Des experts en cybersécurité ont récemment averti que certains des navigateurs les plus utilisés au monde présentent une vulnérabilité qui pourrait permettre à des acteurs malveillants de dérober des informations sensibles sur les appareils ciblés.
Des chercheurs d’Oligo ont mis en lumière une méthode d’attaque appelée « attaque 0.0.0.0-day », qui exploite la manière dont Safari d’Apple, Chrome de Google et Firefox de Mozilla gèrent les requêtes vers l’adresse 0.0.0.0.
Normalement, ces navigateurs redirigent l’utilisateur vers une autre adresse IP, comme « localhost », qui correspond généralement à un serveur ou un ordinateur sur un réseau privé. Cependant, en envoyant une requête malveillante à l’adresse IP 0.0.0.0 de la cible, les attaquants peuvent accéder à des données privées. Cela peut se faire par le biais de techniques de phishing ou d’ingénierie sociale, où la victime est incitée à ouvrir un site web malveillant.
Apple et Google en quête d’une solution
Les chercheurs ont signalé que cette vulnérabilité est actuellement exploitée dans la nature, tandis que les développeurs s’efforcent de trouver une solution durable.
Avi Lumelsky, chercheur en sécurité IA chez Oligo, a déclaré à Forbes : « Le code des développeurs et les messages internes sont des exemples d’informations qui peuvent être immédiatement accessibles. Mais plus important encore, l’exploitation de l’attaque 0.0.0.0-day permet à l’attaquant d’accéder au réseau privé interne de la victime, ouvrant ainsi un large éventail de vecteurs d’attaque. »
Bien que le vecteur d’attaque soit quelque peu limité, car il ne concerne que les individus et les entreprises hébergeant des serveurs web, cela laisse néanmoins une surface d’attaque considérable.
Des preuves d’abus en cours existent également. Un développeur de sécurité de Google a confirmé ce problème dans un message sur le forum Chromium plus tôt cette année, en précisant que la vulnérabilité ne peut être exploitée que sur les appareils Apple, Microsoft bloquant l’accès à 0.0.0.0 sur Windows. Apple prévoit également de mettre en œuvre cette restriction avec la version bêta de macOS 15 Sequoia.
Google suivra le même chemin sur Chromium et Chrome, laissant Mozilla explorer ses options actuelles.
Plus d’actualités technologiques
- Google a corrigé la première faille de sécurité majeure de Chrome en 2024 – voici ce que vous devez savoir avant de mettre à jour.
- Découvrez notre sélection des meilleurs pare-feu disponibles aujourd’hui.
- Voici les meilleurs outils de protection des points de terminaison actuellement sur le marché.
