Une faille de Chromium dort sans correctif depuis vingt-neuf mois. Google vient d'en publier le code d'exploitation mercredi, mais il n'existe aucun patch. Des millions d'utilisateurs de Chrome, Microsoft Edge et autres navigateurs Chromium se retrouvent exposés.
Il suffit qu'un internaute visite un site malveillant pour que quelques lignes de JavaScript ouvrent un service worker qui demeure actif en permanence, via l'API Browser Fetch. Cette interface gère d'ordinaire le téléchargement en arrière-plan de longues vidéos et de gros fichiers.
Détournée, elle établit une connexion qu'un attaquant utilise comme proxy pour consulter des sites, lancer des attaques par déni de service et surveiller certains aspects de l'activité du navigateur. Le redémarrage de la machine ne coupe pas toujours le lien. Selon le navigateur, la connexion se rouvre ou reste. Google n'a pas répondu aux questions sur les raisons de cette publication ni sur la date d'un correctif.
Le téléchargement fantôme passe pour un simple bogue
Il ne sert à rien de redémarrer la machine, le lien ne sera pas rompu pour autant. L'appareil contaminé devient un maillon d'un réseau de zombies restreint. Les capacités se limitent à celles d'un navigateur, mais un attaquant pourrait contrôler des milliers, voire des millions d'appareils.
Le JavaScript ouvre une fenêtre déroulante de téléchargements sans y placer le moindre fichier. Sur Edge, cette fenêtre disparaît dès la réouverture du navigateur, ce qui rend l'exploit particulièrement discret. Sur Chrome, elle traîne un peu plus longtemps. Dans les deux cas, un utilisateur peu aguerri prendra ce comportement pour un simple bogue.
Lyra Rebane, le chercheur indépendant qui a découvert la faille, conseille de se méfier de ces menus déroulants qui s'affichent sans raison. Et il est très difficile de remonter jusqu'à la cause.
Mais dans le fil privé consacré au bogue, un développeur a relevé que la récupération en arrière-plan est très peu utilisée sur Chrome, avec environ dix-sept fichiers traités par utilisateur et par jour. Personne ne sait dans quelle mesure les autres navigateurs s'en servent. Le chercheur doute d'une exploitation active en cours.
Vingt-neuf mois entre le signalement et la publication
Le chercheur a alerté Google fin 2022. Deux développeurs ont jugé le défaut grave, avec un niveau de gravité S1, le deuxième plus élevé. Puis plus rien pendant vingt-neuf mois. Mercredi matin, la faille est apparue sur le système de suivi des bogues de Chromium. Lyra Rebane a d'abord cru à un correctif. Il a compris peu après que la vulnérabilité restait ouverte. Google a depuis retiré la publication, mais le code d'exploitation circule encore sur des sites d'archivage.
Le chercheur avance une explication au délai. « Ce qui s'est passé est assez inhabituel, car cela ne franchit aucune limite de sécurité définie », a-t-il déclaré. La faille ne donne donc accès ni aux e-mails ni à l'ordinateur de la victime. Selon lui, cette particularité a probablement déstabilisé les équipes chargées du dossier. D'autres vulnérabilités qu'il a remontées ont connu des retards, mais jamais d'une telle ampleur.
Environ 83 % du trafic web mondial tourne sur le moteur Chromium. Chrome représente à lui seul près de 65 % du marché. Edge, Brave, Opera, Vivaldi et Samsung Internet partagent la même base de code. Firefox et Safari ne sont en revanche pas concernés car ils ne prennent pas en charge cette récupération de fichiers par le navigateur.
Source : Ars Techinca
