Corriger une vulnérabilité dans l’animation SVG

À environ 22 h 30 (CET/heure normale d’Europe centrale) le 30 novembre, Mozilla a publié une mise à jour de Firefox contenant le correctif d’une vulnérabilité signalée comme activement utilisée pour casser l’anonymat des utilisateurs du Tor Browser. Les copies existantes de Firefox devraient se mettre à jour automatiquement au cours des prochaines 24 heures ; les utilisateurs peuvent aussi télécharger manuellement la version à jour.

Tôt mardi 29 novembre, du code pour un exploit utilisant une vulnérabilité de Firefox précédemment inconnue a été mis à disposition de Mozilla. L’exploit a été plus tard posté sur une liste de diffusion publique du projet Tor par un autre individu. L’exploit tire avantage d’un bogue de Firefox qui permet à un attaquant d’exécuter du code arbitraire sur le système ciblé en ayant obtenu de la victime qu’elle charge une page web contenant du code JavaScript et SVG malicieux. Il utilisait cette aptitude pour collecter les adresses IP et MAC du système cible et les rapatrier vers un serveur central. Bien que la partie fonctionnelle de l’exploit ne fonctionne que sur Windows, la vulnérabilité existe aussi sur Mac OS et Linux. Davantage de détails sur la vulnérabilité et notre correctif seront publiés en conformité avec notre politique de divulgation.

Dans ce cas particulier, l’exploit fonctionne essentiellement de la même manière que la « technique d’investigation des réseaux » utilisée par le FBI pour rompre l’anonymat des utilisateurs de Tor (comme décrit par le FBI dans un affidavit). Cette similarité a amené à émettre l’hypothèse que cet exploit ait été créé par le FBI ou une autre agence de police. Pour l’heure, nous ne savons si c’est le cas. Si cet exploit a été en fait développé et déployé par une agence gouvernementale, le fait qu’il ait été publié et peut maintenant être utilisé par n’importe qui pour attaquer les utilisateurs de Firefox est une démonstration éclatante de la façon dont le hacking gouvernemental soi-disant limité peut devenir une menace pour l’ensemble du Web.


(Re)lire : Défenseurs des droits et entreprises technologiques en justice contre les fouilles électroniques secrètes



Traduction et relecture : Mozinet, Théo et Goofy