Depuis près de 20 ans, un pirate peut voler vos données en exploitant cette faille de sécurité dans Chrome, Firefox et Safari

Une faille de sécurité critique concernant les principaux navigateurs Internet les rend vulnérables aux cyberattaques. Elle a été découverte récemment malgré ses presque 20 ans d'existence.

Crédits : 123RF

Les navigateurs Internet ne sont pas immunisés contre les cyberattaques. Ils présentent des vulnérabilités comme tous les autres logiciels et c'est pourquoi des mises à jour régulières viennent les combler. Celle dont il est question ici est particulière dans le sens où on sait qu'elle existe depuis au moins 18 ans. Malgré cela, elle n'a toujours pas été corrigée. Découverte récemment par la startup Oligo, elle a été baptisée “0.0.0.0-day“, en référence aux fameuses failles “zero day”.

La suite de 0 fait référence à une adresse IP “générale”, qui est par exemple considérée comme toutes les adresses IPv4 d'une machine locale dans le cas d'un serveur. Le problème vient de la manière dont les navigateurs Web Chrome, Safari et Firefox gèrent les requêtes vers l'IP 0.0.0.0. En résumé : les pirates peuvent s'en servir pour accéder à des programmes exécutés localement et lancer des commandes à distance. Une porte ouverte qui ne concerne que macOS et Linux, Windows ayant bloqué l'adresse 0.0.0.0 il y a plusieurs années de cela.

Chrome, Safari et Firefox possèdent une faille de sécurité vieille de presque 20 ans

Que risque-t-on de se faire voler par un pirate au courant de la faille ? “Le code du développeur et la messagerie interne sont de bons exemples de certaines informations accessibles immédiatement. Mais plus important encore, l’exploitation de 0.0.0.0-day peut permettre à l’attaquant d’accéder au réseau privé interne de la victime, ouvrant ainsi la voie à un large éventail de vecteurs d’attaque“, explique Avi Lumelsky de chez Oligo. Il précise que “les attaquants peuvent mettre la main sur tout ce qui est présent sur cette machine : fichiers, messages, identifiants“.

Lire aussi – Google Chrome : toutes les extensions pourraient voler vos mots de passe, selon ces chercheurs

Si ce sont surtout les particuliers et entreprises utilisant des serveurs Web (de tests par exemple) qui sont les plus à risque, ce ne sont pas les seules cibles potentielles. Des logiciels largement utilisés peuvent reposer sur un fonctionnement en local et présentent un biais de taille. Avi Lumelsky le souligne : ces services supposent souvent à tort que l'environnement dans lequel sera implanté le serveur est contraint, c'est-à-dire limité dans ce à quoi il permet d'accéder. C'est rarement le cas et cela abouti à la mise en place de serveurs non sécurisés.

Comment se protéger de la faille “0.0.0.0-day” ?

Maintenant que l'on connaît son existence, la question est de savoir comment éviter l'exploitation de cette vulnérabilité. Soyons clairs : vous n'avez rien à faire à votre niveau. Il faut attendre que les navigateurs Web concernés se mettent à jour et comble la faille. Chez Apple, une prochaine bêta de macOS Sequoia s'en chargera et se répercutera sur la version précédente, macOS Sonoma. Pour les plus anciennes, on ne sait encore ce qu'il en sera.

Du côté de Google, l'accès à l'adresse 0.0.0.0 sera progressivement bloqué dans Chrome à partir de la version 128 (nous sommes à la 127 au moment de publier cet article). Le blocage total sera effectif à partir de Chrome 133.

Lire aussi – Cette faille rend votre PC très vulnérable en faisant remonter Windows dans le temps

Quant à Firefox, il va falloir patienter. Un porte-parole de Mozilla déclare que “Firefox n'a mis en œuvre aucune des restrictions proposées“, et ce dans la mesure où “imposer des restrictions plus strictes comporte un risque important d’introduire des problèmes de compatibilité“. La firme ne fera donc rien tant que “les discussions sur les normes et les travaux visant à comprendre ces risques de compatibilité sont en cours“.

Gal Elbaz, cofondateur d'Oligo, espère que ce statu quo ne durera pas longtemps. Pour lui, les risques liés à la faille 0.0.0.0-day sont bien réels et trop importants pour être ignorés. Son résumé fait en effet froid dans le dos : “En autorisant 0.0.0.0, vous autorisez essentiellement tout“.

Source : Forbes

Voir les commentaires
Ailleurs sur le web