Des chercheurs ont déniché une faille critique de sécurité, présente depuis 18 ans dans les principaux navigateurs web, qui permet à des pirates informatiques d'accéder aux réseaux privés et aux données sensibles.
Pendant des années, les navigateurs web ont été une cible de choix pour les pirates informatiques. Ils le sont toujours d'ailleurs, comme le montrent les 3 CVE de niveau « élevé » découvertes sur Google Chrome en mars 2024. Si, à chacune d'entre elles, quel que soit le navigateur, experts et développeurs mouillent leurs chemises pour boucher ces failles et renforcer la sécurité, certaines vulnérabilités ont la dent dure.
C'est le cas d'une faille critique, révélée récemment par des chercheurs en cybersécurité d'Oligo, qui affecte les trois principaux navigateurs : Chrome, Firefox et Safari. Et elle ne date pas d'hier, mais plutôt de… 18 ans.
Une porte dérobée propre à tous les navigateurs
Cette faille de sécurité, surnommée "0.0.0.0-day", est liée à la manière dont les navigateurs gèrent les requêtes adressées à l'adresse IP 0.0.0.0. En effet, les trois navigateurs acceptent ces requêtes et les redirigent vers d'autres adresses IP, notamment « localhost », un serveur souvent utilisé pour tester du code en développement. Les pirates peuvent alors exploiter cette faille pour accéder à des informations sensibles, comme du code de développement ou des messages internes.
« Le code du développeur et la messagerie interne sont de bons exemples d'informations auxquelles on peut accéder immédiatement », explique Avi Lumelsky, chercheur en sécurité de l'IA chez Oligo. « Mais, plus important encore, l'exploitation du 0.0.0.0-day peut permettre à l'attaquant d'accéder au réseau privé interne de la victime, ouvrant ainsi un large éventail de vecteurs d'attaque », ajoute-t-il.
Mais comment cette faille est-elle présente depuis 2006 sur les navigateurs web ?
Cette vulnérabilité n'est pas nouvelle. En effet, les chercheurs ont retracé son histoire jusqu'à 2006, date à laquelle un utilisateur de Firefox avait déjà signalé ce problème. Depuis, le bug a été ouvert, fermé, puis rouvert à plusieurs reprises, sans qu'une solution définitive soit trouvée.
« Pendant 18 ans, ce problème a été fermé, rouvert, reclassé en "grave" ou "critique", et même exploité dans la nature », souligne Gal Elbaz, cofondateur et directeur technique d'Oligo. « Les responsables ont eu du mal à se mettre d'accord sur la nature du bug. » Ceci expliquant probablement cela.
Malgré les efforts de Google pour développer le « Private Network Access » (PNA), une norme visant à sécuriser les communications entre les navigateurs et les réseaux privés, la faille 0.0.0.0-day a continué de persister.
C'est finalement Apple qui a pris les devants en annonçant un blocage des tentatives d'accès à 0.0.0.0 dans la prochaine version bêta de macOS, Sequoia, qui inclura le bien nommé Safari 18. Cette solution devrait bientôt être adoptée par les autres navigateurs. De son côté, Mozilla peine encore à trouver une solution définitive.
- Minimaliste et élégant
- Support des formats JPEG XL et HEIC
- gestion des profils efficace
- Très bonnes performances
- Simple et agréable à utiliser
- Un navigateur bien sécurisé
- 100 % développé en interne
- Fiable, efficace et stable
- Fonctionnalités d'optimisation de l'interface et de l'expérience utilisateur