Début septembre, Apple et Google ont tous les deux publié un correctif pour un important défaut de sécurité dans leurs logiciels, activement exploité par des clients du NSO Group. Le problème est en réalité beaucoup plus étendu qu'il n'y paraissait de prime abord et les deux sociétés sont critiquées sur la manière dont elles ont communiqué séparément au lieu de se concerter.
Le 8 septembre, Apple mettait à jour en urgence tous ses systèmes d'exploitation du moment (elle le fera plus tard aussi pour les plus anciens) afin de boucher une faille exploitée par des clients de NSO Group. Elle avait été découverte par le Citizen Labs de Toronto. Un défaut avait été localisé dans Image I/O, la bibliothèque système qui permet aux OS d'Apple et aux logiciels tiers de manipuler des fichiers images. Un bug rendait possible l'extraction d'informations, d'un iPhone par exemple, simplement en envoyant une image vérolée à son propriétaire et sans même que celui-ci ait à l'ouvrir.
Sécurité : NSO et Apple continuent leur jeu du chat et de la souris
Trois jours plus tard, Google corrigeait un problème similaire dans Chromium. À la différence d'Apple il mentionnait un lien avec la librairie libwebp. Les équipes d'Apple et du Citizen Labs étaient créditées pour leur aide dans cette découverte.
Toutefois, Apple et Google ont enregistré ces failles de sécurité sous deux matricules différents : CVE-2023-41064 pour la première et CVE-2023-4863 pour le second. Et dans les deux cas, ils les ont liées à leurs produits (systèmes d'exploitation d'un côté, navigateur web de l'autre) plutôt qu'à la véritable origine du problème, à savoir la librairie libwebp qui décode le format d'image WebP. Google la cite, mais d'une manière qui laisse penser que c'est Chrome qui en faisait un usage maladroit.
Il eut été plus judicieux de pointer le véritable fautif expliquent les chercheurs en sécurité de Rezilion qui ont de forts soupçons sur le fait que ces failles partagent en réalité la même origine. Ni Apple, Ni Google, ni le Citizen Labs ne l'ont confirmé.
Car la librairie libwebp et ses différentes versions sont utilisées par un très large spectre d'applications et de système d'exploitation. Electron s'en sert également et, lui-même, est à la base de quantité d'applications. Cela va de Teams chez Microsoft à l'utilitaire Option+ de Logitech en passant par 1Password, Visual Studio Code, Notion, Skype, Signal, Twitch, Slack, Tidal, Bitwarden, etc… comme le détaille Ars Technica.
Google a déclaré que sa priorité allait à la correction de Chromium pour ceux qui l'utilisent. Et qu'il lui était impossible de savoir comment les autres éditeurs exploitaient le format WebP dans leurs logiciels. Mais pas d'explications sur l'absence de référence plus explicite à libwebp comme premier vecteur de la faille.
Identifier la souche exacte de ce bug de sécurité aiderait davantage les développeurs et chercheurs qui utilisent des outils automatisés pour ces vérifications. Dans le cas présent, s'ils se reposent sur une version corrigée de Chromium, par exemple, ils peuvent s'estimer hors de danger. Mais si leur logiciel utilise par ailleurs une version ancienne de libwebp, ils seront toujours confrontés à cette faille, sans le savoir.
