[Maj] Firefox : une vilaine menace plane sur les extensions les plus populaires

Mise à jour du 08/04/2016 :

La fondation Mozilla a réagi face à la découverte faite par quatre chercheurs et présentée à la Black Hat Asia, et confirme que la menace est présente. Nick Nguyen, Vice President of Firefox Product vient ainsi de déclarer :
« La façon dont les modules complémentaires sont implémentés dans Firefox aujourd’hui permet la réalisation du scénario hypothétique présenté lors de la conférence Black Hat Asia. La méthode décrite se fonde sur l’installation d’un module complémentaire populaire vulnérable. Ensuite, une autre extension utiliserait cette vulnérabilité pour s’installer. Parce que ce type de risque existe, nous faisons évoluer aussi bien notre produit principal que notre plate-forme d’extensions pour intégrer davantage de sécurité. Les nouvelles APIs d’extensions de navigateur regroupées dans WebExtensions, qui sont disponibles dans Firefox aujourd’hui, sont mieux sécurisées que les modules traditionnels et ne sont pas vulnérables à l’attaque qui a été présentée durant Black Hat Asia. Dans le cadre de notre initiative ‘Electrolysis’ – notre projet consistant à intégrer une architecture multi-process dans Firefox plus tard dans l’année – nous allons tester des extensions Firefox pour qu’elle ne puisse plus partager de code. »

Article originale du 06/04/2016 :

Malgré toutes les tentatives de la part de la fondation Mozilla pour sécuriser Firefox, quatre chercheurs viennent de découvrir que le navigateur pouvait toujours être la cible de malwares par l'intermédiaire de ses modules complémentaires. Et le pire, c'est qu'aucune parade n'existe pour l'instant.

Les extensions, ou modules complémentaires, proposent à Firefox des fonctionnalités inédites. Grâce à elles, on peut télécharger des vidéos, bloquer la publicité, traduire ou corriger automatiquement un texte, installer un proxy, etc. Ce sont elles qui ont permis au navigateur d'acquérir sa popularité il y a déjà plus d'une douzaine d'années. Bref, elles sont devenues totalement indispensables au navigateur, à tel point qu'elles sont devenues l'une des cibles privilégiées des hackers de tout poil. Ce n'est pas la première fois que Firefox fait les frais d'un problème de sécurité à cause de ses extensions, et la fondation Mozilla a d'ailleurs mis en place il y a quelques mois un dispositif bloquant toute installation de modules non sécurisés. Et pourtant, il semble que les extensions soient de nouveau potentiellement dangereuses.

Toute une méthode d'intégration à revoir

Un groupe de quatre experts vient en effet de révéler que l'étanchéité entre chaque extension est loin d'être absolue : une fois installée, une extension peut potentiellement communiquer avec une autre et utiliser ses capacités. Alors que ce n'est pas sa vocation et qu'elle n'en a pas l'autorisation, une extension peut par exemple exploiter les capacités de téléchargement d'une autre. Nommée Extension-reuse vulnerability, cette faille de sécurité touche les extensions les plus populaires de Firefox. Sur les 10 modules les plus répandus, 9 sont potentiellement vulnérables :

  • Video DownloadHelper
  • Firebug
  • NoScript
  • DownThemAll!
  • Greasemonkey
  • Web of Trust
  • Flash Video Download
  • FlashGot Mass Download
  • Download YouTube Videos

Seul AdBlock Plus s'en tire avec les honneurs. Mais les chercheurs qui ont mis en lumière cette faille, sont allés plus loin : ils ont analysé les 2000 extensions les plus utilisées par les internautes, et ont découvert qu'elles souffraient de 3018 vulnérabilités. Ce type de faille ne peut pas être comblé à coup de patch, et c'est l'intégralité du mode de fonctionnement de Firefox qui est à revoir. Pour l'instant, il n'existe aucune solution miracle : il faut attendre que la fondation Mozilla finalise une nouvelle méthode d'intégration des extensions, un travail qu'elle a entamé en août dernier, mais qui tarde à aboutir. La fondation n'a, pour l'instant, pas réagi à l'étude des chercheurs.

>> A lire aussi : Firefox : les 50 extensions les plus utiles

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire