{"id":554883,"date":"2023-01-12T09:44:23","date_gmt":"2023-01-12T11:44:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-experts-detaillent-la-faille-de-securite-du-navigateur-chromium-mettant-en-danger-les-donnees-confidentielles\/"},"modified":"2023-01-12T09:44:25","modified_gmt":"2023-01-12T11:44:25","slug":"des-experts-detaillent-la-faille-de-securite-du-navigateur-chromium-mettant-en-danger-les-donnees-confidentielles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-experts-detaillent-la-faille-de-securite-du-navigateur-chromium-mettant-en-danger-les-donnees-confidentielles\/","title":{"rendered":"Des experts d\u00e9taillent la faille de s\u00e9curit\u00e9 du navigateur Chromium mettant en danger les donn\u00e9es confidentielles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du navigateur \/ S\u00e9curit\u00e9 des donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des d\u00e9tails sont apparus sur une vuln\u00e9rabilit\u00e9 d\u00e9sormais corrig\u00e9e dans Google Chrome et les navigateurs bas\u00e9s sur Chromium qui, si elle \u00e9tait exploit\u00e9e avec succ\u00e8s, aurait pu permettre de siphonner des fichiers contenant des donn\u00e9es confidentielles.<\/p>\n<p>&#8220;Le probl\u00e8me venait de la mani\u00e8re dont le navigateur interagissait avec <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Symbolic_link\" target=\"_blank\">liens symboliques<\/a> lors du traitement de fichiers et de r\u00e9pertoires&#8221;, a d\u00e9clar\u00e9 le chercheur d&#8217;Imperva, Ron Masas <a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/blog\/google-chrome-symstealer-vulnerability\/\" target=\"_blank\">m&#8217;a dit<\/a>.  &#8220;Plus pr\u00e9cis\u00e9ment, le navigateur n&#8217;a pas correctement v\u00e9rifi\u00e9 si le lien symbolique pointait vers un emplacement qui n&#8217;\u00e9tait pas destin\u00e9 \u00e0 \u00eatre accessible, ce qui a permis le vol de fichiers sensibles.&#8221;<\/p>\n<p>Google a caract\u00e9ris\u00e9 le probl\u00e8me de gravit\u00e9 moyenne (CVE-2022-3656) comme un cas de validation insuffisante des donn\u00e9es dans le syst\u00e8me de fichiers, <a rel=\"nofollow noopener\" href=\"https:\/\/chromereleases.googleblog.com\/2022\/10\/stable-channel-update-for-desktop_25.html\" target=\"_blank\">lib\u00e9ration<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/chromereleases.googleblog.com\/2022\/11\/stable-channel-update-for-desktop_29.html\" target=\"_blank\">correctifs<\/a> pour cela dans les versions 107 et 108 sorties en octobre et novembre 2022.<\/p>\n<p>Surnomm\u00e9e SymStealer, la vuln\u00e9rabilit\u00e9, \u00e0 la base, est li\u00e9e \u00e0 un type de faiblesse connu sous le nom de suivi de lien symbolique (alias symlink), qui <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/61.html\" target=\"_blank\">survient<\/a> lorsqu&#8217;un attaquant abuse de la fonctionnalit\u00e9 pour contourner les restrictions du syst\u00e8me de fichiers d&#8217;un programme afin d&#8217;op\u00e9rer sur des fichiers non autoris\u00e9s.<\/p>\n<p>Imperva&#8217;s <a rel=\"nofollow noopener\" href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=1345275\" target=\"_blank\">une analyse<\/a> du m\u00e9canisme de gestion de fichiers de Chrome (et par extension Chromium) a constat\u00e9 que lorsqu&#8217;un utilisateur faisait glisser et d\u00e9posait directement un dossier sur un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/HTML\/Element\/input\/file\" target=\"_blank\">\u00e9l\u00e9ment d&#8217;entr\u00e9e de fichier<\/a>le navigateur a r\u00e9solu tous les liens symboliques de mani\u00e8re r\u00e9cursive sans pr\u00e9senter d&#8217;avertissement.<\/p>\n<p>Lors d&#8217;une attaque hypoth\u00e9tique, un acteur mena\u00e7ant pourrait amener une victime \u00e0 visiter un faux site Web et \u00e0 t\u00e9l\u00e9charger un fichier d&#8217;archive ZIP contenant un lien symbolique vers un fichier ou un dossier pr\u00e9cieux sur l&#8217;ordinateur, comme des cl\u00e9s de portefeuille et des informations d&#8217;identification.<\/p>\n<p>Lorsque le m\u00eame fichier de lien symbolique est t\u00e9l\u00e9charg\u00e9 sur le site Web dans le cadre de la cha\u00eene d&#8217;infection &#8211; par exemple, un service de portefeuille cryptographique qui invite les utilisateurs \u00e0 t\u00e9l\u00e9charger leurs cl\u00e9s de r\u00e9cup\u00e9ration &#8211; la vuln\u00e9rabilit\u00e9 pourrait \u00eatre exploit\u00e9e pour acc\u00e9der au fichier r\u00e9el stockant la phrase cl\u00e9 en traversant le lien symbolique.<\/p>\n<p>Pour le rendre encore plus fiable, une preuve de concept (PoC) con\u00e7ue par Imperva utilise la ruse CSS pour modifier la taille de l&#8217;\u00e9l\u00e9ment d&#8217;entr\u00e9e du fichier de sorte que le t\u00e9l\u00e9chargement du fichier est d\u00e9clench\u00e9 quel que soit l&#8217;endroit o\u00f9 le dossier est d\u00e9pos\u00e9 sur la page, efficacement permettant le vol d&#8217;informations.<\/p>\n<p>&#8220;Les pirates informatiques ciblent de plus en plus les individus et les organisations d\u00e9tenant des crypto-monnaies, car ces actifs num\u00e9riques peuvent \u00eatre tr\u00e8s pr\u00e9cieux&#8221;, a d\u00e9clar\u00e9 Masas.  &#8220;Une tactique courante utilis\u00e9e par les pirates consiste \u00e0 exploiter les vuln\u00e9rabilit\u00e9s des logiciels [&#8230;] afin d&#8217;acc\u00e9der aux portefeuilles cryptographiques et de voler les fonds qu&#8217;ils contiennent.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/experts-detail-chromium-browser.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 du navigateur \/ S\u00e9curit\u00e9 des donn\u00e9es Des d\u00e9tails sont apparus sur une vuln\u00e9rabilit\u00e9 d\u00e9sormais corrig\u00e9e dans Google Chrome et les navigateurs bas\u00e9s sur Chromium qui, si elle \u00e9tait exploit\u00e9e avec succ\u00e8s, aurait pu permettre de siphonner des fichiers contenant des donn\u00e9es confidentielles. &#8220;Le probl\u00e8me venait de la mani\u00e8re dont le navigateur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":554884,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[114970,4168,45113,4158,4165,4161,1572,133,38951,1343,692,9048,4157,4159,4171,4170,65,4167,27565,4160,1281,4163,4162,1835,4172,4169,4166,4164],"class_list":["post-554883","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chromium","tag-comment-pirater","tag-confidentielles","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-danger","tag-des","tag-detaillent","tag-donnees","tag-experts","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mettant","tag-mises-a-jour-de-la-cybersecurite","tag-navigateur","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/554883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=554883"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/554883\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/554884"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=554883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=554883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=554883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}