Pendant plus de 6 semaines, pas moins d’un milliard de publicités sur le web ont été utilisées de façon mal intentionnée afin de rediriger les internautes vers des pages web malveillantes. Un éditeur appelé eGobbler a exploité une faille informatique zero-day pendant une majeure partie de l’été, avant que celle-ci soit repérée par la société de sécurité Confiant.
La vulnérabilité est référencée depuis le 7 août dernier sous le nom de code de CVE-2019-8771. A cette date, Confiant a contacté les entreprises concernées, à savoir Apple et Google, pour leur informer l’existence de la faille sur leur moteur de recherche respectif, à savoir Safari et Chrome. Selon le rapport qui en résulte du problème et qui vient d’être révélé sur la toile, la vulnérabilité aurait été utilisée sur les iPhone et Mac de la marque à la pomme.
Une vulnérabilité zero-day utilisait les publicités sur Apple
Depuis plus de deux mois après que Google et Apple aient été mis au courant, des corrections ont été apportées. Mais entre le 7 août et la sortie d’iOS 13 et de Safari 13.01, censés apporter des mises à jour de sécurité, il aura tout de même fallu attendre plus d’un mois. Cela a donc laissé à la vulnérabilité le temps de rester longtemps sur la toile, à exploiter une faille informatique.
Cette dernière est de nature au code JavaScript et au code HTML des sites. L’éditeur eGobbler a découvert qu’une faille existait lorsque qu’un utilisateur tapait sur le clavier de son iPhone ou de son Mac. Dans les balises HTML liées aux publicités, les liens de redirections échappaient à la barrière de la « sandbox », un outil permettant à l’origine de bloquer les redirections malveillantes aux utilisateurs.
Selon le rapport de Confiant, la plupart des publicités utilisées renvoyaient ainsi vers des pages de pishing (hameçonnage), autrement dit, vers des pages cherchant à récupérer vos informations confidentielles.
Qu’est-ce qu’une vulnérabilité « zero-day » ?
Comment eGobber a-t-il réellement pu profiter de la faille informatique touchant plus d’un milliard de publicités aussi longtemps ? Si la vulnérabilité n’a pas été détectée pendant plus de 6 semaines, c’est notamment du fait de sa nature « zero-day ». Dans le monde de l’informatique, cette classification des bugs sur le web évoque les cas où aucun correctif n’est connu, et qu’un « exploit » – autrement dit une combinaison permettant d’exploiter cette vulnérabilité – est disponible et utilisé.
A l’heure actuelle, face à un nombre grandissant d’exploits permettant de profiter des plusieurs fragilités du web, l’importance de se doter d’un antivirus sur son ordinateur est grandissante. Pour vous aider dans votre choix et répondre à vos interrogations, nous vous proposons de lire notre comparatif logiciel des meilleurs antivirus.
Comments