Squidbleed : une fuite mémoire passée inaperçue pendant 30 ans25 juin 2026 / PAR VINCENT LAUTIER / 3 MIN DE LECTURE /Catégories connexes Écouter cet article ~ 3 minCe qu’il faut retenirSquidbleed (CVE-2026-47729), une fuite mémoire dans le proxy open source Squid, est restée cachée pendant 30 ans. Un attaquant autorisé à passer par le proxy peut récupérer les requêtes HTTP en clair d'autres utilisateurs, avec mots de passe, clés d'API et cookies.Le bug provient d'une rustine de 1997 pour gérer des serveurs FTP NetWare : la fonction strchr retourne un pointeur valide au lieu de NULL, causant un débordement de tampon qui expose les données d'autres utilisateurs stockées en mémoire voisine.Claude Mythos Preview d'Anthropic a découvert la faille en explorant le comportement complet de la machine à états FTP. Squid 7.6, sorti le 8 juin, ajoute la vérification manquante, ou il suffit de désactiver le support FTP.Résumé généré par IAUne faille très bien planquée dans le code depuis 1997, vient seulement d'être corrigée.
Elle s'appelle Squidbleed, référencée comme CVE-2026-47729, et elle touche Squid, un serveur proxy open source que des entreprises, des écoles et des fournisseurs d'accès utilisent depuis des lustres pour mettre en cache, filtrer et surveiller le trafic réseau qui transite chez chez eux.Et ça fuite fort en fait. Un individu malveillant, qui serait déjà autorisé à passer par le même proxy, peut récupérer la requête HTTP en clair d'un autre utilisateur, avec tout ce qu'elle transporte au passage : mots de passe, clés d'API, cookies de session, et j'en passe. De quoi se faire passer pour la victime sans jamais avoir eu à connaître son mot de passe.
Les chercheurs parlent d'un cousin de Heartbleed, la grande fuite mémoire de 2014, sauf que celle-ci vise spécifiquement le trafic non chiffré, l'HTTPS restant à l'abri dans son tunnel.Comment un bug pareil a-t-il pu survivre presque trente ans de relectures ? Tout part d'une rustine ajoutée en 1997 pour gérer de vieux serveurs FTP NetWare qui bourraient leurs listings d'espaces en trop. Le code de Squid saute ces espaces dans une boucle.
Sauf que voilà, quand le serveur d'en face ne renvoie aucun nom de fichier après l'horodatage, la fonction strchr, censée signaler la fin de la chaîne de caractères, renvoie en fait un pointeur valide au lieu du NULL que tout le monde attendait. La boucle continue, déborde du tampon mémoire et recrache au passage des morceaux de mémoire voisine, là où dormait justement la requête d'un autre internaute.L'ironie, c'est que cette zone n'est jamais remise à zéro avant d'être réutilisée. Un tampon de 4 Ko qui contenait il y a un instant la requête d'une victime en garde donc l'essentiel, prêt à repartir vers l'attaquant comme s'il s'agissait d'un banal nom de fichier.La découverte, elle, dit quelque chose de l'époque.
Lam Jun Rong, chercheur chez Calif.io, n'a pas trouvé la faille tout seul : il bossait lui aussi avec Claude Mythos Preview, l'outil d'IA d'Anthropic qui a fini par être désactivé. En lui demandant d'explorer le comportement complet de la machine à états FTP, l'IA a mis le doigt sur ce cas tordu de strchr, en citant de mémoire la norme du langage C. Comme elle a avalé tout le standard, ce piège pourtant connu n'était pour elle qu'un fait parmi d'autres.
Peu de développeurs humains auraient parié là-dessus, ce qui explique sans doute comment un bug d'une seule ligne a traversé trente ans de revue de code.Côté correctif, Squid 7.6 est sorti le 8 juin et ajoute la vérification qui manquait. Vous pouvez aussi tout simplement couper le support FTP, dont plus personne ne se sert vraiment depuis que les navigateurs l'ont abandonné. Le bug avait été signalé dès avril.Bref, encore une faille prise en charge par une IA, ça devient une habitude.Source : https://blog.calif.io/p/squidbleed-cve-2026-47729https://www.theregister.com/security/2026/06/23/mythos-discovers-squidbleed-a-memory-leak-thats-gone-undetected-since-clinton-era/5260367 Ajouter Korben à messources préféréesRéférenceshttp://calif.io/https://blog.calif.io/p/squidbleed-cve-2026-47729https://www.theregister.com/security/2026/06/23/mythos-discovers-squidbleed-a-memory-leak-thats-gone-undetected-since-clinton-era/5260367Cet article peut contenir des images générées à l'aide de l'IA - J'apporte le plus grand soin à chaque article, toutefois, si vous repérez une boulette, faites-moi signe !Sponsorisé Suivez la Coupe du Monde 2026 partout ⚽Avec Surfshark, regardez tous les matchs en français avec vos commentateurs habituels, même en déplacement à l'étranger.
Connexion rapide et sécurisée sur tous vos appareils.J'en profite Que faire après le bac quand on est passionné de cybersécurité ?Contenu partenaireEntièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).Guardia CS forme aussi les professionnels à la cybersécurité via plusieurs formations en ligneVoir le site internet de l'école de cybersécurité Guardia CS📬 La newsletter Korben — Un concentré de tech, d'actu et de bidouille dans votre boite mail. S'inscrire