Une découverte facilitée par l'intelligence artificielle
L'entreprise de cybersécurité Calif a annoncé la découverte d'une vulnérabilité critique dans le proxy Squid, un logiciel libre largement utilisé pour le cache et le filtrage de trafic web. Pour parvenir à ce résultat, les chercheurs ont mobilisé un outil d'intelligence artificielle appelé Claude Mythos Preview, qui a exploré le code source à la recherche d'anomalies. L'IA a mis en évidence un comportement suspect dans le module de gestion des connexions FTP. Après analyse manuelle, les experts ont confirmé la présence d'une faille baptisée Squidbleed et identifiée sous la référence CVE-2026-47729.
Un bug vieux de 29 ans
Les investigations ont révélé que la vulnérabilité était présente dans le code dès les premières versions de Squid. Le commit responsable a été effectué le 18 janvier 1997, soit il y a près de trente ans. À l'époque, l'équipe de développement avait ajouté une gestion spéciale des serveurs FTP NetWare, un système d'exploitation réseau alors très répandu dans les entreprises. Ces serveurs formataient leurs listings de répertoires avec quatre espaces entre la date et le nom du fichier, contrairement à la norme qui n'utilise qu'un seul espace.
Pour ignorer ces espaces supplémentaires, le code utilisait une boucle fondée sur la fonction strchr. Cette fonction recherche un caractère dans une chaîne et renvoie un pointeur vers la première occurrence. Or, si la ligne de listing se termine juste après l'horodatage, sans nom de fichier, le pointeur atteint le caractère nul marquant la fin de la chaîne. strchr traite alors ce caractère nul comme un caractère valide de la chaîne et poursuit la lecture au-delà de la mémoire allouée. Ce défaut provoque une lecture hors limites dite « heap over-read », libérant potentiellement des données confidentielles.
Des conditions d'exploitation précises
Pour exploiter Squidbleed, un attaquant doit convaincre le proxy Squid de se connecter à un serveur FTP qu'il contrôle. En renvoyant un listing de répertoire spécialement conçu, le serveur malveillant déclenche la lecture excessive. Les octets situés après la fin de la chaîne légitime sont alors inclus dans la réponse HTTP générée par Squid. Ces octets peuvent correspondre à des requêtes HTTP émises par d'autres utilisateurs du proxy, stockées temporairement dans la mémoire de l'application. Des identifiants, des mots de passe, des cookies ou des jetons de session peuvent ainsi fuiter.
L'impact est toutefois limité à certaines configurations. Le trafic HTTPS, qui constitue la majorité des échanges modernes, n'est pas concerné car le proxy le relaie sous forme de tunnel CONNECT sans analyse du contenu. En revanche, les requêtes HTTP non chiffrées (pages web, formulaires, etc.) sont entièrement exposées. De plus, dans les environnements où une inspection TLS est mise en œuvre (déchiffrement puis rechiffrement du trafic), les données HTTPS deviennent également vulnérables.
Un correctif en préparation
Calif a averti les développeurs de Squid dès la découverte de la faille. Un correctif officiel est en cours de développement. En attendant, les administrateurs sont invités à prendre des mesures conservatoires. La plus efficace consiste à désactiver le support du protocole FTP dans la configuration de Squid si celui-ci n'est pas utilisé. Il est également recommandé de restreindre les connexions sortantes vers des serveurs FTP inconnus via des règles de pare-feu. Enfin, une mise à jour vers une version corrigée devra être appliquée dès qu'elle sera disponible.
Cette découverte illustre la difficulté de sécuriser des logiciels anciens et largement déployés. Le travail d'analyse assistée par intelligence artificielle ouvre une nouvelle voie pour détecter des vulnérabilités oubliées depuis des décennies. Squidbleed rejoint ainsi la liste des failles de type « fuite de mémoire » qui ont marqué l'histoire de la cybersécurité, à l'image de Heartbleed, découverte en 2014 dans OpenSSL.
