L’équipe de développement de Tor a mis le doigt sur une faille 0day dans son Browser, plus précisément dans Firefox. Élément troublant, le code d’exploitation trouvé est très proche de celui utilisé par le FBI en 2013 pour piéger les membres d’un réseau pédopornographique. Les deux navigateurs ont été mis à jour.
Tor propose depuis plusieurs années un navigateur, baptisé fort logiquement Tor Browser. Il est bâti sur la branche ESR (Extended-support release) de Firefox, qui dispose d’un support nettement plus long et que Mozilla met en avant pour les entreprises notamment. L’actuel Tor Browser se base ainsi sur Firefox 45 ESR, et y ajoute quelques outils, notamment l’extension basculant les communications sur le réseau.
Ce navigateur est particulièrement utilisé par ceux qui ont besoin de discrétion en ligne, particulièrement dans des pays où la liberté d’information n’est pas garantie. Il peut également être utilisé à des fins bien moins nobles. En 2013, une opération du FBI avait ainsi exploité une faille dans le navigateur, permettant le piratage de nombreuses machines impliquées dans un réseau d’échange de contenus pédopornographiques. Mozilla avait cherché, en vain, à obtenir des détails sur celle-ci.
Une faille déjà exploitée sous Windows
Or, l’équipe a mis la main sur une nouvelle faille dans Firefox, a priori exploitée de la même manière que le FBI. Selon les développeurs de Tor, la faille est déjà active, le code de son exploitation étant fourni sous la forme de quelques centaines de lignes de JavaScript. Roger Dingledine, l’un des fondateurs du réseau Tor, avait lui aussi confirmé la faille, indiquant au passage que Mozilla était au courant que ses ingénieurs travaillaient dessus.
De fait, le père de Firefox a publié cette nuit un avertissement de sécurité pour expliquer la situation. On y apprend notamment que la brèche réside dans la lecture des contenus SVG, et qu'il serait possible de concevoir des contenus malveillants en injectant le code JavaScript mentionné. Dans tous les cas, une mise à jour critique est proposée à tous les utilisateurs de Firefox, qui peuvent donc utiliser l'outil interne au navigateur pour la récupérer (ou depuis le site officiel). Tor Browser suit le mouvement et une nouvelle version 6.0.7.
Des détails troublants
Nos confrères d’Ars Technica se sont notamment entretenus avec le chercheur indépendant en sécurité TheWack0lian, qui s’est penché sur le code d’exploitation de la faille. C’est lui qui a indiqué qu’il était pratiquement identique à celui utilisé en 2013 par le FBI pour pirater les machines du réseau pédopornographique Playpen, finalement démantelé en février 2015. On rappellera que le FBI avait saisi les serveurs, mais en les laissant en ligne. Les enquêteurs avaient introduit la faille dans les pages web pour pirater les machines des inscrits au réseau.
La faille en elle-même ne peut être exploitée que sous Windows. Elle est de type dépassement de mémoire tampon et requiert que le JavaScript soit activé dans le navigateur. C’est bien entendu le cas par défaut, mais on peut le désactiver dans les options de Firefox. Selon un autre chercheur, Joshua Yabut, cette exploitation a été savamment orchestrée, car le code ajuste sa position en mémoire, en fonction de la version de Firefox, les moutures 41 à 50 étant prises en charge. En cas d’exploitation réussie, le code fait des appels à kernel32.dll, l’un des composants centraux de Windows.
Une question importante demeure néanmoins : qui se tient derrière ces attaques ? On ne le sait toujours pas. Actuellement, aucun chercheur ne semble penser que le FBI recommence avec la même technique, dans ce qui serait alors une nouvelle opération contre des serveurs cachés au sein du réseau Tor. Par contre, la méthode et le code d’exploitation sont similaires et l’inspiration est évidente.
Les éternelles problématiques autour des failles de sécurité
Le cas relance évidemment les problématiques liées à la gestion des failles de sécurité, notamment la manière dont les détails sont communiqués à l’éditeur associé. Il rappelle également la manière dont les vulnérabilités sont le fruit d’un commerce intense, une sorte de marché gris dans lequel elles sont régulièrement offertes au plus offrant.
Le cas du FBI, tout en étant emblématique, était loin d’être isolé. La NSA n’avait pas nié qu’elle collectait ces précieuses informations qui constituent autant d’armes dans son arsenal numérique. Elle était même allée jusqu’à expliquer que 91 % d’entre elles faisaient l’objet d’un communiqué auprès de l’éditeur concerné (sans préciser de timing). La Navy avait de son côté publié une annonce pour déclarer son intention d’acquérir des brèches de sécurité. Plus récemment, on se souvient de la lutte intense entre le FBI et Apple pour déverrouiller un iPhone 5c, le Bureau parvenant finalement à ses fins en achetant une faille, pour au moins 1,3 million de dollars.
Commentaires (37)
#1
Glop!
C’est bien que les chercheurs aient trouvés cette faille et l’ait signalé, on se dirige un peu plus vers un système sûr pour Tor et FF :)
Préservé l’anonymat est le rôle de TOR, si on ne peut plus lui faire confiance, ce serait dommage.
Dommage qu’il soit utilisé pour certaines mauvaises actions par contre :(
#2
Ah enfin je comprends de quoi ça parle. J’avais lu la faille 0-day hier mais tous les liens renvoyaient vers des sites en anglais et très techniques, je n’avais pas pigé de quoi il s’agissait.
" />
" />
D’ailleurs pas mal de monde appelait à abandonner Firefox pour ça, je trouve qu’ils sur-réagissent un peu… Ok c’est une faille 0-day, assez importante, mais s’il faut abandonner tout logiciel sur lequel on découvre une faille, autant arrêter d’utiliser des produits informatiques. M’enfin ça participe au firefox-bashing, c’est dans l’air du temps de dire qu’il faut âââbsolument utiliser Chrome, que Firefox consomme trop de mémoire (alors que ça s’est bien amélioré depuis des années, et que les extensions tierces sont souvent la cause de la consommation exessive). Mais je préfère utiliser un navigateur open-source, qui corrige très vite les failles (qui restent quand même assez rares), qu’un espiogiciel
Par contre il y a un truc qui m’échappe : Firefox sur Ubuntu me demande une mise à jour ce matin. Pourquoi, vu que la faille ne concerne que Windows ? Cette nouvelle version devrait avoir un code identique à la précédente si elle n’est pas concernée par le correctif
#3
Lol : Tor , le piège à cons !
Pour identifier et suivre des utilisateurs du réseau d’anonymisation Tor, le Bureau fédéral d’enquête américain (FBI) a utilisé une « vulnérabilité publiquement inconnue », selon un juge
En savoir plus surhttp://www.silicon.fr/fbi-faille-zero-day-pister-utilisateurs-tor-163973.html#QK…
Selon la presse américaine, le FBI aurait obtenu l’aide d’un ancien développeur du projet Tor pour désanonymiser les utilisateurs du réseau.
En savoir plus surhttp://www.silicon.fr/le-fbi-a-recrute-chez-tor-pour-demasquer-les-utilisateurs-…
#4
Pour les gens calomniant Firefox, c’est la même chose sur tous les produits : dès qu’un pépin important est détecté, pour certains faut boycott. Faut juste faire la part des choses (je l’ai faite en utilisant Vivaldi à la place de Firefox
" /> ).
Pour le patch sous Linux, c’est sans doute pour ne pas avoir de différence de n° de version entre les OS. Du coup, ils fournissent aussi d’autres corrections le + souvent en même temps, et ça permet d’avoir les mêmes versions pour tout le monde, donc de pouvoir mieux gérer le parc.
#5
…. il suffit de lire les spec. de Tor et son concept pour comprendre les compromissions possibles et ce , de par sa conception….
#6
C’est cool pour les distributions GNU/Linux, ça va nous ramener plein d’utilisateurs sympas (pédophiles, trafiquants…)
" />
" />
Non mais sérieusement, utiliser Tor + Windows, faut être stupide
#7
#8
La distribution Tails prend tout son sens.
#9
#10
Rien à voir, mais depuis qq temps, Firefox est affreusement lent (au démarrage) sur une machine W10/SSD à base de Pentium N3540 (4-cores). Avec juste 2 extensions : uBlock Origin et Disconnect.
" />
" />
Testé le “reset” Firefox, ou en safe mode, c’est à peine mieux…
Chrome + Edge, niquel !
#11
Donc si j’ai bien compris pour se faire avoir il faut utiliser windows
" /> et visiter un site piégé (probablement par la police car le site est illégal).
Il faut vraiment être malchanceux.
#12
#13
Peut-être que l’exécution du kernel est unique à Windows, mais le dépassement de mémoire tampon doit aussi concerner Linux non ?
#14
Va dire ça aux ex-utilisateurs de playpen, qui en plus ont déjà la malchance d’être pédo
" />.
#15
La news fait un raccourci. (ou n’a pas été mise à jour comme l’article sur laquelle elle s’appuie)
Quand on lit l’article d’Ars Technica mis en lien, on voit que la faille est présente aussi sous Linux et Mac OS X. Cet article plus récent indique même des précisions et incite à mettre à jour sans délai.
#16
merci
#17
#18
#19
La faille en elle-même ne peut être exploitée que sous Windows. Elle est de type dépassement de mémoire tampon et requiert que le JavaScript soit activé dans le navigateur. C’est bien entendu le cas par défaut, mais on peut le désactiver dans les options de Firefox
c’est totalement faux.
javascript est bien désactivé par défaut dans Tor Browser (ils sont pas stupides à ce point).
#20
La faille concerne aussi bien Windows que Max OS et Linux. C’est l’exploit qui est écrit pour Windows.
“While the payload of the exploit would only work on Windows, the vulnerability exists on Mac OS and Linux as well. “
#21
#22
#23
à noter que Thunderbird vient également d’être mis à jour suite à cette faille SVG :
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird45.5.1
#24
ouais enfin vu la faille, on se contrefout de firefox.
" />
la cible de ce style d’exploit c’est l’utilisateur de Tor, puisqu’à priori (j’ai pas vraiment fouillé non plus) elle permet de remonter l’IP réelle du terminal utilisé, donc de faciliter son identification.
avec un simple firefox pas besoin d’un exploit.
#25
#26
Non. Ne pas confondre l’exploitation connue de cette faille et les autres exploitations possibles qui pourraient viser tous les utilisateurs de FIrefox.
D’autant plus que maintenant, d’autres peuvent étudier la faille et l’exploiter.
#27
Ifrefox 50.0.1 corrige une faille critique sur HTTPhttps://www.mozilla.org/en-US/security/advisories/mfsa2016-91/
Et Firefox 50.0.2 corrige la faille sur le SVG propre à windowshttps://www.mozilla.org/en-US/security/advisories/mfsa2016-92/
Peut-être que les gars de Canonical on voulu publier le patch de Firefox 50.0.1 mais comme les failles se sont suivis en 48h d’intervalle et que la dernière est une 0-days ils ont basculé directement à la 50.0.2
#28
#29
Heureusement que JS est activé par défaut dans tous les navigateurs, c’est juste impossible d’utiliser le web de 2016 sans JS. C’est un peu comme demander à une voiture de rouler sans pneu.
#30
j’ai pas dit le contraire, je parlais de tor browser, dont le but n’est pas d’afficher tous les contenus, mais de protéger l’anonymat de celui qui l’utilise.
#31
#32
C’est Windows qui te choque dans l’histoire ? Ca serait pas plutôt JavaScript le problème dans cette histoire ?
Enfin le problème… façon de parler, si ça permet de faire tomber un réseau de pedos… mais bon je suis surpris que des utilisateurs de Tor laissent le JS actif…
#33
Sauf que dans le passage de la news que tu cites, il est question de Firefox.
Et la faille ne permet pas que de dés-anonymiser comme dans le cas ici, mais pourrait servir pour faire plein d’autres choses.
#34
#35
Merci de la précision, je n’y connais rien en Windows.
#36
Et hop encore une faille à cause d’un dépassement de mémoire tampon.. Vivement l’arrivée de langages plus safe dans les navigateurs ! Mozilla a son projet Quantum pour fin d’année prochaine, Edge n’a officiellement rien de prévu mais pas mal d’ingé issu du projet Midori y travaillent, Chrome pour l’instant pas de nouvelles non plus…