Une faille critique découverte dans le navigateur Arc, permettant l'exécution de code à distance
- Nadim Lefebvre
- Il y a 13 jours (Màj il y a 13 jours)
- 💬 Réagir
- 🔈 Écouter
Le navigateur web Arc, récemment débarqué sur Windows, a connu son premier incident de sécurité majeur. Une chercheuse indépendante a en effet mis au jour une vulnérabilité permettant de prendre le contrôle du navigateur d'autres utilisateurs, sans même qu'ils aient à visiter un site malveillant. Mais pas de panique, le problème a été rapidement corrigé.
Un exploit basé sur les "Arc Boosts"
La faille en question a été découverte par "xyzeva", une experte en sécurité. Elle concernait la fonctionnalité "Arc Boosts" qui permet aux utilisateurs de personnaliser n'importe quel site web avec du code CSS et JavaScript custom. Pour éviter les abus, Arc avait pris soin d'assigner chaque Boost à un identifiant utilisateur unique.
Mais en explorant cette fonctionnalité, xyzeva s'est rendu compte qu'elle pouvait modifier à sa guise cet identifiant. Il lui était alors possible d'assigner un Boost malveillant, contenant du code arbitraire, à l'identifiant d'un autre utilisateur. Quand ce dernier lançait Arc, le navigateur récupérait le Boost piégé et l'exécutait dès que l'utilisateur visitait le site ciblé.
Aucun utilisateur affecté grâce au signalement responsable
Heureusement, xyzeva étant une "white hat", elle a immédiatement signalé cette faille à l'équipe d'Arc avant d'en parler publiquement. Les développeurs ont pu corriger le problème dans la foulée et vérifier qu'aucun utilisateur n'avait été compromis, à part la chercheuse elle-même lors de ses tests.
Hursh Agrawal, CTO et co-fondateur de The Browser Company qui édite Arc, a tenu à rassurer la communauté dans un billet de blog détaillé. Il y explique les causes de cette vulnérabilité (une mauvaise configuration de Firebase, le backend utilisé par Arc) et les mesures prises pour y remédier.
Arc renforce sa sécurité et sa communication
Au-delà du correctif technique, déjà déployé, Arc compte tirer les leçons de cet incident :
- Désactivation par défaut du JavaScript dans les Boosts synchronisés
- Possibilité pour les entreprises de désactiver complètement les Boosts via les outils de gestion
- Migration progressive des fonctionnalités vers une autre backend que Firebase
- Audit de sécurité approfondi des systèmes existants
- Mise en place d'un "bulletin de sécurité" pour mieux communiquer sur ces sujets
- Recrutement d'un ingénieur sécurité senior pour renforcer l'équipe
Malgré la gravité de cette faille, la réactivité d'Arc et sa transparence sont à saluer. Espérons que cela les incitera à redoubler de vigilance alors que leur navigateur gagne en popularité. Les utilisateurs apprécieront en tout cas d'être tenus au courant de ce genre d'incidents, plutôt que d'apprendre leur existence des mois plus tard dans la presse.
Source