourquoi c'est important
Défaite majeure des garanties d'isolation des navigateurs axés sur la confidentialité
Une faille dans l'API IndexedDB de Firefox permet aux sites web de créer un identifiant stable liant toutes les identités privées Tor. Mozilla a publié un correctif dans Firefox 150 et ESR 140.10.0.
Des chercheurs ont découvert une vulnérabilité de confidentialité affectant tous les navigateurs basés sur Firefox. Le problème permet aux sites web de dériver un identifiant unique et stable à partir de l'ordre des entrées retournées par IndexedDB, même dans des contextes où les utilisateurs s'attendent à une isolation renforcée. L'identifiant persiste dans le mode de navigation privée de Firefox et même après la fonction "Nouvelle Identité" de Tor Browser, conçue pour être une réinitialisation complète. Mozilla a rapidement publié le correctif dans Firefox 150 et ESR 140.10.0, référencé sous Mozilla Bug 2024220. La solution canonicalise les résultats avant de les retourner, supprimant l'entropie qui permettait ce suivi cross-site.