Oh la boulette : Google divulgue le code d’exploitation d’une faille non corrigée, des millions d’utilisateurs menacés

L’une des plus grosses bourdes qu’il existe en cybersécurité ? Publier le code d’exploitation d’une faille qui n’a pas été corrigée, puisque cela revient à donner la solution sur un plateau d’argent aux hackers pour qu’ils l’exploitent. C’est exactement ce que vient de faire Google avec une vulnérabilité de Chromium sur lequel sont basés de nombreux navigateurs. Voici ceux menacés et les signaux d’alerte à surveiller.

Google Chrome
Crédits : Unsplash

En cybersécurité prévaut une règle d’or : celle de la « divulgation responsable ». Concrètement et en vertu de ce principe, si vous remarquez une vulnérabilité, vous allez prévenir le principal concerné et vous vous assurez qu’un correctif soit publié avant d’en parler publiquement – par exemple pour expliquer comment vous l’avez découverte. C’est notamment ce qu’a fait le CTO de Ledger vis-à-vis de la faille de sécurité critique dont étaient victimes certaines puces MediaTek équipant des smartphones Android.

Mais il se trouve que Google vient de faire une énorme boulette qui va à l’encontre même de cette règle : la firme de Mountain View a publié le code d’exploitation d’une vulnérabilité non corrigée située dans le code source de Chromium. Résultat ? Des millions de personnes utilisant l’un des navigateurs basés sur Chromium se retrouvent menacées.

Google publie le code d’exploitation d’une vulnérabilité non corrigée de Chromium

Cette vulnérabilité a été découverte fin 2022 par une chercheuse indépendante, Lyra Rebane, qui l’a signalée à Google – qui l’a classée S1, soit le deuxième niveau de sévérité le plus élevé. Comme le souligne Ars Technica, si le message de l’entreprise a été supprimé, certaines personnes ont pu avoir le temps de le copier ou pourraient le retrouver sur des sites d’archives.

Pour simplifier, cette faille permet d’exploiter l’interface Browser Fetch, un standard pour le téléchargement en arrière-plan de fichiers volumineux. L’appareil compromis peut ensuite être intégré à un réseau de machines zombies (botnet) et, en créant une connexion, un pirate peut surveiller l’activité de l’utilisateur, visiter des sites malveillants, s’en servir de proxy anonyme ou lancer des attaques par déni de service (DDoS). Et selon le navigateur, la connexion peut perdurer même après un redémarrage.

Toutefois, il y a plusieurs éléments « rassurants » dans cette affaire. D’abord, la menace est circonscrite aux capacités d’un navigateur : la faille ne permet pas de piratage total (accès aux e-mails, à l’ordinateur…).  De plus, l’option pouvant être détournée est peu utilisée – sur Chrome du moins – ce qui n’encourage pas les attaquants (qui préfèrent les ciblages massifs) à exploiter la vulnérabilité.

Lire aussi : Google accuse faussement ses propres utilisateurs pour les pousser vers un abonnement payant

Voici les navigateurs menacés et les signaux à surveiller

Pour autant, cette faille divulguée sans avoir été corrigée représente un risque. Premièrement, de nombreux navigateurs sont basés sur Chromium et sont donc menacés par cette faille : Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc. Si vous utilisez Firefox ou Safari, vous êtes à l’abri, Browser Fetch n’étant pas pris en charge.

Ensuite, les exploits sont particulièrement difficiles à détecter s’ils sont exécutés sur Edge. Mais dans tous les cas, il est conseillé de se méfier des fenêtres de téléchargement qui apparaissent inopinément plutôt que de mettre ça sur le compte d’un bug mineur.

Enfin, dans le pire des cas, si une autre faille était découverte par un hacker, il pourrait s’en servir pour compromettre les appareils touchés dans leur intégralité. Mais la « bonne nouvelle » dans tout ça, c’est qu’avec cette bourde, Google va être obligé de mettre les bouchées doubles pour publier un correctif.


Réagissez à cet article !

Demandez nos derniers articles !

Plier et déplier le Galaxy Z Fold 8 n’aura jamais été aussi agréable sur un smartphone Samsung

Samsung inaugure une nouvelle technologie de charnière pour ses Galaxy Z Fold 8 et Galaxy Z Fold 8 Ultra. L’expérience de pliage et de dépliage des smartphones ne devrait en…

Fausse alerte ! La ligne rouge de la mort de la Steam Machine n’est finalement pas fatale

On imagine aisément le soulagement de l’utilisateur ayant révélé le problème de la ligne rouge de la mort de la Steam Machine lorsque celui-ci est finalement parvenu à la relancer…

Cette vidéo montre le rover que la NASA prépare pour explorer les terrains les plus extrêmes

L’exploration robotique franchit une étape peu commune. La NASA vient de tester un engin capable de dompter les pentes les plus raides. Son périple dans le désert californien laisse entrevoir…

Samsung confirme l’arrivée imminente d’une nouvelle bêta One UI 9 pour les Galaxy S26

Le programme de test de One UI 9 avance à vive allure. Samsung vient de lâcher son calendrier pour les tout prochains jours. Les Galaxy S26 s’apprêtent à goûter une…

L’iPhone 18 Pro devrait avoir droit à une meilleure batterie, le boost d’autonomie sera bienvenu

Les détails techniques de la batterie des iPhone 18 Pro et iPhone 18 Pro Max sont désormais dans la nature et c’est une plutôt bonne nouvelle. Si la rumeur dit…

Steam Deck, Steam Machine : la dernière mise à jour va booster vos temps de téléchargement

Valve annonce dans le changelog de la dernière mise à jour de SteamOS avoir réglé un problème qui bridait la vitesse de téléchargement sur les machinés compatibles. Le souci se…

Windows 11 : l’application Mobile connecté se dote enfin de cette fonctionnalité pourtant basique

Après plusieurs années à tenter de combler le gouffre entre Windows et Android, Microsoft vient enfin de mettre à jour son application Mobile connecté avec, parmi les nouveautés, une fonctionnalité…

Android : installer une application hors Google Play Store va devenir une corvée, sauf pour ces smartphones

Pour lutter contre les applications malveillantes, Google prépare un nouveau système de vérification des développeurs Android. Mais plutôt qu’un soulagement, c’est la crainte qui gagne les utilisateurs. Il existe cependant…

Bon plan Sony WF-1000XM6 : les excellents écouteurs à réduction de bruit passent sous les 245 €

Sortis récemment, les Sony WF-1000XM6 profitent déjà d’une baisse de prix importante sur Amazon. Le site les propose en effet à 244,65 € au lieu de 299 €. Avec leur…

One UI 9 : l’application Galaxy Wearable pour montres et bracelets Samsung va complètement changer

Profitant de l’arrivée de One UI 9, Samsung prépare une grosse refonte de l’application Galaxy Wearable pour ses montres et bracelets connectés. Nouveau design, nouvelles fonctionnalités… Il y a du…