Fin août, The Browser Company, connue pour son navigateur Mac Arc, a confronté une vulnérabilité de sécurité majeure. Cette faille aurait permis l’exécution à distance de code sur des ordinateurs d’autres utilisateurs sans interaction directe. Alertée, l’entreprise a rapidement mis en place un correctif. Les détails de cette vulnérabilité ont été diffusés la semaine dernière.
Mise à jour du 28 septembre : En une semaine, The Browser Company a résolu un certain nombre de problèmes de sécurité. Josh Miller, le PDG, a partagé sur Twitter les modifications apportées, incluant le lancement d’un programme de récompenses pour les bugs, et la publication de nouvelles informations de sécurité.
De plus, la récompense prévue pour le chercheur xyz3va a été augmentée de €2,000 à €20,000, tandis que le PDG lui a proposé un poste potentiel. Découvrez tous les détails ci-dessous :
L’incident
La société a confirmé que cette vulnérabilité n’a pas compromis la sécurité des utilisateurs, et qu’aucune mise à jour d’Arc n’est nécessaire. Cette situation est qualifiée par l’entreprise de « première véritable incident de sécurité dans l’histoire d’Arc ».
Le chercheur xyz3va a signalé le problème en privé, et ce dernier a élaboré un compte-rendu complet sur la situation. En substance, Arc propose une fonctionnalité appelée Boost, permettant aux utilisateurs de personnaliser les sites web via leur propre CSS et JavaScript. L’entreprise était consciente des risques, n’autorisant jamais le partage officiel de Boosts contenant du JavaScript personnalisé. Cependant, un point faible dans ce système a été découvert.
Arc enregistrait toujours les Boosts personnalisés contenant du JavaScript sur ses serveurs pour une synchronisation multi-appareils. Ils utilisaient Firebase pour certaines fonctionnalités, mais une mauvaise configuration de Firebase a permis de modifier l’ID créateur d’un Boost après sa création.
Cela posait un réel problème ; si un utilisateur parvenait à obtenir l’ID d’un autre, il pouvait changer l’ID lié au Boost, le synchronisant alors sur l’ordinateur de cet utilisateur. Un scénario peu réjouissant.
Plusieurs techniques permettaient d’accéder à l’ID d’un utilisateur, notamment :
- Obtenir leur lien de parrainage, qui contenait leur ID.
- Vérifier s’ils avaient publié des boosts, révélant également leur ID.
- Consulter un easel partagé (une sorte de tableau blanc), où l’ID était également visible.
Il est essentiel de souligner que cette faille n’a pas été exploitée. Néanmoins, son existence soulève de sérieuses préoccupations et The Browser Company s’engage à renforcer sa sécurité.
Les mesures prises
Pour sécuriser la situation, JavaScript sera désormais désactivé par défaut sur les Boosts synchronisés, afin d’éviter la répétition de telles attaques. Les utilisateurs devront activer manuellement le JavaScript personnalisé sur d’autres appareils.
En parallèle, The Browser Company prévoit de quitter Firebase pour les nouvelles fonctionnalités et produits, tout en ajoutant des mesures de sécurité aux notes de mise à jour d’Arc pour une meilleure transparence.
La société ambitionne également d’étoffer son équipe de sécurité, avec le recrutement d’un nouvel ingénieur spécialisé récemment.
Enfin, le chercheur ayant signalé ce problème a reçu une récompense de €2,000, une pratique peu commune. À l’avenir, The Browser Company souhaite établir des protocoles clairs pour les récompenses.