Firefox : la perméabilité des extensions potentiellement dangereuse

Stéphane Moussie |

Des chercheurs en sécurité ont démontré que la plupart des extensions de Firefox pouvaient être abusées par un malfaiteur pour voler des données voire exécuter du code arbitraire.

Crédits : Mathias Appel CC0

La vulnérabilité tient dans l'architecture même des add-ons du navigateur : comme ils ne sont pas isolés et qu'ils peuvent avoir accès à des ressources sensibles (cookies, historique, mots de passe...), un add-on malveillant peut détourner les fonctions d'un autre pour subtiliser discrètement des données, par exemple.

Les chercheurs ont expliqué [PDF] lors de la récente conférence Black Hat qu'ils ont réussi à faire valider par Mozilla une extension camouflant un mécanisme qui force l'extension NoScript à afficher une page web de leur choix. Cette méthode pourrait être utilisée par un malandrin pour diriger une victime sur un site de phishing.

Selon les chercheurs, 9 des 10 add-ons les plus populaires de Firefox sont vulnérables à cette entourloupe. Seul Adblock Plus est immunisé.

La fondation Mozilla a reconnu le problème... qui ne peut pas vraiment être résolu à l'heure actuelle, puisqu'il repose sur le fonctionnement général des extensions. La seule chose que l'utilisateur puisse faire, c'est de n'installer que des add-ons de confiance. Mozilla peut de son côté renforcer son processus de validation afin de détecter les extensions retorses.

Mais la véritable solution viendra avec WebExtension, un nouveau type d'extension plus sûr. Les WebExtensions sont actuellement en test dans la version 47 du navigateur (la mouture finalisée actuelle est la 45).

avatar narugi | 

Ça me fait mal au cœur de voir ce navigateur abandonné au profit de Chrome.
Sur quel(s) point(s) est-ce intéressant de passer à Google Chrome ?

avatar appleadict | 

@narugi :
effectivement c'est dommage

ca rappelle la guerre qui avait eu lieu à l'époque entre Netscape et IE ... les moyens ne sont tout simplement pas les mêmes ... et le résultat risque d'être identique, malheureusement ...

avatar narugi | 

@appleadict :
J'ai bien peur. Parce que je n'utilise pas GC mais j'ai l'impression en plus que niveau fonctionnalités c'est la même chose. Même l'interface est proche. Ceci étant j'ai le sentiment d'être mieux protéger avec Firefox.

avatar Jeckill13 | 

@narugi :
Les fonctions sont proche oui, mais Google Chrome c'est un add-ware massif pour collecter tes données vers Google, Microsoft Edge c'est pareil et de toute façon il me gave, le seul qui est plus neutre sur le respect de la vie privée c'est Firefox.

avatar C1rc3@0rc | 

Heu tu sais que Firefox est financé par Microsoft maintenant et qu'avant c'était par Google...

SInon, il y a Chromium en version open source de Chrome.

avatar C1rc3@0rc | 

«Ceci étant j'ai le sentiment d'être mieux protéger avec Firefox.»

Protégé de quoi?

Par definition les extensions permettent d'effectuer des traitements non prévus sur les pages ou le navigateurs. Elles sont installées par l'utilisateur, et potentiellement elles peuvent donc être dangereuses.

Que faire?
Que les éditeurs de navigateur fassent comme Apple avec ses app store et qu'on ne puisse pas installer d'autres provenant d'ailleurs? C'est une solution.
Supprimer les extension tout simplement et intégrer les fonctions dans le navigateur. Cela restreint les possibilités et les fonctions d'adblock ou Noscript disparaitraient simplement.

De plus l'arrivée de WebExtension ne va pas regler le probleme mais le deplacer un peu.

Au final, il vaut mieux prendre le parti de n'installer que tres peu d'extension et que les editeurs mettent en place un systeme de signature fort et qu'il n'y ait que le site de l'editeur et celui de l'editeur du navigateur qui les diffusent. Mais tant qu'il y aura des extensions il y aura des risques.

avatar appleaddict | 

Firefox c'est le meilleur navigateur dans le monde entier a mon avis !!!!

avatar alan1bangkok | 

et pourquoi donc ?

avatar mac_adam | 

@appleaddict :
En effet, il a fait ses preuves depuis longtemps : il est stable, sûr (malgré cette info qui jette le trouble), avec un très grand nombre d'extensions qui permet de toujours trouver la perle rare et se faire une configuration aux petits oignons. Il est très flexible et pratique à utiliser.

avatar mac_adam | 

Firefox intègre une protection contre les sites malveillants : https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work

avatar Isdf | 

Quand vous voyez que l'université de Nice il demande de n' utiliser que Google chrome ou Internet Explorer parce que selon la DSI Firefox n'est plus assez sécurisé. Je ne sais plus quoi penser.

avatar marc_os | 

@Isdf :
Et Safari ?
J'ai l'impression que le bordel des navigateurs recommence. Depuis peu le site qu'on utilise au boulot ne marche plus correctement sous Safari. :-(

avatar C1rc3@0rc | 

Sachant que Webkit est le plus diffusé des moteur de rendu, faire un site qui fonctionne pas avec c'est suicidaire.

Les arguments de choix de comptatibilité avec un navigateur quant a la securité sont de la foutaise qui ne justifie que l'incompetence ou un parti-pris economique.

Developper un site Web aujourd'hui ça doit se faire pour Firefox en priorité parce que c'est celui qui est le plus proche du standard et ensuite sur Webkit, lui aussi opensource et qui est le plus répandu. Chrome est un fork de Webkit, donc Google doit assumer et suivre.

avatar Isdf | 

@marc_os :
Safari il n'en veulent pas car il n'est plus mis à jour sous Windows.

avatar Shadokuss | 

Eh bien tu peux légitimement penser qu'elle raconte n'importe quoi. Firefox est tout à fait adapté pour un déploiement pro. Sinon pourquoi l'ANSSI sortirait des recommandations documentées?

http://www.ssi.gouv.fr/guide/recommandations-pour-le-deploiement-securise-du-navigateur-mozilla-firefox-sous-windows/

avatar Myka31 | 

J'avoue qu'autant sur PC je suis un inconditionnel de Firefox, autant sur Mac c'est Safari que j'utilise. Plus rapide, possibilité de zoom à 2 doigts, coherence avec iOS. Je soutiens cependant le panda roux !

avatar Jeckill13 | 

Et c'est valable aussi pour les extensions de navigateur 1password ou Enpass (un alternative 1password) cette histoire ou c'est seulement pour les modules sur l'espace add-ons de Firefox ?

avatar DouceProp | 

Donc les WebExtensions arrangeront ces problèmes ?

avatar mac_adam | 

Apparemment. En attendant il suffit de ne pas installer de nouvelles extensions inconnues.

avatar Krocell | 

Trop mignon le panda roux de la photo

CONNEXION UTILISATEUR