Claude Mythos, la version la plus puissante de l’IA d’Anthropic, continue de faire des prouesses. Réservée aux entreprises membres du projet Glasswing, l’IA vient de débusquer une faille de sécurité dans Squid, l’un des serveurs proxy web les plus répandus au monde. Le serveur est utilisé dans des milliers d’entreprises, d’écoles et même à bord d’avions commerciaux, pour gérer le trafic internet des utilisateurs.
La faille, baptisée « Squidbleed » par les chercheurs de la société Calif.io, est apparue dans le code de Squid en 1997, il y a 29 ans. Tout découle d’une vieille fonctionnalité intégrée à Squid, à savoir la gestion du protocole FTP, un ancien système de transfert de fichiers sur internet. Dans les années 90, les développeurs avaient ajouté un petit bout de code pour que Squid fonctionne aussi avec les serveurs NetWare, un logiciel réseau très répandu dans les entreprises de l’époque. Ces serveurs affichaient la liste de leurs fichiers dans un format légèrement différent des autres. C’est ce bout de code qui a donné naissance à « Squidbleed ».
À lire aussi : Claude Mythos a piraté la « quasi-totalité des systèmes classifiés » de la NSA en « quelques heures », mais c’était un test
Une faille cachée dans un détail technique
Il y a quelques semaines, les chercheurs ont chargé Claude Mythos de scanner tout le code de Squid. Rapidement, l’intelligence artificielle a remarqué une anomalie dans la programmation du serveur proxy. Le bug se cache dans un tout petit détail technique. Lors de la lecture d’une liste de fichiers FTP, le programme utilise une instruction censée ignorer les espaces dans un texte. Malheureusement, cette instruction a un comportement inattendu quand elle atteint la fin du texte. Au lieu de s’arrêter, elle continue à avancer dans la mémoire et se met alors à lire des données qui ne lui appartiennent pas, potentiellement celles d’un autre utilisateur.
Des identifiants de connexion, des tokens de session, des mots de passe en clair peuvent ainsi être exposés à un attaquant qui exploite la vulnérabilité. C’est potentiellement une catastrophe pour les nombreux utilisateurs de Squid. Pendant des décennies, la faille est passée inaperçue. Aucun chercheur n’a jamais mis le doigt sur ce comportement imprévu. La faille a été qualifiée de « modérée » par les chercheurs. Pour l’exploiter, il faut déjà être un utilisateur légitime du proxy ciblé et contrôler un serveur FTP accessible depuis ce proxy. Le trafic HTTPS, qui représente aujourd’hui la grande majorité des connexions, n’est pas concerné par la faille de sécurité. Un correctif a été ajouté à la mise à jour Squid v7.6 pour colmater la brèche.
10 000 failles de sécurité débusquées par Mythos
Ce n’est pas la première fois que Claude Mythos débusque une faille inconnue qui gangrénait du code informatique depuis des années. L’IA a d’ailleurs retrouvé une vulnérabilité vieille de 27 ans dans le système OpenBSD, utilisé pour faire tourner des pare-feux critiques, et un bug existant depuis 16 ans dans FFmpeg, une bibliothèque vidéo utilisée sur des millions d’appareils. Depuis sa création, Mythos a déniché plus de 10 000 vulnérabilités dans des logiciels open source.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Calif
