Un bug déjà corrigé le mois dernier par The Browser Company, mais qui soulève de nombreuses interrogations sur la capacité de la start-up à assurer la sécurité de ses usagers.
Présenté comme révolutionnaire à sa sortie en 2022, l’un des premiers à adopter des fonctionnalités d’intelligence artificielle pour améliorer le confort de navigation, Arc a depuis quelques mois des difficultés à rester à flot face à une concurrence féroce de la part de mastodontes (Edge, Chrome) qu’il a inspirés. Et cette faille béante dans sa sécurité ne va rien faire pour redorer son image.
Que s’est-il passé avec Arc ?
En fin de semaine dernière, un chercheur en cybersécurité a révélé une vulnérabilité « catastrophique » au sein du code d’Arc, permettant à des acteurs malveillants d’injecter du code très facilement dans le logiciel de leurs victimes. Une porte dérobée laissée grande ouverte, d’après xyz3va (le pseudonyme du chercheur), qui a toutefois été fermée à double tour fin août dernier, affirme The Browser Company dans un billet de blog.
Le nœud du problème réside dans les Boosts, une fonctionnalité permettant à tout un chacun de personnaliser n’importe quel site web en bloquant certains éléments, changeant la police ou encore la couleur de l’arrière-plan, puis de sauvegarder ces paramètres afin qu’ils s’affichent à chaque nouvelle visite. D’après le chercheur, cette fonctionnalité laisse apparaître en clair le « creatorID » de chaque internaute et permet à des pirates de se faire passer pour eux sans encombre.
“Aucun utilisateur affecté”
Cette faille, baptisée « CVE-2024-45489 », est attribuable à une mauvaise configuration de l’implémentation d’une base de données dans le service tiers Firebase, qu’utilise The Browser Company pour stocker les données des Boosts. L’entreprise l’affirme cependant : aucun utilisateur n’a été affecté par cette vulnérabilité.
« Nous utilisons Firebase comme back-end pour certaines fonctionnalités d’Arc, et nous l’utilisons pour rendre les Boosts persistants, pour les partager et pour la synchronisation entre les appareils. Malheureusement, nos ACLs Firebase (Access Control Lists, la façon dont Firebase sécurise les terminaux) étaient mal configurées, ce qui permettait aux utilisateurs de Firebase de changer le creatorID d’un Boost après qu’il ait été créé. Cela permettait à n’importe quel Boost d’être assigné à n’importe quel utilisateur (à condition d’avoir son identifiant), et donc de l’activer pour lui, ce qui conduisait à l’exécution de CSS ou JS personnalisés sur le site web sur lequel le Boost était actif. »
The Browser Company
Un bug corrigé le lendemain de sa découverte, affirme le chercheur sur son blog, qui encourage The Browser Company à commander un audit de leur infrastructure Firebase afin d’éviter tout autre problème. Aussi, xyz3va a mis le doigt sur une pratique inquiétante allant à l’encontre des promesses de confidentialité d’Arc : les Boosts permettent à l’entreprise de savoir exactement quel site chaque internaute visite.
Un point sur lequel l’entreprise souhaite également faire amende honorable, et qui est lui aussi désormais corrigé dans la version actuelle du navigateur, disponible depuis peu sur Windows. Par ailleurs, seuls les ordinateurs semblent avoir été victimes de cette faille. L’application Arc Search, qui opte pour une méthode de navigation un peu différente, n’est pas concernée par les Boosts.