Un chercheur pakistanais a mis le doigt sur une faille potentiellement dangereuse liée aux barres d’adresses des navigateurs, à commencer par Chrome et Firefox. La brèche est en cours de correction et a rapporté 5 000 dollars à son découvreur.
Rafay Baloch, chercheur en sécurité, a publié récemment dans un billet de blog certains détails sur sa découverte. Il y explique comment, dans l’API Omnibox de Chrome notamment, il est possible de profiter d’un bug dans la gestion des langues s’écrivant de droite à gauche.
Un joli cas de spoofing
En mélangeant des caractères « classiques » à des caractères neutres arabes ou hébreux par exemple, on peut amener le navigateur à se mélanger les pinceaux. Une adresse du type « 127.0.0.1/|/http://nextinpact.com » est automatiquement retournée pour devenir « http://nextinpact.com/|/127.0.0.1 ». Le danger se voit aisément : un individu peut faire croire à l’utilisateur qu’il va naviguer sur une adresse bien précise. Le chercheur précise qu’elle peut en particulier être utilisée pour déguiser un site malveillant en site paraissant authentique. Avec à la clé la récupération d’informations sensibles, comme on s’en doute.
Pour bien comprendre le problème, il faut imaginer qu’un pirate peut se servir de l’adresse IP d’un serveur qu’il contrôle et lui adjoindre un caractère neutre et le nom de domaine d’un service existant. Le lien peut alors être expédié sous n’importe quelle forme (email, SMS, etc.), le destinataire ne voyant alors qu’une adresse commençant par le nom de domaine. Mais c’est bien l’adresse IP qui est visée.
5 000 dollars de récompenses cumulées
Rafay Baloch indique que les détails de la faille ont été rapportés confidentiellement à chaque éditeur. Chrome et Firefox ne sont en effet pas les seuls touchés, mais il ne donne pas les noms des autres navigateurs, ni évidemment la méthode pour y exploiter le problème. Google travaille sur la faille, qui sera corrigée dans Chrome 53. Mozilla, de son côté, a déjà corrigé le souci dans Firefox 48, même si le fonctionnement de la brèche était légèrement différent.
Le chercheur précise en fin que la faille a été comptée aussi bien dans le programme de chasse aux bugs de Google que celui de Mozilla, lui rapportant au total 5 000 dollars.
