Oh la boulette : Google divulgue le code d’exploitation d’une faille non corrigée, des millions d’utilisateurs menacés

L’une des plus grosses bourdes qu’il existe en cybersécurité ? Publier le code d’exploitation d’une faille qui n’a pas été corrigée, puisque cela revient à donner la solution sur un plateau d’argent aux hackers pour qu’ils l’exploitent. C’est exactement ce que vient de faire Google avec une vulnérabilité de Chromium sur lequel sont basés de nombreux navigateurs. Voici ceux menacés et les signaux d’alerte à surveiller.

En cybersécurité prévaut une règle d’or : celle de la « divulgation responsable ». Concrètement et en vertu de ce principe, si vous remarquez une vulnérabilité, vous allez prévenir le principal concerné et vous vous assurez qu’un correctif soit publié avant d’en parler publiquement – par exemple pour expliquer comment vous l’avez découverte. C’est notamment ce qu’a fait le CTO de Ledger vis-à-vis de la faille de sécurité critique dont étaient victimes certaines puces MediaTek équipant des smartphones Android.

Mais il se trouve que Google vient de faire une énorme boulette qui va à l’encontre même de cette règle : la firme de Mountain View a publié le code d’exploitation d’une vulnérabilité non corrigée située dans le code source de Chromium. Résultat ? Des millions de personnes utilisant l’un des navigateurs basés sur Chromium se retrouvent menacées.

Google publie le code d’exploitation d’une vulnérabilité non corrigée de Chromium

Cette vulnérabilité a été découverte fin 2022 par une chercheuse indépendante, Lyra Rebane, qui l’a signalée à Google – qui l’a classée S1, soit le deuxième niveau de sévérité le plus élevé. Comme le souligne Ars Technica, si le message de l’entreprise a été supprimé, certaines personnes ont pu avoir le temps de le copier ou pourraient le retrouver sur des sites d’archives.

Pour simplifier, cette faille permet d’exploiter l’interface Browser Fetch, un standard pour le téléchargement en arrière-plan de fichiers volumineux. L’appareil compromis peut ensuite être intégré à un réseau de machines zombies (botnet) et, en créant une connexion, un pirate peut surveiller l’activité de l’utilisateur, visiter des sites malveillants, s’en servir de proxy anonyme ou lancer des attaques par déni de service (DDoS). Et selon le navigateur, la connexion peut perdurer même après un redémarrage.

Toutefois, il y a plusieurs éléments « rassurants » dans cette affaire. D’abord, la menace est circonscrite aux capacités d’un navigateur : la faille ne permet pas de piratage total (accès aux e-mails, à l’ordinateur…).  De plus, l’option pouvant être détournée est peu utilisée – sur Chrome du moins – ce qui n’encourage pas les attaquants (qui préfèrent les ciblages massifs) à exploiter la vulnérabilité.

Lire aussi : Google accuse faussement ses propres utilisateurs pour les pousser vers un abonnement payant

Voici les navigateurs menacés et les signaux à surveiller

Pour autant, cette faille divulguée sans avoir été corrigée représente un risque. Premièrement, de nombreux navigateurs sont basés sur Chromium et sont donc menacés par cette faille : Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc. Si vous utilisez Firefox ou Safari, vous êtes à l’abri, Browser Fetch n’étant pas pris en charge.

Ensuite, les exploits sont particulièrement difficiles à détecter s’ils sont exécutés sur Edge. Mais dans tous les cas, il est conseillé de se méfier des fenêtres de téléchargement qui apparaissent inopinément plutôt que de mettre ça sur le compte d’un bug mineur.

Enfin, dans le pire des cas, si une autre faille était découverte par un hacker, il pourrait s’en servir pour compromettre les appareils touchés dans leur intégralité. Mais la « bonne nouvelle » dans tout ça, c’est qu’avec cette bourde, Google va être obligé de mettre les bouchées doubles pour publier un correctif.