Une vulnérabilité zero-day revendiquée dans Firefox 17 a quelques utilisateurs du dernier navigateur Mozilla Firefox (Firefox 22) en haussant les épaules. En effet, pour l’instant, il semble que cette faille ne concerne pas les utilisateurs finaux réguliers et à jour de Firefox. Mais plusieurs experts affirment que la vulnérabilité a plutôt été exposée et utilisée en tandem avec un récent effort des forces de l’ordre américaines pour découvrir les véritables adresses Internet des personnes soupçonnées de naviguer sur des sites pédopornographiques via le Navigateur Tor — un outil d’anonymat en ligne propulsé par Firefox 17.
Entrée de Freedom Hosting sur la page The Hidden Wiki du réseau Tor.
Le logiciel Tor protège les utilisateurs en faisant rebondir leurs communications sur un réseau distribué de relais gérés par des bénévoles dans le monde entier. Comme le note la page d’accueil de Tor, il empêche quiconque surveille votre connexion Internet de savoir quels sites vous visitez, il empêche les sites que vous visitez de connaître votre emplacement physique et il permet aux utilisateurs d’accéder à des sites bloqués par les censeurs Internet.
Le bundle Tor Browser est également le moyen le plus simple de trouver des sites Web qui ne veulent pas être facilement supprimés, tels que le Route de la soie (alias « eBay des drogues dures ») et les sites de trafic de pédopornographie.
Le samedi 3 août 2013, Indépendant.ieun média irlandais, signalé que les autorités américaines demandaient l’extradition de Eric Eoin Marques, un homme de 28 ans de nationalité irlandaise et américaine qui aurait été surnommé par le FBI « le plus grand facilitateur de pédopornographie de la planète ». Selon l’Independent, Marques a été arrêté sur un mandat du Maryland qui comprend des accusations de distribution et de promotion de pornographie juvénile en ligne.
Le blog du projet Tor maintenant porte un poste notant qu’aux environs de minuit le 4 août « un grand nombre d’adresses de service cachées ont disparu du réseau Tor, des sites qui semblent avoir été liés à une organisation appelée Hébergement Liberté — un service d’hébergement géré sur le réseau Tor prétendument par Marques.
Les services cachés peuvent être utilisés pour exécuter une variété de services Web qui ne sont pas directement accessibles à partir d’une connexion Internet normale – des serveurs FTP et IRC aux sites Web. En tant que tel, le réseau Tor est un outil robuste pour les journalistes, les lanceurs d’alerte, les dissidents et autres qui cherchent à publier des informations d’une manière qui ne leur est pas facilement retracée.
« Il y a des rumeurs selon lesquelles une société d’hébergement de services cachés est soudainement hors ligne et/ou a été piratée et infectée par un exploit javascript », écrit « phobos », un blogueur du projet Tor. Phobos note que la ou les personnes qui gèrent Freedom Hosting ne sont en aucun cas affiliées ou connectées à The Tor Project, Inc., l’organisation coordonnant le développement du logiciel Tor et la recherche, et continue :
« Les nouvelles actuelles indiquent que quelqu’un a exploité le logiciel derrière Freedom Hosting. D’après ce que l’on sait jusqu’à présent, la violation a été utilisée pour configurer le serveur de manière à injecter une sorte d’exploit javascript dans les pages Web fournies aux utilisateurs. Cet exploit est utilisé pour charger une charge utile de malware pour infecter les ordinateurs des utilisateurs. La charge utile du logiciel malveillant pourrait essayer d’exploiter des bogues potentiels dans Firefox 17 ESR, sur lequel notre Navigateur Tor est basé. Nous enquêtons sur ces bogues et les corrigerons si nous le pouvons.
Même si la vulnérabilité revendiquée est limitée à la version 17 de Firefox, une telle faille affecterait bien plus que les utilisateurs du bundle Tor. Mozilla dit avoir été informé d’une vulnérabilité de sécurité potentielle dans Firefox 17, qui est actuellement la version de support étendu (ESR) de Firefox. L’année dernière, Mozilla a commencé à offrir un ESR annuel de Firefox pour les entreprises et autres qui ne voulaient pas suivre le nouveau cycle de publication rapide du navigateur.
« Nous enquêtons activement sur ces informations et nous fournirons des informations supplémentaires dès qu’elles seront disponibles », Michel Coatesdirecteur de l’assurance de la sécurité chez Mozilla, a écrit dans un bref article de blog ce soir.
Ofir Davidresponsable du renseignement pour une société israélienne de cybersécurité Cyberchapeau, a déclaré qu’il pensait que le code d’exploitation désormais public était en effet lié à l’arrestation de Marques. David a déclaré que quelqu’un semble avoir eu accès à Freedom Hosting et injecté code HTML malveillant qui vérifie le navigateur du visiteur pour voir s’il utilise Firefox 17. Si c’est le cas, le code redirige silencieusement le navigateur de ce visiteur vers un autre site qui génère un identifiant unique appelé « UUID ».
David a déclaré que bien que l’exploit puisse être utilisé pour télécharger et exécuter un code malveillant sur l’ordinateur du visiteur, celui qui a infiltré Freedom Hosting semble n’avoir utilisé l’exploit que pour recueillir les véritables adresses Internet des personnes visitant les sites pédopornographiques qui y sont hébergés.
« Ironiquement, tout [the malicious code] fait est d’effectuer une requête GET vers un nouveau domaine, qui est hébergé en dehors du réseau Tor, tout en transférant le même UUID », a déclaré David. « De cette façon, quiconque exécute cet exploit peut faire correspondre n’importe quel utilisateur de Tor à sa véritable adresse Internet, et donc retrouver l’utilisateur de Tor. »
Pour en savoir plus sur cette histoire en développement, consultez ce fil Reddit. Aussi, Mozilla a une entrée Bugzilla ouverte analyser le code d’exploitation.
Mise à jour, 5 août, 1 h 45 HE : Ingénierie inverse Vlad Tsrklevitch a publié une brève analyse de ce que fait l’exploit. Sa conclusion (qui semble solide) : « Parce que cette charge utile ne télécharge ni n’exécute aucune porte dérobée ou commande secondaire, il est très probable qu’elle soit exploitée par un [law enforcement agency] et non par des blackhats.
Voici également un peu plus du responsable de la sécurité de Mozilla Dan Veditz sur la vulnérabilité :
« La vulnérabilité exploitée par cette attaque a été corrigée dans Firefox 22 et Firefox ESR 17.0.7. La vulnérabilité utilisée est MFSA 2013-53
Les personnes qui utilisent les dernières versions prises en charge de Firefox ne courent aucun risque.
Bien que la vulnérabilité affecte les utilisateurs de Firefox 21 et versions antérieures, l’exploit ne cible que les utilisateurs d’ESR-17. Étant donné que cette attaque a été trouvée sur les services cachés de Tor, c’est probablement parce que le Tor Browser Bundle (TBB) est basé sur Firefox ESR-17. Les utilisateurs exécutant le TBB le plus récent disposent de tous les correctifs qui ont été appliqués à Firefox ESR 17.0.7 et n’étaient pas non plus exposés à cette attaque.
Mise à jour, 5 août, 16 h 08, HE : Kévin Poulsen sur Wired.com Remarques que, selon un recherche domaintools.coml’adresse IP utilisée par les contrôleurs du script malveillant trouvée par Tsrklevich est résolue en un espace d’adressage Verizon géré par Science Applications International Corp. (SAIC)un entrepreneur de défense américain dont le siège est à Tysons Corner, en Virginie.