Mozilla et le réseau Tor publient une mise à jour pour Firefox et Tor Browser. Elle fournit un correctif colmatant une brèche qui sert à démasquer des utilisateurs du réseau Tor.

Vous surfez sur le web avec Firefox ? C’est le moment de mettre le navigateur à jour ! Une faille critique a en effet été repérée dans le code source du logiciel. Elle a aussi été vue sur Tor Browser, le navigateur prêt-à-l’emploi pour le réseau d’anonymisation Tor. Logique : Tor Browser utilise une version spéciale de Firefox pour permettre à ses usagers de surfer dans un haut (mais relatif) degré d’anonymat.

Détaillée sur la liste de diffusion consacrée au réseau Tor, la vulnérabilité exploite une faiblesse de JavaScript. Elle consiste, selon l’auteur du message, à utiliser un premier fichier HTML et un second en JS pour obtenir un accès à « VirtualAlloc », un élément de l’allocation de mémoire dans Firefox, via « kernel32.dll ». Elle « activement utilisée » contre les utilisateurs de Tor Browser, affirme-t-il.

Dans une discussion ouverte sur BugZilla, qui est le système de suivi des bugs de la fondation Mozilla, un utilisateur fait remarquer que cette brèche a existé dans le code source de Firefox pendant cinq ans. Si elle a été exploitée, c’est dans quel but ? Sans doute pour récupérer l’identité réelle des internautes utilisant le réseau Tor afin de se cacher aux yeux de tous, estime Ars Technica.

Toutes les plateformes — Windows, Mac et Linux — sont théoriquement touchées par la faille mais les indices amassés jusqu’à présent indiquent que seuls les systèmes d’exploitation développés par Microsoft ont été effectivement affectés, selon l’équipe en charge du développement du réseau Tor et donc de Tor Browser. De toutes les façons, la mise à jour reste hautement recommandée.

Une nouvelle version de Tor Browser est disponible depuis le mercredi 30 novembre, sous le numéro 6.0.7. Même chose pour Firefox, qui passe en version 50.0.2.

« L’exploit a profité d’un bug dans Firefox pour permettre à l’attaquant d’exécuter du code arbitraire sur le système ciblé en demandant à la victime de charger une page web contenant du code malveillant en JavaScript et SVG. Il a employé cette tactique pour collecter les adresses IP et MAC du système ciblé et les envoyer à un serveur central », note Daniel Veditz, un responsable de la sécurité chez Mozilla.

Daniel Veditz fait d’ailleurs remarquer que la brèche en question fonctionne de la même manière qu’une technique utilisée en 2013 par le FBI pour dé-anonymiser des usagers de Tor lors d’une enquête impliquant des réseaux pédopornographiques qui ont utilisé ce réseau pour essayer de se cacher des autorités. Est-ce à dire que cette nouvelle faille a été utilisée dans un but similaire ?

« Cette similitude a conduit à l’hypothèse que cet exploit a été créé par le FBI ou une autre agence travaillant pour l’État. À ce jour, nous ne savons pas si c’est le cas », commente-t-il. Mais si c’est le cas, il s’agira alors d’une « démonstration claire de la façon dont le piratage gouvernemental soi-disant limité peut devenir une menace pour tout le web », puisque la brèche concerne aussi des utilisateurs qui n’ont rien à voir.

Partager sur les réseaux sociaux

Articles liés