Se faire PIRATER par une SIMPLE VISITE d’un SITE
Les amis, vous pensiez que pour vous faire pirater par une simple visite d’un site web, il fallait tout de même avoir installé une extension malveillante, ou avoir un plugin Java non mis à jour ? Oui ça fonctionne aussi, mais il est possible de se passer entièrement de toute interaction préalable, en se contentant de votre seule visite innocente.
Je vous fais une démonstration en vidéo sur Youtube (n’oubliez pas de vous abonner) :
Et tout d’un coup… boum plus rien
Imaginez que vous visitez les actualités rapidement le matin avant d’aller au travail ou à l’école… Vous avez la joyeuse surprise d’apprendre qu’il y a encore eu 10000 nouveaux cas de coronavirus hier soir, et que vous allez donc continuer à garder le masque pendant longtemps.
Mais ce n’est pas ce qui vous pose problème à l’heure actuelle, loin de là.
Ce qui vous pose problème, c’est que vous êtes bientôt en retard, et qu’à peine avoir lu la première page d’actualité, votre ordinateur est soudainement devenu lent… Un étrange programme sur fond rouge vient de se lancer pour vous dire que vos fichiers ont été chiffrés.
« Encore une mauvaise pub, c’est de plus en plus réaliste ! » – vous-dites vous, l’air encore un peu fatigué.
Seulement, vous prenez rapidement conscience de la situation, votre cœur s’emballe, car vous venez effectivement d’observer les icônes de votre Bureau qui sont toutes devenues bizarres. Les extensions finissent par « .enc », vous n’arrivez plus à ouvrir vos fichiers…
Dans la panique, après avoir commencé un scan antivirus interminable, vous éteignez tout…. vous êtes officiellement en retard et vous devrez vous occuper de cela plus tard. Vous partez, l’esprit presque serein pensant que l’antivirus se chargera de tout cela.
Mais vous ne reverrez plus jamais vos fichiers sans débourser 500€ d’ici 48h.
Voici donc un scénario catastrophique et digne d’un thriller à suspense poignant, mais qui peut pourtant être la totale réalité.
Se faire pirater par une simple visite d’un site ?
Il se trouve qu’en fin 2019, une vulnérabilité de niveau critique a été trouvée et signalée par des chercheurs de Kaspersky. Elle concerne à ce moment les versions 76/77 et 78 de Google Chrome. Celle-ci a été repérée exploitée « dans la nature », notamment sur des sites coréens qui se sont retrouvés du jour au lendemain avec un code javascript ajouté à leurs fichiers sources. Ledit code, bien chiffré (obfusqué, pour les plus techniques) permettait en fait d’exploiter une vulnérabilité dans un composant audio du navigateur web le plus populaire. Le composant ne réinitialisait pas correctement la mémoire après utilisation, laissant l’attaquant s’infiltrer dans la brèche, et lui permettant de placer son propre code dans la mémoire corrompue. Le code ayant ensuite pour objectif de récupérer un programme malveillant et de l’exécuter sur l’ordinateur de l’internaute qui visite le site infecté. Tout cela, sans aucune interaction autre que la visite.
Vous trouverez les détails sur cette vulnérabilités dans les liens ci-dessous :
- Les explications sur la faille CVE 2019-13720 ► https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
- Les détails techniques de l’exploit ► https://securelist.com/the-zero-day-exploits-of-operation-wizardopium/97086/
- Le rapport officiel de la vulnérabilité ► https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13720
- Le code source de Google Chrome qui montre la correction ► https://chromium.googlesource.com/chromium/src.git/+/6a2e670a243b815cf043f8da4d26ecb9a64d307b
Des failles partout ?
Je n’ai nullement l’intention de porter une quelconque faute sur le navigateur Google Chrome ni sur leurs développeurs.
En fait, il y a malheureusement des failles partout. Celle-ci ne sont pas dues aux systèmes en eux-mêmes, mais aux être humains. Personne n’est parfait, c’est comme essayer de dessiner une Bugatti Chiron parfaitement du premier coup (je ne parle même pas de la construire !), il est évident qu’une certaine technique, une certaine pratique, une certaine expérience est requise pour le faire sans faute. C’est la même chose avec les logiciels et systèmes que nous utilisons, et c’est précisément pour cela qu’on est tous concernés. Les plus grandes font forcément la une des médias : « il pirate Youtube, Facebook, Instagram, Windows, etc… ».
De façon assez utopiste il faut l’avouer, il faudrait détenir lesdites connaissances/compétences en amont, et se mettre dans la peau d’un pirate pour corriger la vulnérabilité. C’est facile à dire, mais avec des millions de lignes de code, des mises à jour constante dans les composants, des équipes de développeurs qui travaillent sur le même projet, et des années de développement, le travail en devient presque inhumain.
Du point de vue du reste des internautes, malheureusement l’unique solution est de faire des sauvegardes en amont, et de faire les mises à jour après-coup, le plus vite possible.
L’antivirus peut évidemment détecter ces vulnérabilités… mais… c’est à condition de les avoir justement découvertes ! Les vulnérabilités dites de « zero day » comme la CVE 2019-13720 dont nous parlons ici était uniquement connue de l’attaquant initial, et sans doute pendant des jours ou semaines.
Si demain des failles comme celle-ci devaient se cumuler, on pourrait imaginer par exemple un piratage à très grande échelle via une faille dans les publicités des sites (Google Adwords), entrainant une exécution automatique d’un logiciel malveillant chez tous les visiteurs de sites ayant de la publicité et disposant du navigateur lui-aussi faillible. Des millions, voire milliards de victimes potentielles. L’idée n’est pas pour autant de dénigrer Google ou les publicités sur Internet, mais simplement d’expliquer qu’on pourrait assister à l’avenir à un piratage à très grande échelle à cause de vulnérabilité systèmes … qui sont au final… humaines…
N’hésitez pas à donner votre avis ci-dessous !