Une faille de sécurité critique dans les principaux navigateurs Internet, qui les rend vulnérables aux cyberattaques, a récemment été découverte malgré son existence depuis près de 20 ans.
LE Navigateurs Internet ne sont pas à l’abri de la cyberattaques. Ils ont des vulnérabilités comme tous les autres logiciels et c’est pourquoi des mises à jour régulières viennent les combler. Celui en question ici est particulier dans le sens où nous savons queil existe depuis au moins 18 ans. Malgré cela, ça n’a toujours pas été corrigé. Récemment découvert par la startup Oligo, il a été nommé «0.0.0.0-jour“, en référence aux fameuses failles « zero day ».
La séquence de 0 fait référence à un adresse IP « générale »qui est par exemple considéré comme toutes les adresses IPv4 d’une machine locale dans le cas d’un serveur. Le problème vient de la façon dont les navigateurs Web Chrome, Safari et Firefox gérer les requêtes vers l’IP 0.0.0.0. En bref : les pirates peuvent les utiliser pour accéder aux programmes exécutés localement et lancer des commandes à distance. Une porte ouverte qui ne concerne que macOS et Linux, Fenêtres ayant bloqué l’adresse 0.0.0.0 il y a plusieurs années.
Chrome, Safari et Firefox ont une faille de sécurité vieille de près de 20 ans
Que risque d’être volé par un pirate informatique connaissant la vulnérabilité ?Le code du développeur et la messagerie interne sont de bons exemples d’informations immédiatement accessibles. Mais plus important encore, l’exploitation de 0.0.0.0-day peut permettre à l’attaquant deaccéder au réseau privé interne de la victimeouvrant ainsi la voie à une large gamme de vecteurs d’attaque“, explique Avi Lumelsky d’Oligo. Il précise que “les attaquants peuvent mettre la main sur tout ce qui se trouve sur cette machine : fichiers, messages, identifiants« .
A lire aussi – Google Chrome : toutes les extensions pourraient voler vos mots de passe, selon ces chercheurs
S’il s’agit principalement de la particuliers et entreprises utilisant des serveurs Web (par exemple, les tests) qui sont les plus à risque, ne sont pas les seules cibles potentielles. Les logiciels largement utilisés peuvent s’appuyer sur un fonctionnement local et présenter un biais important. Comme le souligne Lumelsky, ces services supposent souvent à tort que l’environnement dans lequel le serveur sera installé est forcéc’est à dire limité dans ce à quoi il permet l’accès. C’est rarement le cas et cela se traduit par configuration de serveurs non sécurisés.
Comment se protéger de la vulnérabilité « 0.0.0.0-day » ?
Maintenant que nous connaissons son existence, la question est de savoir comment empêcher que cette vulnérabilité soit exploitée. Soyons clairs : tu n’as rien à faire à ton niveau. Il faut attendre que les navigateurs Web concernés se mettent à jour et corrigent la faille. Chez Apple, une Prochaine version bêta de macOS Sequoia je m’en occuperai et reviendrai à la version précédente, macOS SonomaPour les plus anciens, on ne sait pas encore ce qui va se passer.
Du côté de Google, L’accès à l’adresse 0.0.0.0 sera progressivement bloqué dans Chrome à partir de la version 128 (nous en sommes à 127 au moment de la publication de cet article). Le blocage total sera effectif à partir de Chrome 133.
A lire aussi – Cette faille rend votre PC très vulnérable en faisant remonter Windows dans le temps
Quant à Firefox, il faudra attendre. Un porte-parole de Mozilla déclare que “Firefox n’a implémenté aucune des restrictions proposées“, et ce dans la mesure où “Imposer des restrictions plus strictes comporte un risque important d’introduire des problèmes de compatibilité« . La firme ne fera donc rien jusqu’à ce que «Les discussions sur les normes et les travaux visant à comprendre ces risques de compatibilité sont en cours« .
Gal Elbaz, co-fondateur d’Oligo, espère que ce statu quo ne durera pas longtemps. Pour lui, Les risques associés à la vulnérabilité 0.0.0.0-day sont bien réels et trop importants pour être ignorés. Son résumé est en effet effrayant : «En autorisant 0.0.0.0, vous autorisez essentiellement tout« .
Source : Forbes
