Votre Bloqueur de Pub Peut-il Exécuter du Code Malveillant? Oui, C'est Possible

Adblock Plus Vulnerability

Voici un sujet controversé - les publicités et l'Internet. Un grand nombre des services en ligne et des sites Web que nous consultez chaque jour sont disponibles gratuitement. L'utilisation de ces services est loin d'être gratuite. En fait, les personnes qui les gèrent y consacrent beaucoup d’argent et d’efforts, et le plus souvent, les annonces affichées sur les pages représentent le seul moyen de rentabiliser leurs investissements. D'autre part, la plus grande partie des publicités sont très ennuyantes et elles peuvent même être dangereuses. C'est pourquoi les spécialistes de sécurité vous conseillent d’envisager l’utilisation d’une extension bloquant les publicités sur tous vos navigateurs web.

Comment fonctionnent les bloqueurs de publicités?

À première vue, les bloqueurs de pubs semblent être des plugins assez légers et discrets qui fonctionnent en arrière-plan pour vous offrir une expérience en ligne plus agréable. Leur mode de fonctionnement n'est pas particulièrement complexe non plus.

Lorsque vous essayez de consulter une page Web, l'extension de blocage des publicités parcourt son code source et bloque tous les scripts et adresses URL liés aux annonces publicitaires. Pour les identifier, elle utilise des listes noires mises à jour régulièrement.

Le résultat final est que vous êtes privé de la possibilité de répondre à un quiz de personnalité qui peut vous dire quel type de guacamole vous êtes. Il est aussi très important d'éviter les annonces potentiellement dangereuses.

Toutefois, pas tout le monde est heureux. Le fait que vous ne voyez aucune annonce signifie que le chèque de certaines personnes est menacé. Elles feront du mieux possible pour s'assurer que les annonces publicitaires évitent le bloqueur de pub. De temps en temps, elles parviennent à le faire, ce qui signifie que les bloqueurs de pub doivent s'adapter.

L'année dernière, par exemple, Adblock Plus, l'une des adblockers les plus populaires, a intégré une nouvelle option de filtre - $rewrite, conçue pour bloquer les annonces vidéo et les mécanismes de suivi bien positionnés qui apparaissent sur certains sites Web. Peu de temps après, AdBlock et uBlock (à ne pas confondre avec uBlock Origin), deux autres extensions basées sur Adblock Plus, ont implémenté la même fonction. Tout allait bien jusqu'à la semaine dernière, quand un chercheur en sécurité indépendant nommé Armin Sebastian a découvert une vulnérabilité dans la fonctionnalité $rewrite.

Une vulnérabilité d'exécution de code dans la fonction $rewrite d'Adblockers

La fonction principale de l'option $rewrite consiste à bloquer les annonces et le suivi des données en redirigeant les demandes. Cela peut présenter certains problèmes, pour des raisons de sécurité, les développeurs de l'extension ont conçu l'option permettant d'autoriser un type limité de redirections. Armin Sebastian a cependant découvert que, dans certaines circonstances, il est possible que certains services Web puissent être exploités pour exécuter du code arbitraire grâce à l'option $rewrite.

Et bien sûr il y a quelques conditions à respecter. Le service Web en question doit utiliser XMLHttpRequest ou Fetch pour exécuter du code, et l'origine du code doit être configurée d'une certaine manière. L'absence d'une Politique de sécurité dé contenu (Content Security Policy) ou d'une validation de l'URL de la demande avant l'exécution du code est également une condition préalable.

Sur la base de tout ce que nous avons mentionné, vous êtes peut-être d'avis qu'un grand nombre d'étoiles doivent s'aligner parfaitement pour que l'attaque fonctionne, mais selon Armin Sebastian, exploiter le bogue avec succès est « insignifiant ».

Deux facteurs contribuent à rendre la vulnérabilité particulièrement effrayante. Le premier est le grand nombre de personnes utilisant les adblockers vulnérables. Comme nous l’avons déjà mentionné, Adblock Plus est l’une des extensions les plus populaires de ce type. En ajoutant sa base d’utilisateurs au nombre de personnes ayant installé les deux autres plugins, vous constaterez qu'il existe des centaines de millions de cibles potentielles.

De plus, certains services Web très populaires, y compris Google Maps et Gmail, font l'affaire, et puisque nous parlons d'exécution de code, le nombre d'attaques possibles est pratiquement illimité. Le bug peut être configuré pour fonctionner uniquement avec des adresses IP spécifiques, ce qui signifie qu'il peut être utilisé dans des attaques hautement ciblées ainsi que dans des campagnes de type « spray and pray ».

Adblock Plus: « Ce n'est pas si grave, mais nous réglons le problème quand même ».

Le fait que Google Maps et Gmail puissent être exploités a incité Armin Sebastian à contacter le géant des moteurs de recherche avant de publier ses recherches. L'équipe de sécurité de Google lui a dit qu'elle ne souhaitait pas examiner le problème, parce que selon eux, il est enraciné dans les extensions de blocage de publicités, pas dans les services Web.

Les développeurs d'Adblock Plus étaient également un peu sceptiques. Dans leur réponse initiale, ils ont déclaré que le scénario était « très peu probable », car ils examinaient régulièrement les listes de filtres et vérifient tous les contributeurs ajoutés à ces listes. Néanmoins, ils ont dit qu'ils essaieraient de trouver une solution, et samedi, ils ont annoncé que la vulnérabilité avait été corrigée dans la dernière version de l'extension.

L'équipe de réseaux sociaux d'AdBlock a dit aux utilisateurs inquiets qu'ils travaillent sur un correctif, mais ils n'ont pas officiellement annoncé sa sortie. D'autre part, les développeurs d'uBlock n'ont pas discuté le problème.

Il est clair que les nombreux utilisateurs n'aiment pas les mises à jour, mais nous constatons également que les chercheurs en sécurité découvrent jour après jour des vulnérabilités dans les applications et les plug-ins les plus simples. C'est pourquoi, aussi ennuyeux qu'elles soient, les mises à jour automatiques de tous vos logiciels doivent être activées à tout moment.

April 23, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 5 + 7 ?