Des chercheurs en sécurité ont démontré qu’une brique logicielle commune à des applications comme Discord, Teams ou encore Spotify embarquait une importante faille de sécurité.
Un groupe de chercheurs en sécurité a fait la découverte d’une importante faille de sécurité qui aurait pu potentiellement toucher des millions d’utilisateurs. Et c’est au cours de la Black Hat de Las Vegas, une conférence dédiée à la cybersécurité, que le groupe de chercheurs à présenté les conclusions de son travail. Ils ont en effet découvert que des applications comme Discord, Microsoft Teams, Spotify et bien d’autres, étaient toutes victimes de la même faille.
Comment est-ce possible ? Tout simplement parce que les applications de ses différents services s’appuient toutes sur Electron, un framework dédié au développement d’applications multiplate-formes s’appuyant sur les technologies web. Il s’appuie sur Chromium, la version libre de Google Chrome et est beaucoup utilisé par les développeurs, car il permet de créer très facilement des applications dont le fonctionnement repose principalement sur le Web.
Pour schématiser un peu, cette brique logicielle commune à de très nombreuses applications permet, en quelque sorte, aux développeurs d’encapsuler une WebApp dans un conteneur universel. Ce dernier pourra fonctionner sur tous les systèmes d’exploitation et offrira à l’utilisateur final un comportement est similaire à celui d’une application native.
Une faille qui aurait pu permettre aux pirates de contrôler votre machine
Les chercheurs ont donné quelques détails quant aux procédés que des pirates auraient pu utiliser pour exploiter la faille. Sur Discord, un simple lien malveillant vers une vidéo suffisait, tandis que sur Microsoft Teams, le faille devait être exploitée en invitant la victime à rejoindre une réunion. Dans les deux cas, les victimes potentielles qui auraient cliqué sur le lien malveillant auraient tout simplement permis aux pirates de prendre le contrôle de leur machine.
Pour éviter ce genre de désagrément, le groupe de chercheurs recommande aux utilisateurs d’éviter de cliquer sur les liens qui leur semblent suspects. Ils suggèrent également de privilégier l’utilisation des WebApp depuis votre navigateur Web habituel, plus sécurisés contre les pirates, plutôt que les applications basées sur Electron. Les navigateurs Web sont en effet fréquemment mis à jour, toutes les quatre semaines dans le cas de Google Chrome par exemple, avec à chaque fois de nombreux correctifs de sécurité.
Avant de dévoiler publiquement les détails de leur découverte, le groupe de chercher s’est rapproché de Github, qui développe Electron, pour leur soumettre ses trouvailles afin que les corrections nécessaires soient apportées. Cela leur a d’ailleurs permis d’être récompensés à auteur de 10 000 dollars.
Source :
Motherboard