Mozilla et le réseau Tor publient une mise à jour pour Firefox et Tor Browser. Elle fournit un correctif colmatant une brèche qui sert à démasquer des utilisateurs du réseau Tor.Vous surfez sur le web avec Firefox ? C’est le moment de mettre le navigateur à jour ! Une faille critique a en effet été repérée dans le code source du logiciel. Elle a aussi été vue sur Tor Browser, le navigateur prêt-à-l’emploi pour le réseau d’anonymisation Tor. Logique : Tor Browser utilise une version spéciale de Firefox pour permettre à ses usagers de surfer dans un haut (mais relatif) degré d’anonymat.
Détaillée sur la liste de diffusion consacrée au réseau Tor, la vulnérabilité exploite une faiblesse de JavaScript. Elle consiste, selon l’auteur du message, à utiliser un premier fichier HTML et un second en CSS pour obtenir un accès à « VirtualAlloc », un élément de l’allocation de mémoire dans Firefox, via « kernel32.dll ». Elle « activement utilisée » contre les utilisateurs de Tor Browser, affirme-t-il.
Dans une discussion ouverte sur BugZilla, qui est le système de suivi des bugs de la fondation Mozilla, un utilisateur fait remarquer que cette brèche a existé dans le code source de Firefox pendant cinq ans. Si elle a été exploitée, c’est dans quel but ? Sans doute pour récupérer l’identité réelle des internautes utilisant le réseau Tor afin de se cacher aux yeux de tous, estime Ars Technica.
Réseau Tor
Il permet de masquer son adresse IP — la plaque d’immatriculation qui sert à identifier la machine utilisée — en faisant transiter la connexion par une série de relais. Cela permet de camoufler la localisation de l’usager. Tor n’offre pas un anonymat absolu (la preuve) mais il confère tout de même un haut degré de protection, ce qui peut servir quand on vit dans un pays autoritaire ou une dictature.
Toutes les plateformes — Windows, Mac et Linux — sont théoriquement touchées par la faille mais les indices amassés jusqu’à présent indiquent que seuls les systèmes d’exploitation développés par Microsoft ont été effectivement affectés, selon l’équipe en charge du développement du réseau Tor et donc de Tor Browser. De toutes les façons, la mise à jour reste hautement recommandée.
Une nouvelle version de Tor Browser est disponible depuis le mercredi 30 novembre, sous le numéro 6.0.7. Même chose pour Firefox, qui passe en version 50.0.2.
« L’exploit a profité d’un bug dans Firefox pour permettre à l’attaquant d’exécuter du code arbitraire sur le système ciblé en demandant à la victime de charger une page web contenant du code malveillant en JavaScript et SVG. Il a employé cette tactique pour collecter les adresses IP et MAC du système ciblé et les envoyer à un serveur central », note Daniel Veditz, un responsable de la sécurité chez Mozilla.
Daniel Veditz fait d’ailleurs remarquer que la brèche en question fonctionne de la même manière qu’une technique utilisée en 2013 par le FBI pour dé-anonymiser des usagers de Tor lors d’une enquête impliquant des réseaux pédopornographiques qui ont utilisé ce réseau pour essayer de se cacher des autorités. Est-ce à dire que cette nouvelle faille a été utilisée dans un but similaire ?
« Cette similitude a conduit à l’hypothèse que cet exploit a été créé par le FBI ou une autre agence travaillant pour l’État. À ce jour, nous ne savons pas si c’est le cas », commente-t-il. Mais si c’est le cas, il s’agira alors d’une « démonstration claire de la façon dont le piratage gouvernemental soi-disant limité peut devenir une menace pour tout le web », puisque la brèche concerne aussi des utilisateurs qui n’ont rien à voir.
Crédit photo de la une : Andri
Partager sur les réseaux sociaux
Articles liés
Lire
Le meilleur de l’actu tech est aussi sur YouTube !
Lire
Une nouvelle technique pour encore mieux sécuriser Tor
20 juin 2016
Lire
Firefox transforme les pages 404 pour les rendre utiles
08 août 2016
Lire
Firefox se mettra à jour un peu moins régulièrement
08 février 2016
Lire
Tor Browser 6.0 : le navigateur web qui protège l’anonymat évolue
31 mai 2016
Lire
Firefox s’ouvre au multi-processus pour gagner en stabilité
03 août 2016
Source: Numerama
