L’équipe de développement de Tor a mis le doigt sur une faille 0day dans son Browser, plus précisément dans Firefox. Élément troublant, le code d’exploitation trouvé est très proche de celui utilisé par le FBI en 2013 pour piéger les membres d’un réseau pédopornographique. Les deux navigateurs ont été mis à jour.
Tor propose depuis plusieurs années un navigateur, baptisé fort logiquement Tor Browser. Il est bâti sur la branche ESR (Extended-support release) de Firefox, qui dispose d’un support nettement plus long et que Mozilla met en avant pour les entreprises notamment. L’actuel Tor Browser se base ainsi sur Firefox 45 ESR, et y ajoute quelques outils, notamment l’extension basculant les communications sur le réseau.
Ce navigateur est particulièrement utilisé par ceux qui ont besoin de discrétion en ligne, particulièrement dans des pays où la liberté d’information n’est pas garantie. Il peut également être utilisé à des fins bien moins nobles. En 2013, une opération du FBI avait ainsi exploité une faille dans le navigateur, permettant le piratage de nombreuses machines impliquées dans un réseau d’échange de contenus pédopornographiques. Mozilla avait cherché, en vain, à obtenir des détails sur celle-ci.
Une faille déjà exploitée sous Windows
Or, l’équipe a mis la main sur une nouvelle faille dans Firefox, a priori exploitée de la même manière que le FBI. Selon les développeurs de Tor, la faille est déjà active, le code de son exploitation étant fourni sous la forme de quelques centaines de lignes de JavaScript. Roger Dingledine, l’un des fondateurs du réseau Tor, avait lui aussi confirmé la faille, indiquant au passage que Mozilla était au courant que ses ingénieurs travaillaient dessus.
De fait, le père de Firefox a publié cette nuit un avertissement de sécurité pour expliquer la situation. On y apprend notamment que la brèche réside dans la lecture des contenus SVG, et qu'il serait possible de concevoir des contenus malveillants en injectant le code JavaScript mentionné. Dans tous les cas, une mise à jour critique est proposée à tous les utilisateurs de Firefox, qui peuvent donc utiliser l'outil interne au navigateur pour la récupérer (ou depuis le site officiel). Tor Browser suit le mouvement et une nouvelle version 6.0.7.
Des détails troublants
Nos confrères d’Ars Technica se sont notamment entretenus avec le chercheur indépendant en sécurité TheWack0lian, qui s’est penché sur le code d’exploitation de la faille. C’est lui qui a indiqué qu’il était pratiquement identique à celui utilisé en 2013 par le FBI pour pirater les machines du réseau pédopornographique Playpen, finalement démantelé en février 2015. On rappellera que le FBI avait saisi les serveurs, mais en les laissant en ligne. Les enquêteurs avaient introduit la faille dans les pages web pour pirater les machines des inscrits au réseau.
La faille en elle-même ne peut être exploitée que sous Windows. Elle est de type dépassement de mémoire tampon et requiert que le JavaScript soit activé dans le navigateur. C’est bien entendu le cas par défaut, mais on peut le désactiver dans les options de Firefox. Selon un autre chercheur, Joshua Yabut, cette exploitation a été savamment orchestrée, car le code ajuste sa position en mémoire, en fonction de la version de Firefox, les moutures 41 à 50 étant prises en charge. En cas d’exploitation réussie, le code fait des appels à kernel32.dll, l’un des composants centraux de Windows.
Une question importante demeure néanmoins : qui se tient derrière ces attaques ? On ne le sait toujours pas. Actuellement, aucun chercheur ne semble penser que le FBI recommence avec la même technique, dans ce qui serait alors une nouvelle opération contre des serveurs cachés au sein du réseau Tor. Par contre, la méthode et le code d’exploitation sont similaires et l’inspiration est évidente.
Les éternelles problématiques autour des failles de sécurité
Le cas relance évidemment les problématiques liées à la gestion des failles de sécurité, notamment la manière dont les détails sont communiqués à l’éditeur associé. Il rappelle également la manière dont les vulnérabilités sont le fruit d’un commerce intense, une sorte de marché gris dans lequel elles sont régulièrement offertes au plus offrant.
Le cas du FBI, tout en étant emblématique, était loin d’être isolé. La NSA n’avait pas nié qu’elle collectait ces précieuses informations qui constituent autant d’armes dans son arsenal numérique. Elle était même allée jusqu’à expliquer que 91 % d’entre elles faisaient l’objet d’un communiqué auprès de l’éditeur concerné (sans préciser de timing). La Navy avait de son côté publié une annonce pour déclarer son intention d’acquérir des brèches de sécurité. Plus récemment, on se souvient de la lutte intense entre le FBI et Apple pour déverrouiller un iPhone 5c, le Bureau parvenant finalement à ses fins en achetant une faille, pour au moins 1,3 million de dollars.
