Tor Browser est désormais disponible en version 5.5. Elle reprend évidemment les améliorations venues des dernières mises à jour de ses composants, mais elle importe surtout plusieurs nouvelles protections, dont une contre le fingerprinting.
Comme nous l’indiquions ce matin dans notre actualité sur Tails 2.0, la version 5.5 finalisée de Tor Browser est désormais disponible. Comme toujours, elle commence par récupérer les dernières moutures de ses composants essentiels, notamment la 38.6.0esr de Firefox, la 2.9.0.2 de NoScript ou encore la 1.9.4.3 de Torbutton. Dans la plupart des cas, il s’agit d’une longue liste de corrections de bugs, ce qui est toujours bon à prendre.
Quelques améliorations du côté de l'interface
Plusieurs nouveautés sont également à signaler sur la facilité d’utilisation, avec notamment l’apparition d’une traduction japonaise pour la première fois. En outre – et c’est un changement bienvenu - le navigateur affichera désormais les changements introduits juste après l’installation d’une nouvelle version, afin de mieux renseigner l’utilisateur. Outre une page « about:tor » remaniée, signalons également que l’adresse de la barre de recherche DuckDuckGo renvoie désormais vers le .onion correspondant.
Mais Tor Browser 5.5 introduit surtout deux améliorations importantes sur le plan de la sécurité. D’une part, une nouvelle protection contre les attaques par énumération des polices, pour participer à la défense contre le fingerprinting. Rappelons que ce dernier consiste à créer une empreinte numérique (par analogie avec l’empreinte digitale) pour chaque internaute, basé sur un grand nombre de critères récoltés par son navigateur. Une technique qui se révèle plus efficace que les cookies pour suivre l’utilisateur dans sa navigation.
Limiter encore le fingerprinting
D’autre part, une isolation des Shared Workers au premier domaine consulté. Pour bien comprendre la différence entre ce domaine et les tiers, il faut savoir que l’on parle bien du domaine que l’internaute a explicitement demandé. Si, pour une raison ou une autre, il y a glissement vers un autre domaine depuis le site initial, les Shared Workers ne fonctionnent alors plus.
Il s’agit d’un élément supplémentaire dans la liste de ce qui est bloqué dans pareil cas, avec les cookies et la plupart des requêtes AJAX notamment. Notez que le fingerprinting, en tant que tel, ne peut pas être complètement bloqué. Le fait cependant d'utiliser le réseau Tor permet en théorie d'exclure l'adresse IP des informations réunies pour composer l'empreinte.
