Accueil » Actualité » Vol de données : cette vieille faille de Firefox n’a toujours pas été corrigée

Vol de données : cette vieille faille de Firefox n’a toujours pas été corrigée

Image 1 : Vol de données : cette vieille faille de Firefox n'a toujours pas été corrigée

Barak Tawily, un chercheur en sécurité a conçu une vidéo relative à une faille de Firefox. Dans un premier temps, la victime reçoit un fichier malveillant par mail ou le télécharge sur un site douteux. Quand elle ouvre le document, le pirate reçoit tous le contenu du répertoire dont le fichier est issu. Les autres dossiers sont aussi concernés.

Une mauvaise utilisation du principe « Same origin policy »

Les navigateurs s’appuient sur une méthode appelée Same origin policy, afin de protéger les internautes. Concrètement, les scripts peuvent seulement lire les fichiers issus d’une même origine. Toutefois, l’approche n’est pas identique lorsque l’origine en question est un fichier (file://…). Contrairement à Chrome et Safari, Firefox est nettement plus permissif.

Le navigateur de la fondation Mozilla étend l’origine au répertoire. Ainsi, si un répertoire comporte plusieurs fichiers, il suffit d’accéder à un seul pour télécharger tous les autres. De plus, les développeurs peuvent utiliser l’interface de programmation « Fetch API ». C’est pour cela que les autres navigateurs restreignent son utilisation au mode http ou https.

Le chercheur à l’initiative de cette découverte insiste sur un point important : Mozilla connaît l’existence de cette faille depuis 2002. Pourtant, elle n’a pas été encore corrigée. Reste à savoir si sa position évoluera après le buzz créé par la vidéo de Barak Tawily.

>>> Mozilla lancera un Firefox payant cet automne