Le mode headless de Chrome et Firefox : nouveau souci de sécurité ?

Un mode headless est proposé dans le navigateur web Google Chrome depuis la version 59. Il permet de piloter le butineur et d’en récupérer les résultats, sans devoir ouvrir de fenêtre. Un outil très pratique pour les tests unitaires opérés par les développeurs web. Ce procédé devrait bientôt s’inviter dans le navigateur web Firefox 56, prévu pour juillet.

Mais cette technique pourrait bien intéresser aussi les pirates. C’est du moins ce que pense l’expert en sécurité Martijn Grooten, qui exprime ses craintes dans les colonnes de Bleeping Computer.

Il rappelle que les pirates ont déjà utilisé des outils headless pour spammer des forums. Par exemple la solution PhantomJS. Toutefois, ces applications restent assez lourdes et ne sont pas installées sur les PC de tout un chacun… même si certaines alternatives légères comme wget peuvent être utilisées pour mener certains types d’attaques, en simulant un navigateur web classique.

De nouveaux malwares en vue

Avec l’arrivée du mode headless dans Chrome et Firefox, les pirates pourront concevoir des malwares capables de s’appuyer directement sur ces deux butineurs pour lancer diverses formes d’attaques : fraude au clic, spam de forums et réseaux sociaux, flood massif de sites web, etc.

Et avec la certitude de toucher un grand nombre de machines. Sur les trente derniers jours, Chrome dispose en effet de 63,28 % de parts de marché sur les PC et Firefox de 14,06 %. À eux deux, ils couvrent donc trois quarts des PC classiques.

À lire aussi :

Le butineur anti-tracking Firefox Focus arrive sous Android
Coup de boost pour Firefox sur les machines multicœurs
Google confirme l’arrivée d’un AdBlocker partiel dans Chrome

Crédit photo : © Ben Chams – Fotolia