Google a découvert un bug critique dans les navigateurs Web modernes
Jake Archibald, un chercheur Google a découvert une grave vulnérabilité dans les navigateurs Web modernes qui aurait pu permettre aux sites Web que vous visitez de voler le contenu sensible de vos comptes en ligne à partir d’autres sites Web sur lesquels vous vous êtes connecté avec le même navigateur.
La vulnérabilité réside dans la façon dont les navigateurs traitent les requêtes croisées vers des fichiers vidéo et audio, qui, une fois exploitées, pourraient permettre par exemple de lire le contenu de vos messages Gmail ou Facebook.
Les navigateurs ne permettent pas aux sites Web d’effectuer des requêtes d’origine croisée vers un autre domaine à moins que le domaine ne le permette explicitement. Donc si vous visitez un site Web sur votre navigateur, il ne peut demander des données seulement à partir de la même origine que celle de laquelle le site a été chargé, ce qui l’empêche de faire toute demande non autorisée en votre nom dans le but de voler vos données sur d’autres sites.
Cependant, les navigateurs ne répondent pas de la même manière lors de la récupération de fichiers multimédias hébergés ailleurs, permettant aux sites Web de charger des fichiers audio/vidéo à partir de différents domaines sans aucune restriction.
De plus, les navigateurs prennent également en charge les réponses d’en-tête de plage et de contenu partiel, ce qui permet aux sites Web de diffuser partiellement du contenu multimédia volumineux, ce qui peut être utile lorsqu’on veut offrir une possibilité de pause et de reprise.
En d’autres termes, les éléments médiatiques ont la capacité de joindre des morceaux de réponses multiples et de les traiter comme une seule ressource.
Cependant, Archibald a constaté que Mozilla Firefox et Microsoft Edge permettaient aux éléments médias de mélanger des données visibles et opaques ou des données opaques provenant de sources multiples.
Ce qui laisse une possibilité d’attaque (certes sophistiquée).
C’est dans un article publié il y a 2 semaines qu’Archibald a détaillé cette vulnérabilité, qu’il a surnommée Wavethrough, expliquant comment un attaquant peut utiliser cette fonctionnalité pour contourner les protections mises en place par les navigateurs qui empêchent normalement les requêtes croisées.
« Le problème est apparu lorsque les navigateurs ont implémenté des demandes de plage pour les éléments médias, ce qui n’était pas couvert par la norme de sécurité. Ces demandes étaient vraiment utiles, donc tous les navigateurs l’ont fait en copiant le comportement des autres, mais personne n’y a intégré une sécurité » Dit-il.
Selon Archibald, cette faille peut être exploitée par un site Web malveillant en utilisant un fichier multimédia intégré sur sa page Web, qui, une fois lu, ne sert qu’une partie du contenu de son propre serveur et demande au navigateur de récupérer le reste du fichier d’une origine différente, forçant le navigateur à faire une requête d’origine croisée.
La deuxième demande, qui devrait donc être restreinte, sera permise puisque le mélange de données visibles et opaques est autorisé pour un fichier multimédia. Et le contenu du site Web peut facilement être volé.
« J’ai créé un site qui fait ce qui précède. J’ai utilisé un en-tête PCM WAV parce que tout ce qui suit l’en-tête est valide, et tout ce qui est retourné sur Facebook serait traité comme de l’audio non compressé« , a dit Archibald.
Archibald a également publié une vidéo montrant comment un site Web malveillant peut récupérer votre contenu privé de sites comme Gmail et Facebook.
Chrome et Safari ont déjà une sécurité en place pour rejeter de telles requêtes croisées dès qu’ils voient une redirection après que le contenu sous-jacent semble avoir changé entre les requêtes, leurs utilisateurs sont donc protégés.
« C’est pourquoi les normes sont importantes. Je crois que Chrome avait un problème de sécurité similaire il y a longtemps, mais au lieu de simplement le réparer dans Chrome, le correctif aurait dû être écrit dans un standard, et les tests auraient dû être écrits pour que d’autres navigateurs puissent les appliquer« , a dit Archibald.
Les navigateurs Firefox et Edge ont également corrigé la faille dans leurs dernières versions après que le chercheur leur ait signalé de manière responsable. Il est fortement recommandé aux utilisateurs de navigateurs Firefox et Edge de s’assurer qu’ils utilisent la dernière version de ces navigateurs.
