faille zero-day
Produits et Services PRODUITS & SERVICES

Faille zero-day sérieuse dans Chrome : Google vous conseille de mettre à jour dès maintenant !

L’équipe Chrome vous incite fortement à mettre à jour votre installation car une faille zero-day récente est apparue, baptisée CVE-2019-5786, et pour laquelle un exploit semble déjà être actif.

Messages aux utilisateurs de Chrome : assurez-vous de bien avoir la dernière version.

Ou, comme l’a dit Justin Schuh, l’un des experts sécurité les plus connus de Chrome :

très sérieusement, mettez à jour Chrome sans plus attendre … disons tout de suite !  

Nous ne sommes pas de grands fans de Chrome. Pour être honnête, nous avons toujours pensé que Firefox était meilleur, à la fois en termes de forme et de fonction, mais Chrome est actuellement installé sur nos équipements, et nous pouvons vous dire que la version que vous devez utilisée est 72.0.3626.121, disponible depuis le début du mois de mars 2019.

Pour vérifier que vous êtes à jour, accédez à la fenêtre « À propos de Chrome » …, accessible à partir de la barre d’adresse en tapant l’URL spécifique : chrome://settings/help.

Cela affichera non seulement la version actuelle, mais une vérification de la mise à jour en même temps sera lancée, au cas où une mise à jour automatique récente aurait échoué ou que votre ordinateur n’ait pas récemment effectué de call-home.

La raison pour laquelle, même l’équipe Chrome s’est empressée de vous avertir en vous incitant à installer la mise à jour, est l’apparition récente d’une faille zero-day, baptisée CVE-2019-5786, et concernant laquelle Google dit “être au courant de signalements faisant état d’un exploit […] en liberté”.

Pour clarifier.

Une vulnérabilité est un bug qui cause des problèmes au niveau du logiciel de telle sorte que la sécurité de l’ordinateur s’en trouve affectée.  Un exploit est un moyen de déclencher délibérément une vulnérabilité afin de contourner un contrôle de sécurité.

Exploitable ou pas ?

Pour être clair, toutes les vulnérabilités représentent un risque, par définition, même si le pire qui puisse arriver avec un bug est de planter un programme ou de générer une multitude de messages d’erreur inattendus.

Mais de la même manière, tous les pouces sont des doigts, alors que tous les doigts ne sont pas des pouces …

…, tous les exploits proviennent de vulnérabilités, alors que toutes les vulnérabilités ne peuvent pas être transformées en exploits.

Néanmoins, certaines vulnérabilités, analysées, examinées, testées et utilisées avec suffisamment d’ingéniosité, peuvent faire beaucoup plus de dégâts qu’une simple erreur indésirable ou le plantage d’une application.

Par exemple, des attaquants peuvent faire en sorte qu’un programme se bloque de manière sournoise, laissant le logiciel actif mais en laissant aux hackers un contrôle direct sur son exécution, plutôt que de supprimer complètement le programme en laissant les attaquants devant un message d’erreur, présentant de plates excuses, et émanant du système d’exploitation.

Vous pouvez à présent comprendre pourquoi ce type d’attaque, qui repose sur un abus spécifique et perfide d’une vulnérabilité, abouti à un exploit, généralement associé à un surnom.

Une faille zero-day, pour faire simple, est une vulnérabilité que les “Bad Guys” ont réussi à exploiter avant que les “Good Guys” ne puissent la détecter et la corriger eux-mêmes.

En d’autres termes, une faille zero-day, souvent écrite 0-day, est une attaque contre laquelle même les administrateurs système les mieux informés ne disposent d’aucun délai pendant lequel ils auraient pu installer des correctifs de manière proactive.

NB : Le nom zero-day est un peu curieux, étant donné que la plupart des 0-day ne sont remarqués que plusieurs jours, voire peut-être plusieurs semaines ou mois, après que les attaquants ont commencé à les utiliser. Évidemment, plus longtemps les escrocs pourront dissimuler une faille zero-day aux chercheurs en cybersécurité, plus ils pourront en abuser dans la durée. Le terme vient de l’ancienne époque du piratage et du crackage du jeu, durant laquelle les hackers se précipitaient pour être les premiers à pouvoir se vanter d’avoir produit une version piratée. Le piratage ultime était connu sous le nom de “zero-day”, celui qui se retrouve être disponible le même jour que le produit officiel, signifie ainsi que les pirates, dès le premier jour, avait déjà un accès gratuit au jeu.  

Il est difficile de trouver des informations précises sur la faille zero-day de Chrome dénommée CVE-2019-5786, comme l’indique Google :

L’accès aux détails du bug ainsi qu’aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs ait installé la mise à jour contenant le correctif. Nous maintiendrons également ces restrictions si le bug existe dans une bibliothèque tierce dont dépendent d’autres projets, mais qui n’a pas encore été corrigée.  

Selon les notes de la version officielle, cette vulnérabilité concerne un problème de mauvaise gestion de la mémoire dans une partie de Chrome appelée FileReader.

C’est un outil de programmation qui permet aux développeurs web d’afficher facilement des menus et des boîtes de dialogue vous demandant de choisir parmi une liste de fichiers locaux, par exemple lorsque vous souhaitez choisir un fichier à télécharger ou une pièce jointe à ajouter à votre messagerie web.

Lorsque nous avons appris que la vulnérabilité était liée à FileReader, nous avons supposé que ce bug impliquerait la possibilité de lire des fichiers alors que vous n’êtes pas censé pouvoir le faire.

Ironiquement, cependant, il semble que les attaquants puissent prendre un contrôle beaucoup plus général, leur permettant ainsi de réaliser ce que l’on appelle une exécution de code à distance, ou RCE ( Remote Code Execution).

Une RCE signifie presque toujours qu’un cybercriminel peut implanter un logiciel malveillant sans avertissement, boite de dialogue ou fenêtre popup.

Vous inciter simplement à visiter une page web piégée peut suffire à permettre à des escrocs de prendre le contrôle de votre ordinateur à distance.

Quoi faire ?

Il ne semble pas y avoir de solution de contournement, mais si vous vous assurez que vous êtes à jour, vous n’en aurez pas besoin, car le bug sera alors éliminé.

Sans une vulnérabilité à exploiter, l’exploit, de toute évidence, n’existe tout simplement pas, de sorte que l’installation d’un correctif est donc l’ultime solution pour traiter ce dernier.


Billet inspiré de Serious Chrome zero-day – Google says update “right this minute”, sur Sophos nakedsecurity.