C’est une erreur qui pourrait bien leur coûter leur réputation. Google a publié par erreur le code d’exploitation d’une faille qui concerne des dizaines d’utilisateurs, selon des informations relayées par BFM. La publication de ce code permettrait en fait d’exploiter cette faille qui n’a pas encore été corrigée dans Chromium, la version open source sur laquelle reposent Chrome, Microsoft Edge, Opera, Brave, Vivaldi ou encore certains navigateurs dopés à l’intelligence artificielle, comme Arc ou ChatGPT Atlas. Firefox et Safari ne sont pas concernés.
Il s’agit donc d’une vulnérabilité qui pourrait potentiellement concerner des millions d’utilisateurs. Concrètement, la faille en question est l’effet d’un bug dans l’API Fetch, qui est faite pour télécharger des fichiers en arrière-plan. Si cette faille est utilisée, elle pourrait permettre à un attaquant de construire une connexion persistante avec le navigateur, et permettre de surveiller l’activité en ligne d’un utilisateur, voire de naviguer anonymement via un proxy, ou encore lancer des attaques par déni de service.
Une faille connue depuis 2022, non corrigée
En fait, cette faille n’est pas nouvelle, au contraire, elle est connue depuis 2022. Cette année-là, elle est signalée par la chercheuse indépendante Lyra Rebane aux équipes de Chromium. Une partie des développeurs du projet la classe comme grave. Pourtant, pas de corrections depuis, quarante mois plus tard.
Pour l’exploitation de cette faille, il suffirait qu’un usager se trouve sur un site malveillant avec un script JavaScript piégé. Une fois activée, la vulnérabilité sert de porte dérobée qui permet un contrôle discret du navigateur. À plus grande échelle, elle pourrait servir à créer un réseau de machines piratées contenant des milliers d’appareils. Par ailleurs, le média spécialisé Ars Technica précise que les éventualités de cyberattaque par cette faille sont très difficiles à détecter. Elles peuvent se matérialiser par des indices difficiles à détecter, comme une fenêtre de téléchargement inhabituelle.
