Fuite WebRTC : comment elle expose votre véritable adresse IP
Votre VPN est activé. Le serveur de sortie indique que vous êtes à Zurich. Votre portefeuille semble anonyme. Pourtant, une simple fonctionnalité intégrée à votre navigateur révèle discrètement à un site web votre véritable adresse IP , celle associée à votre domicile et à votre nom. Cette fonctionnalité, c'est WebRTC, et la faille qu'elle crée est appelée une fuite WebRTC.
Pour la plupart des gens, c'est un simple désagrément lié à la protection de la vie privée. Pour les détenteurs de cryptomonnaies, c'est le premier maillon d'une chaîne qui permet à un inconnu de savoir à quel portefeuille appartient chaque propriétaire. Ce guide détaille le reste de cette chaîne : qu'est-ce qu'une fuite WebRTC, comment elle contourne un VPN, comment la détecter et comment la bloquer dans tous les navigateurs. Et pourquoi elle est d'autant plus grave dès que votre navigateur accède à un portefeuille.
Qu'est-ce qu'une fuite WebRTC et pourquoi se produit-elle ?
WebRTC signifie Web Real-Time Communication (communication web en temps réel). En clair, il s'agit de l'infrastructure qui permet aux navigateurs de passer des appels vidéo, de discuter vocalement et de transférer des fichiers sans aucun plugin. Ce service est intégré à tous les principaux navigateurs depuis environ 2011. Voici le point délicat : pour connecter deux personnes directement, chacune doit connaître l'adresse IP de l'autre. Ce n'est pas un bug, c'est le fonctionnement normal.
Le problème, c'est que n'importe quel site web peut déclencher cette faille. Une page ouvre une connexion WebRTC en arrière-plan et récupère les adresses IP fournies par votre navigateur. Aucune demande d'autorisation, aucune trace visible. Faites la même chose derrière un VPN : votre véritable adresse IP apparaîtra malgré tout, et vous aurez une fuite WebRTC. Rien de nouveau sous le soleil. Le développeur Daniel Roesler a publié une preuve de concept fonctionnelle en janvier 2015, en récupérant directement les adresses IP réelles des navigateurs des utilisateurs de VPN. Dix ans plus tard, le mécanisme a à peine évolué.
Ce qui rend cette faille particulièrement insidieuse, c'est sa discrétion. Aucune fenêtre contextuelle. Aucune demande d'autorisation. Rien dans la barre d'adresse. La requête n'apparaît jamais dans les journaux réseau qu'un utilisateur lambda consulterait, et les bloqueurs de publicités la laissent passer, car pour le navigateur, il s'agit d'une configuration WebRTC classique, et non d'un traqueur. Ainsi, même avec un VPN payant, un navigateur propre et un bloqueur de publicités activés simultanément, vous pouvez fournir votre véritable adresse IP à la première page qui la demande. Invisible et routinière : voilà précisément pourquoi cette fuite a perduré pendant dix ans.
Fonctionnement de la fuite : STUN, NAT et votre adresse IP
Pour comprendre pourquoi un VPN ne vous protège pas automatiquement contre une fuite WebRTC, il est utile de voir ce que le navigateur fait réellement en interne.
STUN et ICE, le mécanisme
La plupart des appareils sont situés derrière un routeur qui effectue la NAT (Network Address Translation), votre ordinateur ne connaît donc pas sa propre adresse IP publique. Pour la trouver, WebRTC utilise un serveur STUN. Le navigateur pose une question simple au serveur STUN : « De votre position, quelle adresse me voyez-vous provenir ? » Le serveur répond avec votre adresse IP publique. WebRTC collecte plusieurs de ces réponses, appelées candidats ICE, et les liste afin qu'un pair puisse choisir un itinéraire. Un site web espion se contente de lire cette liste. Et c'est tout.
Pourquoi est-ce important ? Parce que l’échange STUN s’effectue entièrement en JavaScript, exécutable par n’importe quelle page. Aucune boîte de dialogue n’apparaît, contrairement à ce qui se passe pour la caméra ou la géolocalisation. Le script ouvre une connexion directe. Il récupère les candidats ICE générés par le navigateur. Il lit les adresses de la liste. Le tout en une fraction de seconde, sans que le navigateur ne remarque la moindre anomalie. WebRTC a simplement rempli sa fonction.
IP publique versus IP locale
WebRTC peut transmettre deux adresses différentes, chacune fournissant des informations distinctes. Votre adresse IP publique indique votre localisation approximative et votre fournisseur d'accès à Internet. Votre adresse IP locale, par exemple 192.168.1.7, identifie uniquement le réseau interne de votre domicile ou de votre bureau. Aucune des deux ne devrait être accessible à un site web quelconque. En revanche, c'est l'adresse IP publique qui devrait vous préoccuper, car elle vous ramène au monde réel : une ville, un fournisseur d'accès, et finalement, votre domicile.
Pourquoi un VPN ne l'empêche pas
Un VPN redirige votre trafic habituel. Le problème, c'est qu'une requête STUN peut s'échapper de ce tunnel, atteindre directement le serveur STUN et revenir avec votre véritable adresse IP publique. Les navigateurs ont partiellement corrigé cette faille en 2019 et 2020, en remplaçant l'adresse IP locale par un nom d'hôte mDNS brouillé. Utile, certes, mais cela ne masque que l'adresse IP locale. L'adresse IP publique utilisée par STUN peut toujours être divulguée. Pire encore, le masquage est souvent levé dès qu'un site obtient l'autorisation d'utiliser le microphone ou la caméra. La fuite persiste donc précisément là où la plupart des gens se croient à l'abri.
Comment exécuter correctement un test de fuite WebRTC
La vérification prend environ une minute, et vous n'avez pas à vous fier à la parole de qui que ce soit.
Commencez par désactiver le VPN et notez l'adresse IP publique affichée par votre connexion. Activez ensuite le VPN et ouvrez une page de test de fuite WebRTC, par exemple browserleaks.com/webrtc ou ipleak.net. Comparez les résultats. Si le VPN fonctionne correctement et qu'aucune fuite d'adresse IP n'est détectée, vous ne devriez voir que l'adresse du VPN. Si le numéro noté à la première étape apparaît quelque part sur la page, vous avez trouvé la fuite. Pour une vue d'ensemble plus complète des informations exposées par votre navigateur, la même logique s'applique aux autres vérifications présentées dans notre guide BrowserLeaks.
Lors de la vérification des fuites WebRTC, plusieurs éléments peuvent induire en erreur. Vous pourriez voir une adresse IP locale ressemblant à une chaîne de caractères brouillée se terminant par .local. Pas de panique : il s'agit du masquage mDNS qui fonctionne, et non d'une fuite. Seule l'adresse publique est pertinente. Effectuez le test avec le navigateur et le profil utilisateur que vous utilisez habituellement pour les données sensibles. Les paramètres et extensions ne sont pas conservés d'un navigateur à l'autre. Relancez le test après chaque mise à jour de votre navigateur, car un correctif peut modifier ces paramètres sans que cela se produise.
Quels navigateurs divulguent votre adresse IP, et lesquels ne le font pas
Tous les navigateurs ne gèrent pas une fuite WebRTC de la même manière, et ces différences sont importantes en raison de la segmentation du marché.
| Navigateur | risque de fuite WebRTC | Protection intégrée |
|---|---|---|
| Chrome | Haut | Aucun natif ; nécessite une extension |
| Firefox | Moyen-élevé | Divulgue l'adresse IP publique par défaut, mais facile à désactiver |
| Courageux | Faible | Protection par empreinte digitale et WebRTC activée par défaut |
| Navigateur Tor | Aucun | Connexion RTCPeerConnection entièrement désactivée |
Chrome est au cœur du problème, de par son influence. Il détenait environ 70 % du marché mondial des navigateurs en mai 2026 et ne propose aucune option native pour empêcher WebRTC de divulguer votre adresse IP. Firefox, avec environ 2 % de parts de marché, divulgue également l'adresse IP publique par défaut, même s'il permet au moins de désactiver cette fonctionnalité dans un seul paramètre. Brave fait figure d'exception. Il a franchi la barre des 101 millions d'utilisateurs actifs mensuels en septembre 2025 et est le seul navigateur Chromium grand public à activer la protection WebRTC par défaut. Quant à Tor, il contourne complètement le problème en désactivant totalement la connexion entre pairs, ce qui explique précisément pourquoi les spécialistes de la protection de la vie privée le recommandent aux nouveaux utilisateurs.
Comment désactiver WebRTC et éviter les fuites
Deux solutions pour désactiver WebRTC : soit le désactiver complètement, soit le limiter à l’adresse que vous avez choisie. Le choix de la solution dépend de votre utilisation des appels vidéo dans votre navigateur. Voici la procédure pratique, navigateur par navigateur.
| Navigateur | Comment désactiver ou limiter | Effet |
|---|---|---|
| Firefox | about:config, définissez media.peerconnection.enabled sur false | Désactivation complète |
| Chrome | Installez WebRTC Network Limiter ou WebRTC Control | Limite l'exposition |
| Bord | edge://flags, activez « Anonymiser les adresses IP locales » | Partiel |
| Safari | Développement du menu, fonctionnalités expérimentales, limitation de WebRTC | Partiel |
Chrome et Edge
Chrome est un peu particulier. Il n'y a pas d'option pour désactiver WebRTC dans les menus ; il faut donc installer une extension pour bloquer le protocole. Google propose la sienne, WebRTC Network Limiter. Elle bloque les adresses à risque sans interrompre vos appels. Vous préférez une solution plus radicale ? WebRTC Control désactive le protocole en un clic. Microsoft Edge utilise le même moteur Chromium ; ces extensions fonctionnent donc aussi sur ce navigateur, mais il propose également une option pratique à l'adresse edge://flags qui anonymise votre adresse IP locale.
Firefox
Firefox simplifie la procédure. Tapez about:config dans la barre d'adresse, ignorez l'avertissement, recherchez media.peerconnection.enabled et désactivez-le. C'est tout. WebRTC est désactivé. Seul bémol : les appels vidéo et audio dans le navigateur sont indisponibles jusqu'à ce que vous le réactiviez.
Safari et Opéra
Safari privilégie une approche plus sécurisée par défaut, et vous pouvez renforcer la sécurité de WebRTC dans le menu Développement, sous Fonctionnalités expérimentales. Opera, basé sur Chromium, utilise les mêmes extensions que Chrome.
Utiliser un VPN, et le compromis
Il y a ensuite la solution VPN. Si vous utilisez un VPN doté d'une véritable protection contre les fuites, il achemine le trafic WebRTC via son propre tunnel, de sorte que le serveur STUN ne voit que l'adresse du VPN. C'est l'option la plus sûre, car vos appels restent fonctionnels, et un serveur proxy fiable peut également empêcher les fuites d'adresse IP. Le hic, c'est la confiance. Tous les VPN ne fonctionnent pas ainsi. Lors d'un test réalisé par VoidSec en 2018 auprès de 70 fournisseurs de VPN , 16 d'entre eux laissaient encore fuiter l'adresse IP réelle via WebRTC, soit environ 23 %. Les meilleurs fournisseurs ont corrigé le problème depuis, mais la leçon reste la même : testez, ne présumez de rien. Vous voulez une solution radicale ? Désactivez complètement WebRTC. Mais n'oubliez pas que cela perturbe tout ce qui en dépend.
Pourquoi une fuite de données WebRTC menace les détenteurs de cryptomonnaies
Pour un utilisateur de cryptomonnaies, une adresse IP exposée n'est pas un simple détail relatif à la confidentialité. Elle représente la frontière entre sa vie virtuelle et sa vie réelle. Et récemment, cette frontière est devenue dangereuse.
La chaîne d'attaque IP-portefeuille
Les adresses blockchain sont pseudonymes, mais pas anonymes. Chaque transaction que vous avez effectuée est visible publiquement. Seul un identifiant unique, une adresse IP, empêche de remonter jusqu'à vous. Des chercheurs ont prouvé la faisabilité de ce lien il y a plus de dix ans. Dans une étude de 2014 , Alexandre Biryukov et ses collègues ont utilisé quelques nœuds stratégiquement placés pour associer les pseudonymes Bitcoin aux adresses IP ayant diffusé leurs transactions. Une fuite de données WebRTC offre gratuitement cette même connexion à un attaquant. Ouvrez un explorateur de blocs ou une plateforme d'échange décentralisée (DEX) alors que votre véritable adresse IP est exposée, et une simple page web suffit pour relier le portefeuille que vous consultez à votre domicile et à votre fournisseur d'accès internet.
Le danger s'accroît, car la fuite n'a pas besoin de vous surprendre en pleine transaction. Il suffit qu'elle se produise une seule fois, sur n'importe quelle page exécutant un script malveillant, pendant que vous consultez votre solde ou naviguez sur une plateforme de vente. Et ensuite ? L'adresse IP est comparée aux enregistrements des fournisseurs d'accès Internet, aux profils des courtiers en données et à une ancienne fuite de données. Tôt ou tard, un nom est associé à l'identité de l'utilisateur. Le portefeuille était public depuis le début. La fuite n'a fait que révéler son identité.
De la levée de l'anonymat à un coup à la porte
C'était autrefois une préoccupation abstraite. Ce n'est plus le cas. Les attaques dites « à la clé », où les détenteurs de clés sont volés ou kidnappés pour s'emparer de leurs clés, ont augmenté d'environ 75 % en 2025, avec 72 incidents confirmés et au moins 41 millions de dollars dérobés, selon les données du secteur . Le mode opératoire reste quasiment inchangé : les attaquants associent des avoirs visibles sur la blockchain à une identité hors chaîne pour établir qu'une personne réelle est liée à une adresse réelle. Votre adresse IP est l'un des moyens les plus sûrs de prouver cette identité.
Inversez la perspective et mettez-vous à la place de l'attaquant. Il peut déjà voir quels portefeuilles contiennent de l'argent réel ; cette information est publique. Ce qui lui échappe, c'est le lien entre une adresse IP importante et la cible. Une adresse IP restreint la recherche de l'ensemble d'Internet à une ville, un fournisseur d'accès, souvent un simple quartier. Le reste n'est qu'une simple formalité. Pour un utilisateur lambda, une telle fuite passe inaperçue. Pour quelqu'un qui détient des sommes importantes sur la blockchain, c'est la frontière entre un pseudonyme et une cible désignée. C'est pourquoi les utilisateurs de cryptomonnaies devraient signaler une fuite WebRTC pour des raisons de sécurité, et non de confidentialité en ligne.
Votre adresse IP est une donnée personnelle
Il y a aussi un aspect juridique. En 2016, la Cour de justice de l'Union européenne a statué, dans l'affaire Breyer, que même une adresse IP dynamique est considérée comme une donnée personnelle, dès lors qu'il est raisonnable de pouvoir l'utiliser pour vous réidentifier. De ce fait, un site qui collecte discrètement votre adresse IP via WebRTC traite des données personnelles sans votre consentement. Cela ne résout pas le problème, certes, mais cela montre à quel point les autorités de régulation prennent au sérieux cette information que votre navigateur transmet gratuitement.
Colmatez la fuite avant qu'elle ne s'ouvre.
Une fuite WebRTC est silencieuse, elle ne demande aucune autorisation, et un VPN seul ne vous en protégera pas. Il est donc essentiel de renforcer votre sécurité. Choisissez un navigateur qui vous protège par défaut, ou désactivez WebRTC s'il ne le fait pas. Utilisez un VPN qui réussit un test de fuite pour masquer votre adresse IP. Refaites ce test après chaque mise à jour. Pour toute personne effectuant des transferts de fonds, l'objectif est clair et précis : empêcher tout lien entre votre portefeuille et votre adresse IP, car une fois établi, ce lien est irréversible. Alors, quand avez-vous vérifié pour la dernière fois les fuites de votre navigateur ?
