La situation découle d'un bug dans l'API Fetch, qui peut être exploitée pour établir une connexion permanente avec le navigateur d'une victime. Cela permettrait à un attaquant de surveiller ses activités en ligne, d'usurper son identité ou même de l'intégrer dans un réseau de machines compromises. En raison de la gravité de cette faille, plusieurs experts, notamment ceux de l'équipe de Chrome, soulignent qu'une attaque massive pourrait transformer des millions d'appareils en « PCs zombies ».
*Non corrigée depuis plus de 40 mois*, cette vulnérabilité peut être déclenchée par un simple site web malveillant. Une fois activée, elle sert de porte dérobée, permettant un accès à distance au navigateur, et ouvre ainsi la voie à des actions malveillantes, telles que des attaques par déni de service (DDoS). La chercheuse indépendante Lyra Rebane, qui a découvert ce problème, a indiqué que son exploitation est particulièrement accessible, même si un usage à grande échelle nécessiterait des ressources considérables.
Un retard inquiétant dans la correction
Alors que Google admet être conscient de la faille et travaille sur un correctif, le média Ars Technica ajoute que la faille reste très difficile à détecter. Les signes d'exploitation peuvent se manifester par des comportements étranges du navigateur, souvent interprétés comme de simples bogues. Les experts en cybersécurité mettent en garde : si on combine cette vulnérabilité avec d'autres failles, elle pourrait devenir un vecteur d'attaque majeur dans le monde numérique.
À ce jour, Firefox et Safari ne sont pas concernés par cette menace. Dans le contexte actuel, il est conseillé aux utilisateurs de rester vigilants et de mettre à jour régulièrement leurs navigateurs pour se prémunir contre de potentielles attaques futures.
