Le jeu du chat et de la souris entre développeurs de navigateurs et pirates continue. Selon Forbes, Apple va profiter de la prochaine grosse mouture de macOS pour rectifier un trou dans sa raquette utilisée par des malfrats pour accéder à des réseaux internes. Le correctif arrivera via Safari 18, qui sera également disponible pour macOS Sonoma et macOS Ventura.
Des chercheurs de la firme Oligo Security expliquent que certains pirates abusent de la façon dont les navigateurs web traitent les requêtes envoyées à une adresse IP 0.0.0.0. La technique peut permettre à un acteur malveillant d'accéder à des données privées sur le réseau interne d'un utilisateur. « Le code des développeurs et la messagerie interne sont de bons exemples de données auxquelles il est possible d'accéder immédiatement », précise le chercheur Avi Lumelsky.
La portée reste limitée étant donné qu’elle ne concerne que les particuliers et les entreprises hébergeant des serveurs web, mais le nombre de victimes potentielles reste élevé. Plusieurs attaques ont déjà été signalées. Les machines sous Windows ne sont pas touchées, Microsoft ayant choisi de bloquer 0.0.0.0 sur son système d'exploitation.
Apple a confirmé à Forbes qu’elle allait bloquer toutes les tentatives des sites web d'atteindre 0.0.0.0 dans la bêta de macOS Sequoia. Google et Mozilla cherchant eux aussi à boucher cette faille. Si Chrome devrait bientôt utiliser la même technique qu’Apple, ce scénario n’est pas forcément privilégié pour Firefox. « Imposer des restrictions plus strictes comporte un risque important d'introduire des problèmes de compatibilité », a déclaré un porte-parole de Mozilla.
