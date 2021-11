Un groupe de chercheurs a découvert une vulnérabilité qui pourrait être fatale pour l’ensemble d’Internet s’il ne commence pas à prendre des mesures sous la forme de mises à jour, de correctifs et d’améliorations de la sécurité.

Pratiquement tous les compilateurs sont vulnérables à une attaque dans laquelle un pirate informatique peut introduire des vulnérabilités spécifiques dans n’importe quel logiciel sans être détecté, prévient une nouvelle recherche publiée aujourd’hui.

La divulgation de la vulnérabilité a été coordonnée avec plusieurs organisations pour avertir à temps de cette faille alors que nombre de ces sociétés publient des mises à jour pour corriger la faille de sécurité.

Des chercheurs de l’Université de Cambridge ont découvert une faille qui affecte la plupart des compilateurs de code informatique et de nombreux environnements de développement de logiciels.

La faille se produit dans un composant de la norme d’encodage de texte numérique Unicode, qui permet aux ordinateurs d’échanger des informations quelle que soit la langue utilisée.

Actuellement, Unicode définit plus de 143 000 caractères dans 154 langues différentes (plus de nombreux jeux de caractères non dactylographiques comme les emojis).

En concreto, el punto débil tiene que ver con el algoritmo bidireccional o Bidi de Unicode, que gestiona la visualización de textos que incluyen escrituras mixtas con diferentes órdenes de visualización, como el árabe -que se lee de derecha a izquierda- y el inglés ( de gauche à droite).

Mais les systèmes informatiques ont besoin d’un moyen déterministe pour résoudre les conflits de directionnalité dans le texte. A cet effet, l’override Bidi a été créé, qui permet de faire lire le texte de gauche à droite de droite à gauche, et vice versa.

Les remplacements de bidis permettent d’afficher même les caractères à tiret unique dans un ordre différent de celui de leur encodage logique. Comme le soulignent les chercheurs, ce fait a déjà été exploité pour dissimuler les extensions de fichiers de programmes malveillants diffusés par courrier électronique.

Le problème est le suivant: La plupart des langages de programmation vous permettent de mettre ces substitutions Bidi dans les commentaires et les chaînes. C’est mauvais car la plupart des langages de programmation autorisent les commentaires dans lesquels tout le texte – y compris les caractères de contrôle – est ignoré par les compilateurs et les interprètes.

L’intelligence artificielle a des utilisations infinies. L’un des plus intéressants concerne l’amélioration de la sécurité. Des informaticiens de l’Université de Boston ont développé une intelligence artificielle qui localise les failles dans les logiciels que les cybercriminels utilisent pour attaquer.

Ce qui signifie qu’ils peuvent utiliser dans un code source qui semble inoffensif pour un examinateur humain et le transformer en cauchemar.

Et c’est une mauvaise nouvelle pour des projets comme Linux et Webkit, qui acceptent les contributions de personnes aléatoires, les soumettent à une révision manuelle, puis les intègrent dans du code critique. Cette vulnérabilité est, d’après ce que disent les experts, très grave.

Le document de recherche, qui a baptisé la vulnérabilité Trojan Source, souligne que bien que les commentaires et les chaînes aient une sémantique syntaxique spécifique qui indique leur début et leur fin, ces limites ne sont pas respectées par les remplacements de Bidi.