Standard permettant de communiquer les navigateurs entre eux, la technologie WebRTC peut être un vrai outil de communication fiable surtout pour les professionnels. Il reste cependant un léger souci, puisque la technologie peut entraîner une fuite de l’adresse IP. En effet, lorsque les utilisateurs se transmettent des données, l’un doit connaître l’adresse IP de l’autre. Le problème en soi réside lorsqu’un utilisateur veut agir sur internet incognito. Quelle est donc la solution ? Existe-t-il d’autres moyens pour renforcer la sécurité avec WebRTC ?
Désactiver la technologie WebRTC ?
Depuis le débat houleux sur la « faille » de sécurité de l’API en 2015, plusieurs développeurs se sont empressés de proposer la désactivation de WebRTC. Il suffit de voir les nombreux tutoriels publiés en ligne. On y trouve des articles sur « comment désactiver WebRTC sur Firefox, sur Chrome, sur Opera ou encore sur Yandex ». Si dans Firefox l’opération semble facile, il n’en est pas ainsi avec les autres navigateurs. La désactivation requiert l’installation d’une extension WebRTC Control (Yandex et Opera) ou d’un plugin WebRTC Leak Prevent (Chrome). Selon les constatations, ce type de protection n’est pas la meilleure option dans la mesure où le navigateur continuera de transmettre l’adresse IP dans certaines situations.
Les bonnes pratiques de codage
La technologie WebRTC laisse aux développeurs champ libre concernant la mise en place d’un processus de signalisation. Il est bon de noter que certains protocoles de signalisation comportent des risques, car ne comportant aucun cryptage, ce qui peut par exemple conduire à l’exposition des contenus d’une vidéo au public. Pour mieux protéger les données à travers un processus de signalisation, il vaut mieux s’assurer que les applications utilisent une couche de signalisation orchestrée par un protocole sécurité comme HTTPS, SIPS ou encore WSS.
Avec le WebRTC il est envisageable de permettre aux utilisateurs d’authentifier et de surveiller les autres pairs. Par exemple, comme le serveur de signalisation mémorise le nombre de pairs en communication, la présence d’un pair suspect (qui écoute en cachette les conversations) peut être vite détectée. Pour les demandes d’autorisation de dialogue, le développeur peut ajouter sur la page une demande explicite d’autorisation afin que l’utilisateur puisse effectuer ou non l’acceptation.
Tout ceci pour dire que tout est dans les détails. Avec la disponibilité et la gratuité de WebRTC, les développeurs peuvent user de leur potentialité pour rendre l’application plus fiable que jamais.