Depuis près de 20 ans, un pirate peut voler vos données en exploitant cette faille de sécurité dans Chrome, Firefox et Safari

Une faille de sécurité critique concernant les principaux navigateurs Internet les rend vulnérables aux cyberattaques. Elle a été découverte récemment malgré ses presque 20 ans d'existence.

Un homme inquiet devant un PC portable
Crédits : 123RF

Les navigateurs Internet ne sont pas immunisés contre les cyberattaques. Ils présentent des vulnérabilités comme tous les autres logiciels et c'est pourquoi des mises à jour régulières viennent les combler. Celle dont il est question ici est particulière dans le sens où on sait qu'elle existe depuis au moins 18 ans. Malgré cela, elle n'a toujours pas été corrigée. Découverte récemment par la startup Oligo, elle a été baptisée “0.0.0.0-day“, en référence aux fameuses failles “zero day”.

La suite de 0 fait référence à une adresse IP “générale”, qui est par exemple considérée comme toutes les adresses IPv4 d'une machine locale dans le cas d'un serveur. Le problème vient de la manière dont les navigateurs Web Chrome, Safari et Firefox gèrent les requêtes vers l'IP 0.0.0.0. En résumé : les pirates peuvent s'en servir pour accéder à des programmes exécutés localement et lancer des commandes à distance. Une porte ouverte qui ne concerne que macOS et Linux, Windows ayant bloqué l'adresse 0.0.0.0 il y a plusieurs années de cela.

Chrome, Safari et Firefox possèdent une faille de sécurité vieille de presque 20 ans

Que risque-t-on de se faire voler par un pirate au courant de la faille ? “Le code du développeur et la messagerie interne sont de bons exemples de certaines informations accessibles immédiatement. Mais plus important encore, l’exploitation de 0.0.0.0-day peut permettre à l’attaquant d’accéder au réseau privé interne de la victime, ouvrant ainsi la voie à un large éventail de vecteurs d’attaque“, explique Avi Lumelsky de chez Oligo. Il précise que “les attaquants peuvent mettre la main sur tout ce qui est présent sur cette machine : fichiers, messages, identifiants“.

Lire aussi – Google Chrome : toutes les extensions pourraient voler vos mots de passe, selon ces chercheurs

Si ce sont surtout les particuliers et entreprises utilisant des serveurs Web (de tests par exemple) qui sont les plus à risque, ce ne sont pas les seules cibles potentielles. Des logiciels largement utilisés peuvent reposer sur un fonctionnement en local et présentent un biais de taille. Avi Lumelsky le souligne : ces services supposent souvent à tort que l'environnement dans lequel sera implanté le serveur est contraint, c'est-à-dire limité dans ce à quoi il permet d'accéder. C'est rarement le cas et cela abouti à la mise en place de serveurs non sécurisés.

Comment se protéger de la faille “0.0.0.0-day” ?

Maintenant que l'on connaît son existence, la question est de savoir comment éviter l'exploitation de cette vulnérabilité. Soyons clairs : vous n'avez rien à faire à votre niveau. Il faut attendre que les navigateurs Web concernés se mettent à jour et comble la faille. Chez Apple, une prochaine bêta de macOS Sequoia s'en chargera et se répercutera sur la version précédente, macOS Sonoma. Pour les plus anciennes, on ne sait encore ce qu'il en sera.

Du côté de Google, l'accès à l'adresse 0.0.0.0 sera progressivement bloqué dans Chrome à partir de la version 128 (nous sommes à la 127 au moment de publier cet article). Le blocage total sera effectif à partir de Chrome 133.

Lire aussi – Cette faille rend votre PC très vulnérable en faisant remonter Windows dans le temps

Quant à Firefox, il va falloir patienter. Un porte-parole de Mozilla déclare que “Firefox n'a mis en œuvre aucune des restrictions proposées“, et ce dans la mesure où “imposer des restrictions plus strictes comporte un risque important d’introduire des problèmes de compatibilité“. La firme ne fera donc rien tant que “les discussions sur les normes et les travaux visant à comprendre ces risques de compatibilité sont en cours“.

Gal Elbaz, cofondateur d'Oligo, espère que ce statu quo ne durera pas longtemps. Pour lui, les risques liés à la faille 0.0.0.0-day sont bien réels et trop importants pour être ignorés. Son résumé fait en effet froid dans le dos : “En autorisant 0.0.0.0, vous autorisez essentiellement tout“.

Source : Forbes


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

The Mandalorian & Grogu : date de sortie, histoire, casting, tout ce qu’il faut savoir sur le retour de Star Wars au cinéma

Le duo le plus célèbre de la galaxie s’apprête à franchir une nouvelle étape. Après trois saisons à succès sur petit écran, Din Djarin et son apprenti Grogu font le…

Des fuites chez Samsung, un logiciel Windows piégé par un malware, c’est le récap’ de la semaine

Samsung dévoile malgré lui ses futurs smartphones pliables, un malware menace les PC Windows, Xiaomi propose de booster vos anciens téléphones, c’est le récap’ de la semaine. Cette semaine, le…

Test Honor 600 Pro : un smartphone équilibré et vraiment convaincant

Après le Honor 600, c’est au tour de sa version « Pro » de passer à la moulinette de nos tests. Plus cher et, surtout, plus ambitieux, le Honor 600 Pro reprend…

L’iPhone 18 Pro aurait une nouvelle technologie d’écran, pour quels bénéfices ?

Apple intégrerait pour la première fois des écrans de technologie LTPO+ pour ses iPhone 18 Pro, plus performants que les affichages LTPO traditionnels. Les iPhone 18 Pro et 18 Pro…

L’aide à la rédaction par IA de Gmail s’améliore, voici ce qui change

L’outil d’aide à la rédaction par IA de Gmail devient plus pertinent en prenant désormais en compte le contexte personnel de l’utilisateur. Des options de personnalisation du ton et du…

Instagram supprime le chiffrement de bout en bout, vos messages privés ne sont plus protégés

La sécurité de vos messages privés sur Instagram a pris un coup. Le réseau social vient d’annoncer la fin de la prise en charge du chiffrement de bout en bout,…

Les consoles portables sous Windows vont gagner en autonomie grâce à cette initiative de Xbox

Le projet Green Leaf de Xbox vise à réduire la consommation d’énergie des jeux afin d’améliorer l’autonomie des consoles portables tournant sous Windows. Xbox est au four et au moulin…

Le air fryer Ninja DualZone XL passe à petit prix en cumulant ces 2 offres, c’est le moment d’en profiter !

Vous cherchez un airfryer polyvalent pour cuisiner pour toute la famille ? La friteuse sans huile Ninja DualZone XL profite d’une grande capacité de 7,6 L divisée en deux zones….

Avec Android 17, l’écran d’accueil va enfin devenir plus personnalisable pour les Pixel

Google pourrait enfin laisser les utilisateurs supprimer la fameuse barre de recherche de l’écran d’accueil des Pixel dans une prochaine version d’Android 17. Le widget de barre de recherche Google…

Une fonctionnalité discrète mais très appréciée de Google Photos disparaît cet été. Elle concerne les utilisateurs qui sauvegardent leurs photos depuis un ordinateur. Google a déjà fixé les dates, et…

PC

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.