TOOLinux

Le journal du Libre

Anonymat compromis pour Tor

mercredi 21 septembre 2016

Il s’agit d’un problème au niveau de la vérification des certificats de sécurité. Un mauvais fonctionnement permet à quelqu’un de remplacer une extension par un code malveillant. Normalement, la technique de vérification utilisée est la méthode « certificate pinning » mais pour les sites de Mozilla il n’y a qu’une vérification statique. Il faudrait donc à l’attaquant un faux certificat du domaine Mozilla, ce qui n’est tout de même pas si simple.

Tor a déjà publié un correctif dans la version 6.0.5, les utilisateurs peuvent donc déjà mettre à jour leur système. Pour Firefox, la mise à jour est imminente.

Liens :

- L’annonce de la mise à jour de Tor
- Explication de la faille de sécurité