Correction express de la faille SVG liée au Tor Browser

Firefox vigilantEn début d’année, Mozilla a soutenu Apple dans son bras de fer judiciaire avec le FBI qui voulait lui faire ajouter une porte dérobée dans un modèle d’iPhone pour permettre d’en déchiffrer le contenu.

Dans une autre affaire en mai, Mozilla a demandé en vain au FBI et au juge de lui transmettre la vulnérabilité exploitée pour casser l’anonymat de l’accusé dans Tor BrowserTor Browser repose sur la version longue durée de Firefox.

Aujourd’hui, une faille 0-day, càd qui est déjà exploitée quand elle est publiquement dévoilée, fait fort penser à la faille évoquée dans cette dernière affaire. En moins de 24 heures, Mozilla a corrigé cette vulnérabilité dans Firefox et Thunderbird. Pour être sûr d’avoir la dernière version, allez dans le menu puis cliquez sur « ? » et enfin sur « À propos de… ».

La communauté Mozilla francophone a traduit pour vous l’article du blog sécurité de Mozilla qui explique la faille et sa correction dans l’urgence.

Corriger une vulnérabilité dans l’animation SVG

À environ 22 h 30 (CET/heure normale d’Europe centrale) le 30 novembre, Mozilla a publié une mise à jour de Firefox contenant le correctif d’une vulnérabilité signalée comme activement utilisée pour casser l’anonymat des utilisateurs du Tor Browser. Les copies existantes de Firefox devraient se mettre à jour automatiquement au cours des prochaines 24 heures ; les utilisateurs peuvent aussi télécharger manuellement la version à jour.

Tôt mardi 29 novembre, du code pour un exploit utilisant une vulnérabilité de Firefox précédemment inconnue a été mis à disposition de Mozilla. L’exploit a été plus tard posté sur une liste de diffusion publique du projet Tor par un autre individu. L’exploit tire avantage d’un bogue de Firefox qui permet à un attaquant d’exécuter du code arbitraire sur le système ciblé en ayant obtenu de la victime qu’elle charge une page web contenant du code JavaScript et SVG malicieux. Il utilisait cette aptitude pour collecter les adresses IP et MAC du système cible et les rapatrier vers un serveur central. Bien que la partie fonctionnelle de l’exploit ne fonctionne que sur Windows, la vulnérabilité existe aussi sur Mac OS et Linux. Davantage de détails sur la vulnérabilité et notre correctif seront publiés en conformité avec notre politique de divulgation.

Dans ce cas particulier, l’exploit fonctionne essentiellement de la même manière que la « technique d’investigation des réseaux » utilisée par le FBI pour rompre l’anonymat des utilisateurs de Tor (comme décrit par le FBI dans un affidavit). Cette similarité a amené à émettre l’hypothèse que cet exploit ait été créé par le FBI ou une autre agence de police. Pour l’heure, nous ne savons si c’est le cas. Si cet exploit a été en fait développé et déployé par une agence gouvernementale, le fait qu’il ait été publié et peut maintenant être utilisé par n’importe qui pour attaquer les utilisateurs de Firefox est une démonstration éclatante de la façon dont le hacking gouvernemental soi-disant limité peut devenir une menace pour l’ensemble du Web.


(Re)lire : Défenseurs des droits et entreprises technologiques en justice contre les fouilles électroniques secrètes



Traduction et relecture : Mozinet, Théo et Goofy

Haut de page