Régulièrement de vieilles failles sont dénichées par des chercheurs. Celle trouvée par un expert de l’entreprise de cybersécurité Oglio est originale par sa longévité, 18 ans (les dernières traces du bug datent de 2006). Il va présenter sa trouvaille à l’occasion de la Def Con de Las Vegas. La faille touche les navigateurs Safari d’Apple, Chrome de Google et Firefox de Mozilla.
Elle concerne une adresse IP qui a une fonction particulière. Les terminaux connectés à Internet utilisent des adresses IP pour l'identification des terminaux et de leur emplacement, et l'adresse IP 0.0.0.0 est utilisée dans des circonstances spécifiques : elle sert généralement d'adresse de remplacement le temps que l’adresse IP réelle soit disponible.
Apple et Google en mode correctif, Mozilla en mode réflexion
Le spécialiste d’Oglio a découvert que des cybercriminels exploitent le traitement par Safari, Chrome et Firefox des requêtes à une adresse IP 0.0.0.0. Selon Forbes qui s’est fait l’écho de ce bug, les navigateurs envoient les requêtes « à d'autres adresses IP, y compris 'localhost', un serveur sur un réseau ou un ordinateur généralement privé et souvent utilisé pour tester du code en cours de développement ». Un cybercriminel peut envoyer une requête à cette adresse pour obtenir des données privées.
Apple a rapidement pris les devants en indiquant au quotidien américain que Safari dans macOS Sequoia bloquera tout site web tentant de contacter l'adresse IP 0.0.0.0. Le correctif étant basé sur Safari et non sur le système d'exploitation, il sera inclus dans Safari 18 lorsqu'il sera disponible pour les anciennes versions de macOS, dont Sonoma et Ventura. Google a publié un billet de blog expliquant qu’elle fera la même chose avec Chrome. Par contre Mozilla ne prévoit pas de bloquer les requêtes 0.0.0.0 dans son navigateur Mozilla, mais l'entreprise étudie la question, souligne Forbes.
Commentaire