Comme rapporté dans Forbes, certains des navigateurs les plus populaires sur la planète contiennent une vulnérabilité de sécurité qui peut permettre aux pirates informatiques d’accéder aux réseaux privés des entreprises et des domiciles. La firme de cybersécurité Oligo a découvert qu’il était possible pour des attaquants d’exploiter cette vulnérabilité en envoyant des requêtes malveillantes à l’adresse IP 0.0.0.0 de la cible, ce qui leur permettait d’accéder à leur réseau interne. Cette faille exploitée le jour 0.0.0.0 touche des navigateurs tels que Chrome, Firefox et Safari. Cependant, les ordinateurs Windows ne sont pas en danger ; la vulnérabilité touche uniquement les ordinateurs utilisant macOS ou Linux. Les entreprises derrière les principaux navigateurs ont été informées de cette vulnérabilité, et la plupart ont mis en place des mesures pour bloquer l’accès via 0.0.0.0. Cependant, les utilisateurs de macOS et Linux restent actuellement vulnérables.
Si vous avez l’impression que Chrome est un vampire qui pompe des données de votre ordinateur, il existe des navigateurs alternatifs. J’ai essayé ces 7 pour trouver le meilleur. Un article de blog sur le site web d’Oligo fournit des informations sur la découverte de la vulnérabilité. Il fait référence à un rapport de bogue de 18 ans pour Firefox dans lequel un utilisateur affirmait que des sites web publics avaient pu attaquer son routeur dans le réseau interne.
Depuis lors, des efforts ont été déployés pour bloquer l’accès aux réseaux privés à partir de sites web publics. Google a introduit la spécification d’Accès au Réseau Privé (PNA) qui vise à protéger les utilisateurs contre les attaques sur les routeurs et autres appareils des réseaux privés. Cela fonctionne en restreignant les sites web publics pour qu’ils n’envoient pas de demandes à des adresses IP locales plus privées, telles que 127.0.0.1 ou 192.168.1.1. Cependant, Oligo a découvert que 0.0.0.0 n’est pas inclus dans la liste des adresses IP considérées comme privées ou locales.
Il y a de bonnes nouvelles pour les utilisateurs de Windows, cependant. La vulnérabilité ne touche que les logiciels qui tournent localement sur macOS et Linux. Les ordinateurs Windows ne sont pas vulnérables de la même manière. Oligo a pu utiliser 0.0.0.0 comme vecteur d’attaque pour exécuter l’attaque ShadowRay qui cible une vulnérabilité dans le framework Ray AI. Ainsi, Oligo a prouvé que des navigateurs tels que Safari, Firefox, Chrome et d’autres navigateurs Chromium présentent une vulnérabilité de sécurité sérieuse qui est encore en place.
Il y a de bonnes nouvelles pour les utilisateurs de Windows, cependant. La vulnérabilité ne touche que les logiciels qui tournent localement sur macOS et Linux. Les ordinateurs Windows ne sont pas vulnérables de la même manière. Lorsque Oligo a découvert l’exploit 0.0.0.0 en avril, il a communiqué les résultats aux équipes de sécurité des navigateurs concernés. La faille a été reconnue par les principales sociétés de navigateurs, et la plupart d’entre elles travaillent à apporter des modifications à leurs navigateurs pour atténuer la vulnérabilité.
Chrome déploie une modification qui bloquera l’accès à 0.0.0.0 pour tous les utilisateurs de Chrome et de Chromium. Les premiers changements ont été mis en œuvre dans Chrome 128 et devraient être finalisés d’ici Chrome 133. Pour les utilisateurs de Safari, Apple a apporté des modifications à WebKit qui bloqueront l’accès à 0.0.0.0. Ces changements devraient être mis en place dans Safari 18, actuellement disponible dans la version bêta de macOS Sequoia. Les anciennes versions de macOS pourront également être mises à niveau vers Safari 18 lors de sa sortie, garantissant la fermeture de la faille 0.0.0.0.
Cependant, si vous êtes un utilisateur de Firefox, vous pourriez devoir attendre un peu plus longtemps pour un correctif. Mozilla a indiqué à Forbes que bloquer 0.0.0.0 pourrait causer des problèmes aux serveurs utilisant cette adresse, et qu’il n’a pas encore imposé de restrictions concernant l’accès à 0.0.0.0. Cependant, des plans sont en cours pour bloquer 0.0.0.0 à l’avenir.
