En fin août dernier, The Browser Company, créateur du navigateur Arc très apprécié sur Mac, a identifié une vulnérabilité de sécurité majeure. Ce problème pouvait potentiellement permettre une exécution de code à distance sur les ordinateurs d’autres utilisateurs, le tout sans interaction directe. La société a rapidement appliqué un correctif et a récemment partagé des détails sur cette faiblesse de sécurité.
L’Incident
D’après les informations fournies par The Browser Company, aucun utilisateur n’a été affecté par cette vulnérabilité. Il n’est donc pas nécessaire de mettre à jour Arc pour bénéficier de la protection. Cette situation est qualifiée par l’entreprise de premier incident sérieux de sécurité depuis le lancement du navigateur.
Un chercheur en sécurité, xyz3va, a signalé ce problème en privé, et vous pouvez consulter son rapport détaillé. En résumé, Arc propose une fonctionnalité appelée Boost, qui permet aux utilisateurs de personnaliser les sites web avec leur propre CSS et JavaScript. Bien que l’entreprise ait conscience des risques associés au partage de JavaScript personnalisé, elle n’avait jamais officiellement permis aux utilisateurs de partager ces Boosts contenant du JavaScript.
Malheureusement, Arc stockait les Boosts personnalisés avec JavaScript sur ses serveurs, permettant une synchronisation entre dispositifs. De plus, la configuration de leur backend Firebase était défaillante, ce qui donnait la possibilité de modifier l’ID d’un boost après sa création.
Ce souci de sécurité devenait critique, car si un utilisateur parvenait à obtenir l’ID d’un autre, il pouvait changer cet ID associé au boost, entraînant ainsi une synchronisation vers l’ordinateur de ce dernier. Une situation préoccupante.
Plusieurs moyens permettaient d’accéder à l’ID d’un autre utilisateur, tels que :
- Récupérer son lien d’invitation, qui contenait son ID
- Vérifier les Boosts publiés, renfermant également son ID
- Consulter un easel partagé, où l’ID pouvait aussi être révélé
Il est crucial de rappeler que cette vulnérabilité n’a jamais été exploitée. Cependant, le risque était réel, et The Browser Company prend des mesures pour prévenir d’éventuels problèmes à l’avenir.
Les Mesures Prises
Désormais, JavaScript sera désactivé par défaut dans les Boosts synchronisés, empêchant ainsi de futures attaques similaires. Les utilisateurs devront activer explicitement les scripts personnalisés sur d’autres appareils.
Par ailleurs, The Browser Company prévoit de migrer vers une autre solution que Firebase pour les nouvelles fonctionnalités et produits, tout en intégrant des mesures de sécurité dans les notes de version d’Arc, renforçant ainsi la transparence.
La société envisage également d’accroître ses équipes de sécurité, avec la récente embauche d’un nouvel ingénieur spécialisé.
Le chercheur à l’origine de cette découverte a reçu une prime de sécurité de 2000€, un geste qui n’était pas une pratique habituelle pour The Browser Company. Cependant, à l’avenir, ils souhaitent établir un processus plus clair concernant les primes.