Des experts ont découvert une vulnérabilité XSS (cross-site scripting) sérieuse affectant toutes les versions bureau de l’application de sécurité préférée d’Edward Snowden, Signal.
Une vulnérabilité XSS est certes un problème pour n’importe quelle application, mais pour Signal, utilisée par ceux qui veulent les plus hauts niveaux de confidentialité, le problème est amplifié.
Un cybercriminel se faisant passer pour un contact, pourrait utiliser la faille pour envoyer un message contenant une URL malveillante, afin de mettre en place une série d’injection de code compromis, en utilisant des balises image, audio ou iFrame, ou simplement faire planter le logiciel.
L’expert Iván Ariel Barrera Oro, le co-découvreur de la vulnérabilité XSS, a expliqué comment il était tombé dessus par accident :
Le problème critique ici est qu’elle n’exigeait aucune interaction avec la victime, au-delà du simple fait de faire partie de la conversation.
Cela signifie :
Dans les iframes, tout était possible, même le chargement du code à partir d’un partage SMB ! Cela permettait à un cybercriminel d’exécuter du code distant sans se soucier de la CSP [Content Security Policy].
Il ne s’agit pas d’un chiffrement de bout en bout corrompu au niveau du logiciel, mais il aurait été certainement utile pour un cybercriminel d’essayer de tromper sa victime potentielle en lui donnant des informations sur elle-même.
Désignée sous le nom CVE-2018-10994, la vulnérabilité XSS affecte toutes les versions de bureau (Windows, Mac, Linux) mais pas les applications mobiles Android ou iOS. Les versions vulnérables sont v1.7.1, v1.8.0, v1.9.0 et v1.10.0, corrigées en passant à v1.10.1 ou à v1.11.0-beta.3.
Un aspect curieux dans la découverte de cette faille est la rapidité avec laquelle elle a été résolue : environ trois heures seulement entre le signalement et le correctif.
Après avoir étudié le fichier utilisé pour installer le correctif, les experts ont remarqué qu’il faisait partie à l’origine d’une mise à jour de la mi-avril, qui n’a pas été appliquée pour des raisons inconnues.
L’équipe patching de Signal a été occupée récemment. En avril, un expert a découvert qu’un individu avec un accès physique à un appareil utilisant la version iOS en question pouvait contourner le verrouillage de l’écran.
Il y a seulement quelques jours, une faille distincte a été découverte dans l’application de bureau Mac, dans laquelle certains messages limités dans le temps ou supprimés avaient été copiés dans le tampon de notifications.
Ensuite, il y a eu le problème majeur concernant la vulnérabilité dans le framework Electron, également utilisé par Skype, Slack, Discord et d’autres.
Peut-être que le plus gros problème pour Signal a été le changement de comportement au niveau du “domain fronting”, une technique utilisée pour rendre Signal (et d’autres applications) plus difficile à censurer au niveau des FAI.
Cela a conduit à une cessation et abstention de la part d’Amazon concernant l’utilisation d’AWS par Signal.
Les bugs peuvent être corrigés, mais lutter contre la censure reste un travail à temps plein.
Mises à jour du 18/05/2018
Le 16 mai, les mêmes experts ont révélé une autre vulnérabilité XSS :
Open Whisper Signal (aka Signal-Desktop) jusqu’à la version 1.10.1 permet du XSS via un emplacement de ressource spécifié dans l’attribut d’un élément SCRIPT, IFRAME ou IMG, conduisant à l’exécution de JavaScript après une réponse, une vulnérabilité différente de CVE-2018-10994. Le cybercriminel doit envoyer un code HTML directement sous forme de message, puis répondre à ce message pour déclencher cette vulnérabilité.
CVE-2018-11101 peut être résolue, comme la faille précédente, en mettant à niveau vers messenger-desktop messenger v1.11.
Billet inspiré de Serious XSS vulnerability discovered in Signal, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.