Blog

SquidBleed : une vulnérabilité vieille de 29 ans menace encore les infrastructures réseau

Introduction

Le monde de la cybersécurité a été marqué en juin 2026 par la divulgation de SquidBleed, une vulnérabilité critique affectant le proxy web open source Squid, utilisé depuis des décennies dans les entreprises, les établissements scolaires, les fournisseurs d’accès Internet et diverses infrastructures réseau. Cette faille, référencée sous CVE-2026-47729, est particulièrement remarquable car elle serait présente dans le code depuis 1997, soit près de 29 ans avant sa découverte publique.

Qu’est-ce que Squid ?

Squid est un serveur proxy et de cache web largement utilisé pour optimiser les performances réseau, réduire la consommation de bande passante et contrôler l’accès aux ressources Internet. Il prend en charge plusieurs protocoles, notamment HTTP, HTTPS et FTP. Grâce à sa flexibilité et à sa stabilité, Squid demeure présent dans de nombreuses infrastructures, parfois sans que les administrateurs en aient pleinement conscience.

La vulnérabilité SquidBleed

Les chercheurs en sécurité de Calif.io ont découvert une vulnérabilité de type lecture hors limites mémoire (heap over-read) dans le module FTP de Squid. Cette erreur permet au logiciel de lire des données situées au-delà de la zone mémoire prévue et d’exposer des informations appartenant à d’autres utilisateurs du même proxy.

Le mécanisme rappelle fortement la célèbre vulnérabilité Heartbleed qui avait affecté OpenSSL en 2014. C’est d’ailleurs cette similitude qui a inspiré le nom « SquidBleed ». Dans certaines conditions, un attaquant peut récupérer des fragments de requêtes HTTP précédemment traitées par le proxy, y compris des identifiants, des cookies de session ou d’autres données sensibles.

Conditions d’exploitation

L’exploitation n’est pas totalement triviale. Pour tirer parti de la faille, l’attaquant doit contrôler un serveur FTP accessible via le proxy vulnérable. Lorsque le proxy traite certaines réponses FTP spécialement conçues, il peut divulguer des portions de mémoire contenant des informations résiduelles.

Le risque est particulièrement élevé dans les environnements où plusieurs utilisateurs partagent la même instance Squid :

  • Réseaux d’entreprise ;
  • Universités et établissements scolaires ;
  • Réseaux Wi-Fi publics ;
  • Fournisseurs de services Internet utilisant Squid comme proxy partagé.

Impact potentiel

L’impact principal concerne la confidentialité des données. Selon les chercheurs, les informations susceptibles d’être exposées incluent :

  • Identifiants de connexion ;
  • Cookies et jetons de session ;
  • URL visitées ;
  • Requêtes HTTP en clair ;
  • Informations d’authentification transitant par le proxy.

Même si la majorité du trafic Internet moderne est chiffrée via HTTPS, certains environnements utilisent encore l’inspection TLS ou traitent du trafic non chiffré, augmentant ainsi la gravité potentielle de la fuite.

Pourquoi cette découverte est-elle importante ?

SquidBleed illustre un problème récurrent dans la sécurité informatique : la persistance de vulnérabilités anciennes dans des logiciels largement déployés. Le fait qu’un bug introduit à la fin des années 1990 ait pu rester inaperçu pendant près de trois décennies démontre la difficulté d’auditer et de maintenir des projets open source complexes et historiques.

Cette découverte rappelle également que les composants d’infrastructure, souvent considérés comme stables et matures, peuvent contenir des défauts critiques susceptibles de compromettre la sécurité de milliers d’organisations.

Mesures de protection

Les administrateurs utilisant Squid doivent :

  1. Identifier les instances Squid présentes dans leur infrastructure.
  2. Vérifier les versions installées et appliquer les correctifs disponibles dès leur publication.
  3. Restreindre l’utilisation des fonctionnalités FTP lorsqu’elles ne sont pas nécessaires.
  4. Surveiller les journaux d’activité à la recherche de comportements anormaux.
  5. Limiter le partage des proxys entre utilisateurs de niveaux de confiance différents.

Conclusion

SquidBleed est un exemple frappant de vulnérabilité « héritée » pouvant affecter des infrastructures modernes. Bien que son exploitation nécessite certaines conditions spécifiques, son potentiel de divulgation d’informations sensibles en fait une menace sérieuse pour les organisations utilisant encore Squid comme proxy partagé. Cette affaire rappelle l’importance des audits de sécurité réguliers, des mises à jour logicielles et de la surveillance continue des composants critiques du réseau.