Oh la boulette : Google divulgue le code d’exploitation d’une faille non corrigée, des millions d’utilisateurs menacés

L’une des plus grosses bourdes qu’il existe en cybersécurité ? Publier le code d’exploitation d’une faille qui n’a pas été corrigée, puisque cela revient à donner la solution sur un plateau d’argent aux hackers pour qu’ils l’exploitent. C’est exactement ce que vient de faire Google avec une vulnérabilité de Chromium sur lequel sont basés de nombreux navigateurs. Voici ceux menacés et les signaux d’alerte à surveiller.

Google Chrome
Crédits : Unsplash

En cybersécurité prévaut une règle d’or : celle de la « divulgation responsable ». Concrètement et en vertu de ce principe, si vous remarquez une vulnérabilité, vous allez prévenir le principal concerné et vous vous assurez qu’un correctif soit publié avant d’en parler publiquement – par exemple pour expliquer comment vous l’avez découverte. C’est notamment ce qu’a fait le CTO de Ledger vis-à-vis de la faille de sécurité critique dont étaient victimes certaines puces MediaTek équipant des smartphones Android.

Mais il se trouve que Google vient de faire une énorme boulette qui va à l’encontre même de cette règle : la firme de Mountain View a publié le code d’exploitation d’une vulnérabilité non corrigée située dans le code source de Chromium. Résultat ? Des millions de personnes utilisant l’un des navigateurs basés sur Chromium se retrouvent menacées.

Google publie le code d’exploitation d’une vulnérabilité non corrigée de Chromium

Cette vulnérabilité a été découverte fin 2022 par une chercheuse indépendante, Lyra Rebane, qui l’a signalée à Google – qui l’a classée S1, soit le deuxième niveau de sévérité le plus élevé. Comme le souligne Ars Technica, si le message de l’entreprise a été supprimé, certaines personnes ont pu avoir le temps de le copier ou pourraient le retrouver sur des sites d’archives.

Pour simplifier, cette faille permet d’exploiter l’interface Browser Fetch, un standard pour le téléchargement en arrière-plan de fichiers volumineux. L’appareil compromis peut ensuite être intégré à un réseau de machines zombies (botnet) et, en créant une connexion, un pirate peut surveiller l’activité de l’utilisateur, visiter des sites malveillants, s’en servir de proxy anonyme ou lancer des attaques par déni de service (DDoS). Et selon le navigateur, la connexion peut perdurer même après un redémarrage.

Toutefois, il y a plusieurs éléments « rassurants » dans cette affaire. D’abord, la menace est circonscrite aux capacités d’un navigateur : la faille ne permet pas de piratage total (accès aux e-mails, à l’ordinateur…).  De plus, l’option pouvant être détournée est peu utilisée – sur Chrome du moins – ce qui n’encourage pas les attaquants (qui préfèrent les ciblages massifs) à exploiter la vulnérabilité.

Lire aussi : Google accuse faussement ses propres utilisateurs pour les pousser vers un abonnement payant

Voici les navigateurs menacés et les signaux à surveiller

Pour autant, cette faille divulguée sans avoir été corrigée représente un risque. Premièrement, de nombreux navigateurs sont basés sur Chromium et sont donc menacés par cette faille : Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc. Si vous utilisez Firefox ou Safari, vous êtes à l’abri, Browser Fetch n’étant pas pris en charge.

Ensuite, les exploits sont particulièrement difficiles à détecter s’ils sont exécutés sur Edge. Mais dans tous les cas, il est conseillé de se méfier des fenêtres de téléchargement qui apparaissent inopinément plutôt que de mettre ça sur le compte d’un bug mineur.

Enfin, dans le pire des cas, si une autre faille était découverte par un hacker, il pourrait s’en servir pour compromettre les appareils touchés dans leur intégralité. Mais la « bonne nouvelle » dans tout ça, c’est qu’avec cette bourde, Google va être obligé de mettre les bouchées doubles pour publier un correctif.


Réagissez à cet article !

Demandez nos derniers articles !

Galaxy Watch 9 et Ultra 2 : Samsung préparerait du lourd, les nouveaux cadrans ont fuité

Les prochaines montres connectées de Samsung se dévoilent déjà. Une fuite nous montre ce qui pourrait être les nouveaux cadrans des Galaxy Watch 9 et autres Galaxy Watch Ultra 2…

L’attente de GTA 6 vire à l’obsession, ce couple prend une décision complètement folle

Pour certains fans, la passion pour GTA 6 n’a pas de limite. Un couple a ainsi passé un véritable contrat, qui impose plusieurs règles aux signataires concernant le prochain volet…

Samsung pourrait faire exploser le prix de la RAM, préparez-vous au choc

Coup de tonnerre dans l’industrie de l’électronique. Malgré l’actuelle crise des composants, Samsung aurait décidé d’augmenter une nouvelle fois le prix de ses puces mémoire DRAM. Une décision qui pourrait…

Google Wallet s’améliore sur Wear OS, cette nouveauté va vous simplifier la vie

L’application de paiement de Google s’enrichit. Celle-ci facilite notamment la gestion de vos dépenses effectuées via votre montre connectée Wear OS. Google n’en finit plus d’optimiser sa célèbre application de…

Google Maps va encore plus loin : l’application pourrait commander votre repas à votre place

Google Maps cacherait une fonctionnalité bien pratique pour les amateurs de restaurants. Celle-ci permettrait de grandement faciliter la récupération de vos plats favoris alors même que vous êtes sur la…

Un iPhone pliant se prépare, l’écran du Galaxy S27 se dévoile, c’est le récap’ de la semaine

L’événement d’Apple dévoilera ses futurs smartphones Pro ainsi qu’un premier modèle pliant, la nouvelle console de Valve se retrouve déjà victime de spéculation, Samsung a pris sa décision finale concernant…

Steam Machine : Valve vous permet de fabriquer cet accessoire indispensable

Fabriquer vous-même un accessoire essentiel de la Steam Machine, c’est désormais possible. Valve vient en effet de partager en open source les éléments nécessaires à sa fabrication. Le moins que…

Volkswagen enterre l’ID.4, mais le successeur du SUV électrique s’annonce bien plus ambitieux

Le SUV électrique Volkswagen ID.4 va bientôt tirer sa révérence. Le fabricant allemand s’apprête en effet à remplacer progressivement ce dernier par le Volkswagen ID. Tiguan, qui bénéficiera d’améliorations conséquentes….

ColorOS partout ? Oppo envisagerait un changement radical pour OnePlus et Realme

Les interfaces Android OxygenOS et Realme UI appartiendraient peut-être bientôt au passé. Oppo prévoirait en effet d’équiper les smartphones OnePlus et Realme de ColorOS, qui viendrait remplacer les précédentes interfaces….

Samsung Galaxy Z Fold 8 Ultra et Z Flip 8 : les augmentations de prix se précisent

Les prix des prochains appareils phares de Samsung, tels que le Galaxy Z Fold 8 Ultra, la Galaxy Watch Ultra 2 ou encore le Galaxy Z Flip 8, viennent de…