Vous surfez sur le web avec Firefox ? C’est le moment de mettre le navigateur à jour ! Une faille critique a en effet été repérée dans le code source du logiciel. Elle a aussi été vue sur Tor Browser, le navigateur prêt-à-l’emploi pour le réseau d’anonymisation Tor. Logique : Tor Browser utilise une version spéciale de Firefox pour permettre à ses usagers de surfer dans un haut (mais relatif) degré d’anonymat.
Détaillée sur la liste de diffusion consacrée au réseau Tor, la vulnérabilité exploite une faiblesse de JavaScript. Elle consiste, selon l’auteur du message, à utiliser un premier fichier HTML et un second en JS pour obtenir un accès à « VirtualAlloc », un élément de l’allocation de mémoire dans Firefox, via « kernel32.dll ». Elle « activement utilisée » contre les utilisateurs de Tor Browser, affirme-t-il.
https://twitter.com/csoghoian/status/803728414012215297
Dans une discussion ouverte sur BugZilla, qui est le système de suivi des bugs de la fondation Mozilla, un utilisateur fait remarquer que cette brèche a existé dans le code source de Firefox pendant cinq ans. Si elle a été exploitée, c’est dans quel but ? Sans doute pour récupérer l’identité réelle des internautes utilisant le réseau Tor afin de se cacher aux yeux de tous, estime Ars Technica.
Il permet de masquer son adresse IP — la plaque d’immatriculation qui sert à identifier la machine utilisée — en faisant transiter la connexion par une série de relais. Cela permet de camoufler la localisation de l’usager. Tor n’offre pas un anonymat absolu (la preuve) mais il confère tout de même un haut degré de protection, ce qui peut servir quand on vit dans un pays autoritaire ou une dictature.
Toutes les plateformes — Windows, Mac et Linux — sont théoriquement touchées par la faille mais les indices amassés jusqu’à présent indiquent que seuls les systèmes d’exploitation développés par Microsoft ont été effectivement affectés, selon l’équipe en charge du développement du réseau Tor et donc de Tor Browser. De toutes les façons, la mise à jour reste hautement recommandée.
Une nouvelle version de Tor Browser est disponible depuis le mercredi 30 novembre, sous le numéro 6.0.7. Même chose pour Firefox, qui passe en version 50.0.2.
« L’exploit a profité d’un bug dans Firefox pour permettre à l’attaquant d’exécuter du code arbitraire sur le système ciblé en demandant à la victime de charger une page web contenant du code malveillant en JavaScript et SVG. Il a employé cette tactique pour collecter les adresses IP et MAC du système ciblé et les envoyer à un serveur central », note Daniel Veditz, un responsable de la sécurité chez Mozilla.
Daniel Veditz fait d’ailleurs remarquer que la brèche en question fonctionne de la même manière qu’une technique utilisée en 2013 par le FBI pour dé-anonymiser des usagers de Tor lors d’une enquête impliquant des réseaux pédopornographiques qui ont utilisé ce réseau pour essayer de se cacher des autorités. Est-ce à dire que cette nouvelle faille a été utilisée dans un but similaire ?
« Cette similitude a conduit à l’hypothèse que cet exploit a été créé par le FBI ou une autre agence travaillant pour l’État. À ce jour, nous ne savons pas si c’est le cas », commente-t-il. Mais si c’est le cas, il s’agira alors d’une « démonstration claire de la façon dont le piratage gouvernemental soi-disant limité peut devenir une menace pour tout le web », puisque la brèche concerne aussi des utilisateurs qui n’ont rien à voir.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.